条件3：TISAXへの対応を準備する

　TISAX（Trusted Information Security Assessment Exchange）が審査しているのは、ドイツの自動車メーカーやサプライヤーから受領した図面や仕様書といった情報が、日本のサプライヤーで適切に管理されているかどうかである。

管理すべき情報の展開範囲を把握する

　そのため第1のポイントは、受領した情報が何であるか、そしてそれが、自社のどの拠点にまで展開されているかを把握することである。

　受領した情報は、TISAXにおいては「高い保護レベルが必要な情報」や「高い保護レベルが必要なプロトタイプの取り扱い」など8個の審査目的に分類される。その審査目的は、審査を要求するドイツの自動車メーカーやサプライヤーから日本のサプライヤーに対して指示される。

　審査目的の1つに「ドイツ連邦データ保護法に準拠したデータの保護」がある。これは、たとえば自動車ローン会社に個人データが連携されている場合の取り扱い状況の審査だ。もし自社が部品を納めているサプライヤーにもかかわらず、この審査目的を要求された場合は、どのような個人データを受領しているかを調査すると共に、なぜ審査目的に含まれるかを要求元に確認すべきである。

　審査目的が明確になれば、審査の要求元から受領した情報を、本社だけの利用なのか、それとも国内工場や海外工場なども利用しているのかなど連携している範囲を調べ、審査場所（ロケーション）を確定する。

　TISAXでは、複数の審査場所を合わせて1つの認証を取得することも、審査場所単位で認証を取得することもできる。自社の情報セキュリティ管理態勢に応じた審査計画を立てれば良い。

　ただし、国内と海外の拠点を合わせて1つの認証を取得する場合は、国内と海外の拠点で統一の情報セキュリティルールに基づいて運用していることが前提になる。国内と海外でルールや運用が異なる場合、統一して1つの認証にするか、別々の認証にするかは判断する必要がある。

　審査計画を立てる際は、審査場所（ロケーション）や審査時期について審査の要求元と認識の相違がないように、審査対応を進める前に確認しておくと良い。

セキュリティ対策を証跡で裏付ける必要がある

　第2のポイントは、TISAX審査で用いる「VDA-ISA（Information Security Assessment）カタログ」という評価シートに対する自己評価の方法である。

　VDA-ISAは情報セキュリティの国際規格「ISO/IEC 27001）」をベースにしている。すでにISO/IEC 27001 (ISMS) 認証を取得している企業は、情報セキュリティ管理態勢を構築し、多くの要求事項に対応済である。その適用宣言書がVDA-ISAの回答に有用である。TISAX固有の要求事項に注力できるため自力でのTISAX対応も可能である。

　ISO/IEC 27001認証を取得していない企業でも、書籍やインターネットに多数存在するISO/IEC 27001に関する公開情報を参照することにより、VDA-ISAの要求事項を理解できれば、自力回答はできる。