- Column
- 情報セキュリティ審査基準「TISAX」に対応するための3条件
条件3:TISAXへの対応を準備する
独自動車業界がサプライチェーンに求めるセキュリティ
一方で、ISO/IEC 27001認証とTISAX審査の最大の違いは、前者が組織における情報資産のセキュリティを管理するための枠組みが構築・運用されているかを評価するのに対し、TISAXでは、審査を要求する側から受領した情報に、適切なセキュリティ対策が適用されているかを具体的に評価することである(表1)。
| 審査規格 | ISO/IEC 27001(ISMS)認証 | TISAX審査(VDA-ISA) |
|---|---|---|
| 評価対象 | 情報セキュリティ管理の枠組み(PDCAサイクル)の評価 | 情報セキュリティ対策の適用状況の評価 |
| 評価の範囲 | 組織的・人的・技術的・物理的な対策を包括的に評価 | 組織的・人的・技術的な対策を包括的、かつ物理的およびネットワークセキュリティを詳しく評価 |
| 審査時の言語 | 日本語 | 基本的に英語またはドイツ語 |
そのためTISAXの自己審査においては、すべての要求事項について適切なセキュリティ対策が導入されていることの説明と、そのことを各種管理台帳やセキュリティ対策ツールの設定画面といった具体的な証跡で裏付ける必要があることに留意しなければならない。
TISAXはVDAが策定した仕組みである。そのため文章や審査時の言語は、英語またはドイツ語になる。TISAXの審査機関がドイツ企業であっても、その日本事務所が審査を実施することも考えられるが、少なくともVDA-ISAに対する自己評価は、英語またはドイツ語で記載しなくてはならない。
クラウドセキュリティや物理セキュリティも評価される
最後に、TISAXは、自動車業界特有の情報セキュリティ審査として、関係会社間で情報共有するためのネットワークセキュリティの対策や、紙やデータに加えてプロトタイプがやり取りされる際の保管方法や場所など、物理セキュリティの評価にも重点が置かれていることに留意する必要がある。
たとえばネットワークセキュリティ対策では、情報共有の仕組みとして最近はクラウドサービスを利用することが多いため、VDA-ISAにはISO/IEC 27001に加え「ISO/IEC 27017(クラウドセキュリティ)」の要求事項が含まれている。
物理セキュリティとは、ドイツの自動車メーカーやサプライヤーから受領した試作品など物体の適切な取り扱いのことだ。たとえば、試作品が外部から見えない場所や、写真が撮られない環境に保管されているかといった要求事項にも対応しなくてはならない。
日本のサプライヤーにおけるTISAX審査対応で重要なポイントは、審査目的および審査範囲の正確な把握、ISO/IEC 27001の情報の準用および自動車業界特有の要求事項への注力である。特に、審査目的および審査範囲は、TISAX審査対応の負荷に大きく影響するため、審査を求めているドイツの自動車メーカーやサプライヤーと認識の相違がないように進めることが重要だ。
万仲 隆之(まんちゅう・たかゆき)
KPMGコンサルティング ディレクター。システムインテグレーターにおいて、情報セキュリティ構築支援・監査や内部統制構築支援・監査などITマネジメント関連業務およびシステムの企画・要求分析・要件定義、システム要件を策定する業務に従事。
KPMGコンサルティングでは、製造業、金融サービス業、総合商社、情報・通信業、人材派遣業など、さまざまな企業に対し、情報セキュリティリスクアセスメント・監査、情報セキュリティ管理態勢構築支援、個人データ・機密データ保護管理態勢構築支援、内部統制構築支援・監査、システムの要件定義に関するコンサルティングサービスを提供している。