• Column
  • 情報セキュリティ審査基準「TISAX」に対応するための3条件

条件2:TISAXの審査プロセス・要求事項を知る

独自動車業界がサプライチェーンに求めるセキュリティ

瀬山 久美子(KPMGコンサルティング コンサルタント)
2019年9月20日

外部審査は、是正とフォローアップ審査を含めて9カ月以内

 審査機関による審査は、審査レベルに応じて、実際に現場調査またはテレビ会議などリモート調査が実施される。審査員は、自己評価の結果や証跡・文書類に目を通し、要求事項に基づく適合性について現場の目視確認や、担当者に対するインタビューを実施する。

 審査員がTISAXの適合基準に満たないと判定した項目は「発見事項」になる。発見事項は、その大小によって「メジャー不適合」「マイナー不適合」「観察事項」「改善の機会」に分類される。

 初回審査で発見事項があった場合は、発見事項を是正後に「フォローアップ審査」の受審が必要である。フォローアップ審査を受ける前に、自社の是正計画がTISAXの基準を満たしているかどうかは「是正計画審査」で確認することも可能である。ただし、初回審査からフォローアップ審査までは、9カ月以内に完了しなければならないという時間的な制約がある。

 審査員が作成する報告書には、最終評価結果が「適合」または「不適合」と記載される。適合するためには、個別の要求事項に、すべて適合する必要がある。

 最後の報告では、審査員はTISAXの共有ポータルへ報告書を提出する。審査要求を受けた会社は、審査結果の公開範囲を設定し、審査の合否だけを共有するか、各要求事項における評価結果の詳細まで共有するかを決める。これにより審査の要求元とは、必要な情報のみが共有されることになる。

TISAXの要求事項は国際規格「ISO/IEC 27001」がベース

 では改めて、TISAX審査の適合基準である「要求事項」について解説する。

 TISAX審査における評価内容は、上述したように「VDA-ISA(Information Security Assessment)カタログ」という質問形式の評価シートに定められている。VDA-ISAの実態はExcelファイルである。

 VDA-ISAカタログは、(1)情報セキュリティ全般に関する要求事項をまとめた「メインカタログ」と、(2)特定分野に特化した3つの「アディショナルカタログ」から成っている。

 メインカタログの評価項目は52問あり、TISAXの適合ラベルを取得するために必ず用いられる。その目的は、情報セキュリティ全般に関する要求事項を網羅的に評価することにある。情報セキュリティの国際規格である「ISO/IEC 27001」をベースに設計されている。

 アディショナルカタログは、3つの構成要素を持つ。(1)要求元の会社の情報システムを利用した業務のセキュリティを評価する「第三者の関係」、(2)完成車のモックアップやパーツのプロトタイプなど物理的な機密情報の保護を評価する「プロトタイプの取り扱い」、(3)個人情報の保護を評価する「ドイツ連邦データ保護法に準拠したデータ保護」だ。該当する業務がある場合のみ評価が求められる。

 VDA-ISAはENXのホームページ上で公開されている。審査目的が明確になれば、審査を要求された会社は、どのような審査を受けることになるのか、その概要を把握できる。

 ただし、ここで注意すべき点は、2019年8月時点で公開されているVDA-ISAカタログは英語版とドイツ語版の2種類しかないことである。日本企業がTISAXを受審するにあたって、言語は要求事項を理解するうえで大きなハードルになり得る。各社とも、審査に進む前には、確実な情報収集と、作業工数に余裕を持った審査計画の検討が必要になるだろう。

 次回はTISAXの審査を受ける際の対応方法について説明する。

瀬山 久美子(せやま・くみこ)

KPMGコンサルティング コンサルタント。大手製造業や公益財団法人などに対する、ISMS認証取得・維持支援や情報セキュリティ管理態勢高度化支援、情報セキュリティ管理態勢評価支援などのアドバイザリー業務に従事している。