日本企業が採るべきTISAXへの備えとは

日本企業が採るべきTISAXへの備えとは

「TISAXの衝撃」第5回 - シリーズの最後となる今回は、TISAX審査対応のポイントとして、VDA-ISAとISO/IEC 27001の違いやドイツの自動車業界特有の要求事項にも触れながら、日本企業の採るべきTISAXへの備えについて、総括的に解説する。

関連するコンテンツ

⽇本のサプライヤーにおけるTISAX審査対応のポイントを解説する。
まず、TISAXの審査目的のうち、⾃社に求められる審査目的はTISAX審査を要求するドイツの自動車メーカーやサプライヤーから指示されるため、その正確な把握が重要である。審査目的の1つに「ドイツ連邦データ保護法に準拠したデータの保護」があるが、これは例えば、自動車ローン会社に個人データが連携されている場合の取扱い状況の審査である。もし自社が部品を納めているサプライヤーであれば、どのような個人データが連携されているのかを含め、審査目的に含まれる適用範囲を要求元に確認すべきである。
審査目的の根拠が明確でないと、要求元から預かった情報を、自社のどの拠点まで連携しているかに応じた審査範囲(ロケーション)が定まらないため、TISAX対応の準備に支障が生じる。

次に、TISAX審査で必須となっている、VDA-ISAという評価シートを用いた自己評価の実践的な対応である。VDA-ISAはISO/IEC27001をベースにしているため、ISO/IEC27001(ISMS)認証を取得している企業は、情報セキュリティ管理態勢が構築され、多くの要求事項の対策が済んでいるため、TISAX固有の要求事項の対策に注⼒することで、自社対応も可能であると考える。一方で、ISO/IEC27001(ISMS)認証とTISAX審査の最⼤の違いは、前者が組織における情報資産のセキュリティを管理するための枠組みが構築されているかの評価であるのに対し、後者は審査を要求する側から預かった情報に適切なセキュリティ対策が導⼊されているかの具体的な評価である。そのため、TISAX審査においては、適切なセキュリティ対策が導⼊されていることの説明と、それをどのような証跡で裏付けるかが重要である。
最後に、VDA-ISAは英語またはドイツ語で記載されているため、言語対応が必要であることや、自動車業界特有の情報セキュリティ審査として、関係会社間で情報をやり取りする際のネットワーク対策や、紙やデータに加えてプロトタイプがやり取りされる際の保管方法や場所といった物理的セキュリティの評価にも、重点が置かれている。

以上から、日本のサプライヤーにおけるTISAX審査対応は、審査目的の正確な把握、ISO/IEC27001の情報の準用および自動車業界特有の要求事項への注力が、重要なポイントである。さらに、TISAX審査においては、初回審査の発見事項に対する是正状況を審査機関が審査する前に、自社の是正計画がTISAXの基準に沿っているかを、審査機関に事前に確認してもらうことができるため、この仕組みを最⼤限に活用し、これらのポイントに留意しながらTISAX審査対応を進めていくのが良いと考える。

VDA-ISAとISO/IEC 27001の違い

TISAX審査(VDA-ISA) ISO/IEC 27001(ISMS)認証
情報セキュリティ対策の適用状況の評価 情報セキュリティ管理の枠組み(PDCAサイクル)の評価
組織的・人的・技術的な対策を包括的に、かつ物理的およびネットワークセキュリティを詳しく評価 組織的・人的・技術的な対策を包括的に、かつ物理的およびネットワークセキュリティを詳しく評価

日刊自動車新聞 2019年6月7日掲載(一部加筆・修正しています)。この記事の掲載については、日刊自動車新聞社の許諾を得ています。無断での複写・転載は禁じます。

執筆者

KPMGコンサルティング
ディレクター 万仲 隆之

TISAXの衝撃

© 2021 KPMG AZSA LLC, a limited liability audit corporation incorporated under the Japanese Certified Public Accountants Law and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved. © 2021 KPMG Tax Corporation, a tax corporation incorporated under the Japanese CPTA Law and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.


For more detail about the structure of the KPMG global organization please visit https://home.kpmg/governance.

お問合せ

 

ご依頼・ご相談

 

loading image RFP(提案書依頼)

Myページへ

会員登録すると、興味・関心のあるテーマのコンテンツが表示され、お気に入りの記事をライブラリに保存できます。

Sign up today