条件1：TISAXの概要を知る

TISAX審査は5つの構成者からなる

　TISAXの審査に適合するためには、TISAXの要求事項に沿った情報セキュリティの管理態勢を構築・運用することはもとより、情報セキュリティの専門知識やTISAXの審査ノウハウに加え、語学力が必要になる。審査は英語またはドイツ語で実施されるからだ。これらへの対応は、多くの日本企業にとっては負担になる。こうした負担を少しでも軽減するためにはまず、TISAXの概要を把握することが重要だ。

　TISAXは、VDAにおけるサプライヤーに対する情報セキュリティ審査の方法・基準を共通化し、審査結果を共有するための仕組みである。

　TISAXの構成者は、（1）VDA、（2）European Network Exchange協会（ENX協会）、（3）パッシブ参加者＝情報の連携元であり審査の要求元、（4）アクティブ参加者＝情報の連携先であり審査を受ける主体、（5）審査機関の5者からなる。これら5者の役割および関係性を図2に示す。

図2：TISAXの全体像

　VDAは、TISAXを設計・設立した主体である。だが、その運用はENX協会に委託されており、VDAがTISAX審査のプロセスに直接的に関わってくることはない。TISAX審査の結果も、ENX協会が運営する共有ポータルサイト「ENXポータル」に登録され、他社との共有が可能になる。

　セキュリティの評価プロセスに関わる自動車メーカーあるいはサプライヤーは、TISAXでは「参加者」と呼ぶ。TISAX審査の要求元がパッシブ参加者、TISAX審査を要求された側がアクティブ参加者である。

　パッシブ参加者になり得るのは必ずしも自動車メーカーであるとは限らない点に留意が必要だ。ドイツの自動車メーカーと直接取引がなくても、ドイツの1次サプライヤーが日本の2次サプライヤーに対しTISAX審査を要求するケースがあるからだ。

　TISAX審査の実務を担うのが、ENX協会から認定を受けた審査機関である。2019年8月5日時点で、ENX協会から認定を受けている審査機関は全世界に9機関ある。

　これら5者によるTISAX審査の流れを簡単に説明すると次のようになる。

（1）パッシブ参加者がアクティブ参加者へ審査を要求する
（2）要求を受けたアクティブ参加者はENXポータル上で審査登録するとともに、審査機関に審査を依頼する
（3）審査機関が審査する
（4）審査機関は、審査結果を報告書にまとめ、ENXポータルに登録する
（5）ENXポータルを介して、アクティブ参加者とパッシブ参加者は結果を共有する

　次回は、TISAX審査全体の具体的なプロセスについて解説する。