• Column
  • 情報セキュリティ審査基準「TISAX」に対応するための3条件

条件2:TISAXの審査プロセス・要求事項を知る

独自動車業界がサプライチェーンに求めるセキュリティ

瀬山 久美子(KPMGコンサルティング コンサルタント)
2019年9月20日

サプライチェーンにおける情報セキュリティを確保するためにドイツ自動車工業会(VDA)は、その審査基準「Trusted Information Security Assessment Exchange(TISAX)」を定めている。ドイツの自動車メーカーやサプライヤーと取引のある日本企業にも同審査を受けることが求められ始めている。今回は、TISAX審査の具体的なプロセス(登録・審査・結果共有の流れ)を解説する。

 条件1で解説したように、TISAX(Trusted Information Security Assessment Exchange)の審査プロセスは、多くの場合、ドイツの自動車メーカーやサプライヤーから審査実施の要求を受けることで始まる(図1)。

図1:TISAXの審査プロセス

 審査要求を受けた会社は、実際のTISAX審査に進む前に、まず審査の目的や範囲などの情報を収集し、TISAXへの参加、すなわち共有ポータルである「ENXポータル」に登録する。

 登録するのは、会社の基本情報および審査情報である。登録が承認されると、ENXポータル上での以後のやり取りに必要なIDや審査機関の情報が提供される。事前登録が完了すれば次の審査ステップに進む。

まずは自社の情報セキュリティ管理態勢を自己評価

 審査は「自己評価」と「審査機関による審査」から構成される。自己評価では、対象の評価シートである「VDA-ISAカタログ」に記載されている各項目の要求事項について、レベル0~5の6段階から達成状況を選択するとともに、その根拠となる説明を記載し証跡を添付する。

 「VDA-ISAカタログ」の要求事項については後に説明するので、ここではまず、全体のプロセスをつかんでいただきたい。

 自己評価の結果は、すべてがレベル5である必要はない。各要求事項には「目標レベル」が定められており、その大半はレベル3である。審査機関による審査でも、レベル4やレベル5を求められるケースは少ない。

 一方で、目標レベルに満たない項目(レベル0やレベル1)が残った状態で審査に合格する確率も、極めて低い。組織によっては自己評価後、審査機関による審査に進むまでに一定レベルの是正が必要と判断される場合もあるだろう。

 評価シートの各項目についてレベルを選択すると、自己評価結果が集計され、最終的に1つの総合結果が自動的に算出される。

 自己評価は労力を要する作業だ。しかし審査機関は、この自己評価結果の妥当性を審査するため、重要な工程である。逆にみれば、審査員に対し、どの程度適切な自己評価結果を提示できるかがスムーズな審査合格の鍵であると言える。