自動車業界では、自動車メーカーの技術情報や顧客情報がサプライヤーに連携され、共同での部品開発や、サービスの提供が行われています。サプライヤーに連携された情報を、セキュリティ上適切に取り扱うことを求めるため、ドイツ自動車工業会(VDA)は、TISAXというセキュリティ認証の仕組みを策定しました。それを受け、近年、日本のサプライヤーも、ドイツの自動車メーカーやサプライヤーからTISAX認証取得を求められています。
KPMGジャパンは、TISAX審査の実施が認められた審査機関であるKPMGドイツと協力して、TISAXの要求事項を満たすISMS(情報セキュリティ管理態勢)構築を支援します。
TISAX対応のためのISMSの特徴
TISAXの要求事項は、情報セキュリティの国際規格であるISO/IEC 27000シリーズの管理策がベースになっています。一方で、ISO/IEC 27001の審査に比べてTISAX審査では、要求事項を遵守する規定が整備されており、規定どおりに実際に運用されているかを、規定や運用の証跡を入手しての閲覧やインタビューで詳細に確認します。TISAXでは、各質問を0から5までの6段階の成熟度で評価し、合格ラインである3と評価されるためには、基本的に“Must”と“Should”の要求事項が規定として整備され、運用の証跡が存在しなければなりません。
従って、TISAX対応のためのISMSは、 ISO/IEC 27000シリーズの管理策よりも、TISAXのより具体的な要求事項に基づいて構築する必要があります。
TISAX対応支援の進め方
TISAXに対応するためには、自社のISMSがTISAXの要求事項と、どれ位ギャップがあるのかをまず把握する必要があります。フェーズ1でギャップを分析し、それを埋めるセキュリティ対策導入計画を作成することで、TISAX対応の全体作業量が明確になります。
フェーズ2では、セキュリティ対策導入計画に基づいて、TISAX要求事項を遵守する規定や運用のための文書を整備し、規定通りに実際に運用・改善していきます。
自社のISMSの成熟度やTISAX認証取得の対象拠点の数にもよりますが、フェーズ1は2~3ヵ月で行います。その後のフェーズ2は、自社のセキュリティ対応のケイパビリティや、外部からどこまでの支援を受けるか等にもよりますが、TISAXの“Must”と“Should”の要求事項の数やISO/IEC 27001の認証取得の事例を踏まえると、文書を整備し、運用を定着させるために少なくとも半年~1年以上は必要であると考えます。
