日本企業が採るべきTISAXへの備えとは
「TISAXの衝撃」第5回 - VDA-ISAとISO/IEC 27001の違いやドイツの自動車業界特有の要求事項など日本企業の取るべきTISAXへの備えについて解説する。
「TISAXの衝撃」第5回 - VDA-ISAとISO/IEC 27001の違いやドイツの自動車業界特有の要求事項など日本企業の取るべきTISAXへの備えについて解説する。
⽇本のサプライヤーにおけるTISAX審査対応のポイントを解説する。
まず、TISAXの審査目的のうち、⾃社に求められる審査目的はTISAX審査を要求するドイツの自動車メーカーやサプライヤーから指示されるため、その正確な把握が重要である。審査目的の1つに「ドイツ連邦データ保護法に準拠したデータの保護」があるが、これは例えば、自動車ローン会社に個人データが連携されている場合の取扱い状況の審査である。もし自社が部品を納めているサプライヤーであれば、どのような個人データが連携されているのかを含め、審査目的に含まれる適用範囲を要求元に確認すべきである。
審査目的の根拠が明確でないと、要求元から預かった情報を、自社のどの拠点まで連携しているかに応じた審査範囲(ロケーション)が定まらないため、TISAX対応の準備に支障が生じる。
次に、TISAX審査で必須となっている、VDA-ISAという評価シートを用いた自己評価の実践的な対応である。VDA-ISAはISO/IEC27001をベースにしているため、ISO/IEC27001(ISMS)認証を取得している企業は、情報セキュリティ管理態勢が構築され、多くの要求事項の対策が済んでいるため、TISAX固有の要求事項の対策に注⼒することで、自社対応も可能であると考える。一方で、ISO/IEC27001(ISMS)認証とTISAX審査の最⼤の違いは、前者が組織における情報資産のセキュリティを管理するための枠組みが構築されているかの評価であるのに対し、後者は審査を要求する側から預かった情報に適切なセキュリティ対策が導⼊されているかの具体的な評価である。そのため、TISAX審査においては、適切なセキュリティ対策が導⼊されていることの説明と、それをどのような証跡で裏付けるかが重要である。
最後に、VDA-ISAは英語またはドイツ語で記載されているため、言語対応が必要であることや、自動車業界特有の情報セキュリティ審査として、関係会社間で情報をやり取りする際のネットワーク対策や、紙やデータに加えてプロトタイプがやり取りされる際の保管方法や場所といった物理的セキュリティの評価にも、重点が置かれている。
以上から、日本のサプライヤーにおけるTISAX審査対応は、審査目的の正確な把握、ISO/IEC27001の情報の準用および自動車業界特有の要求事項への注力が、重要なポイントである。さらに、TISAX審査においては、初回審査の発見事項に対する是正状況を審査機関が審査する前に、自社の是正計画がTISAXの基準に沿っているかを、審査機関に事前に確認してもらうことができるため、この仕組みを最⼤限に活用し、これらのポイントに留意しながらTISAX審査対応を進めていくのが良いと考える。
VDA-ISAとISO/IEC 27001の違い
| TISAX審査(VDA-ISA) | ISO/IEC 27001(ISMS)認証 |
|---|---|
| 情報セキュリティ対策の適用状況の評価 | 情報セキュリティ管理の枠組み(PDCAサイクル)の評価 |
| 組織的・人的・技術的な対策を包括的に、かつ物理的およびネットワークセキュリティを詳しく評価 | 組織的・人的・技術的な対策を包括的に、かつ物理的およびネットワークセキュリティを詳しく評価 |
日刊自動車新聞 2019年6月7日掲載(一部加筆・修正しています)。この記事の掲載については、日刊自動車新聞社の許諾を得ています。無断での複写・転載は禁じます。
執筆者
KPMGコンサルティング
ディレクター 万仲 隆之
