• Column
  • 情報セキュリティ審査基準「TISAX」に対応するための3条件

条件1:TISAXの概要を知る

独自動車業界がサプライチェーンに求めるセキュリティ

有馬 典孝(KPMGコンサルティング マネジャー)
2019年9月13日

サプライチェーンにおける情報セキュリティを確保するために、ドイツ自動車工業会(VDA)は、サプライヤーに対する情報セキュリティ審査基準「TISAX(Trusted Information Security Assessment Exchange)」を定めている。ドイツの自動車メーカーやサプライヤーと取引のある日本企業にもTISAX対応を求めるケースが出始めている。日本企業がTISAX対応を進めるための条件1として今回は、TISAX審査における関係者および審査の流れの概要を説明する。

 企業の事業活動は、もはや自社だけで完結することはなく、他社との連携で成り立っている。自動車業界においても、技術情報や顧客情報が自動車メーカーからサプライヤーに、そのサプライヤーから、その先のサプライヤーへと連携されることで、共同での部品開発やサービスの提供が可能になっている。

 ただし、そのような状況下では連携先における情報の取り扱いについて情報セキュリティのリスクが懸念される。特に国や業種をまたがった裾野の広いサプライチェーンが構築される自動車業界においては、このリスクが顕著だ。

共通の基準による情報セキュリティ審査の結果を共有できる

 サプライチェーンにおける情報セキュリティリスクに対応するため、情報の連携元である自動車メーカーやサプライヤーは、情報の連携先であるサプライヤーにおける情報の取り扱い状況を、審査などで個別に確認する必要に迫られている。逆に連携先は、複数の連携元から求められる同様の審査に対応しなければならず、双方にとって大きな負担になっていた。

 そこでドイツ自動車工業会(VDA)が2017年に策定したのが、サプライチェーンを対象にした情報セキュリティの審査基準「Trusted Information Security Assessment Exchange(TISAX)」である。

 TISAXでは、サプライヤーの情報セキュリティ審査の方法と基準を共通化し、その結果をVDAに所属する自動車メーカーやサプライヤーが共有できる。これにより、情報の連携元と連携先の双方が重複した審査を回避できる。各サプライヤーを同じ審査基準で評価できるというメリットもある(図1)。

図1:TISAX導入のメリット

 TISAXはドイツにおいて策定された仕組みだが、ドイツの自動車メーカーやサプライヤーと取引する日本のサプライヤーに対しても、TISAXへの対応が要求されるケースが発生してきた。今後は、ドイツの自動車メーカーやサプライヤーが、TISAXの審査結果をサプライヤーとの取引開始や継続の条件にすることも考えられる。

 情報の連携先であるサプライヤーの立場からしても、TISAXの審査結果を表示することは、自社の客観的な情報セキュリティレベルの証明になり、競争上の優位性を確保できるであろう。このようにTISAXは、審査を要求する側と、審査を受ける側の両方にメリットがあるため、TISAX審査の利用が加速していくと予想される。