News
【共催ウェビナー】拡大するトランジションファイナンスの潮流~日本市場における信頼性確保~(4月20日)
032_iStock-822303226.jpg
TISAX®自動車業界における情報セキュリティ管理
自動車業界では脱炭素化に向けた電気自動車、自動運転、コネクテッドサービスなど、新たな覇権をかけた大競争時代に入っています。米国カリフォルニア州では、2035年にHVを含めたガソリン車の撤廃が承認されました。
各企業はサプライチェーンを巻き込み、新技術の開発に多額の資金を投下すると共に、これらの情報保護に実効的な仕組みを構築する必要性に迫られています。しかし自動車産業全体でのサプライチェーンは極めて幅広く、技術の漏洩を防ぐことは容易ではありません。しかし、サプライヤーやディーラーで情報の漏洩をはじめとするインシデントが発生した場合、新技術全体に大きな影響を及ぼす可能性があります。そのためにセキュリティレベルの確認は最重要事項のひとつです。
TISAX®とは
TISAX®はTrusted Information Security Assessment Exchangeの略で、相互監査による業界共通の情報セキュリティ標準としてドイツ自動車工業会(VDA)によって開発されたISO/IEC 27001/27002などの国際的なISMS規格に基づいた自動車サプライチェーンのセキュリティ要求事項です。この標準の中ではVDA ISAと呼ばれる情報セキュリティカタログ(標準)が定められており、この標準にしたがって情報セキュリティのレベル判定がされます。監査基準にも使用され、取り扱われるリスクによって求められるレベルも変わります。制度の運用はENX: European Network Exchangeが担っており、ポータルの運用も責任を負っています。
TISAX®は、委託側の求める評価目的に従い、共通のセキュリティレベルを確立して評価の共通認識を確保することよってメーカーとサプライヤーにとって、コスト、労力、複雑さを軽減することを目標とした情報セキュリティマネジメントシステムを提供します。自動車業界において、情報セキュリティの事実上の国際標準となりつつあります。
関連記事:自動車産業に要求される情報セキュリティTISAX®の本質
認定団体であるENXに登録した後、国際指定監査機関による監査を受けて、その結果をポータルに公開(公開先指定)されることにより、自動車サプライヤーが監査を成功裏に完了していることの証明を取得します。OEMをはじめとする自社の顧客へ情報セキュリティ標準をクリアしていることを公式に証明することになります。
TISAX®認証の必要性
自動車産業では、完成車メーカー(OEM)や主要サプライヤーとの間で多くの設計情報・試作情報・運用データがやり取りされます。近年は、これらの情報を適切に保護していることを客観的に示すことが、取引条件(外部要求)として必須となるケースが増えています。特に欧州を中心に、TISAX®評価結果の提示を求める企業が急速に拡大しており、企業が新規取引やグローバル市場で競争力を維持するために避けて通れない要件となりつつあります。
また、TISAX®認証は外部要求への対応にとどまらず、企業内部の統制強化にも大きく貢献します。
業務プロセスに潜むリスクの可視化、責任分担の明確化、文書化されたルールの整備など、組織の基盤となる内部統制を体系的に構築できる点は大きなメリットです。これにより、属人的な管理から脱却し、セキュリティ事故を未然に防ぐ「仕組みとして機能するセキュリティマネジメント」を確立できます。
さらに、TISAX®に準拠した情報セキュリティ体制を導入することで、以下のような効果が得られます。
- 顧客および提携先からの信頼性向上
統一基準に基づくセキュリティレベルを示すことで、情報を安心して預けられるパートナーとして認識されます。 - サプライチェーン全体でのリスク低減
評価結果を共通プラットフォーム上で共有でき、取引ごとの個別評価の重複が解消されます。 - 内部業務の標準化・効率化
情報管理の手順が整うことで、従業員教育や運用の一貫性が確保され、セキュリティ事故の抑止につながります。
このようにTISAX®認証は、「外部の要求に応える」だけでなく、「企業内部の統制を強化する」ための実効的な仕組みとして、現代の自動車産業で不可欠な役割を果たしています。
組織にとってのメリット
- サイバーセキュリティ対策の強化
TISAX®に準拠した情報セキュリティマネジメントシステムを実装することにより、情報セキュリティ侵害とサイバー攻撃の予防に役立ちます。
- 顧客信頼の獲得
データ保護への包括的なアプローチによって顧客の信頼を獲得します。
- リスク管理能力の向上
情報セキュリティを客観的に評価することにより、リスクの特定・対処のレベル向上に役立ちます。
- 社会的認知度の向上
主要な認証機関の一つから審査登録されることにより社会的な認知度が向上します。
- 透明性と信頼性の確保
TISAX®オンラインプラットフォーム上の評価結果を共有することによって顧客への透明性、信頼性が向上します。
TISAX®の対象業種
TISAX®は、自動車メーカーや主要部品サプライヤーだけでなく、自動車産業に関わる幅広い業種が対象となる評価制度です。
取り扱う情報が多様化するにつれ、製造・開発以外の企業においてもTISAX®対応の必要性が高まっています。
主な対象業種の例は以下のとおりです。
- 部品製造・素材メーカー
車体、電子部品、制御装置など、完成車の構成要素に関わる企業 - ソフトウェア開発・ITサービス企業
自動運転、車載通信、データ管理プラットフォームなどを提供する企業 - エンジニアリング・設計・試作サービス
CAD設計、解析、試作加工、評価試験など開発プロセスを担う企業 - 物流・倉庫・輸送事業者
試作部品や機密貨物の管理・輸送に携わる企業 - マーケティング・広告制作企業
新製品情報やビジュアル素材を扱う広告代理店・制作会社 - 施設管理・清掃・警備等のサポートサービス
研究施設や開発拠点に出入りし、情報資産に間接的にアクセスする可能性のある企業 - アウトソーシング・BPO・コンサルティング企業
開発・運用・管理業務を外部から支援する事業者
このように、TISAX®の対象となるのは「製造に直接関わる企業」に限定されず、機密情報に触れる可能性のあるすべての企業が評価対象となり得ます。
自動車産業のサプライチェーン全体で情報の信頼性を確保するため、今後さらに多くの業種でTISAX®への対応が求められると考えられます。
ビューローベリタスが選ばれる理由
- ネットワーク:
140ヶ国1,600の拠点、ビューローベリタス各国が持つノウハウを共有
お客様が展開する国内外の事業ネットワークをカバー - 認証実績:
約150,000社の企業に対する認証実績 - ワンストップ審査:
各規格の審査の一貫性、最適化、効率化を実現
認証取得にかかる費用
TISAX取得費用は、アセスメントレベル、審査範囲、モジュール選択、拠点数、セキュリティ成熟度などによって異なります。お問い合わせください。
認証の流れ
| 1 | スコープの決定・ENXポータルへの登録 |
| 事業者は、ENX(認定団体)ポータルに「参加者」として登録します。 TISAXにおける「アクティブ参加者」と「パッシブ参加者」は、情報セキュリティ評価の結果を共有する際の役割を指します。どちらの役割も同時に担うことが可能です。 ① アクティブ参加者:審査を受ける、結果を提供する。 主にサプライヤー企業(部品メーカー、サービスプロバイダーなど) ② パッシブ参加者:審査結果を要求する、閲覧する。 主にOEM(自動車メーカー)などの企業 | |
| 2 | 自己評価(VDA ISA準拠) |
| 評価シート「VDA-ISA」に基づき自己評価を実施 成熟度レベルが3程度に満たない場合、対処する必要があります。 | |
| 3 | アセスメントレベル選択 |
| AL2:リモート証跡確認 AL3:現地審査を含む詳細評価 | |
| 4 | 認証機関による評価 |
| ➀アクティブ参加者:ENX認定の認証機関による審査を受審 ②パッシブ参加者:パートナー(アクティブ参加者)の審査結果を要求・受審 | |
| 5 | 情報共有・情報公開 |
| 情報の共有・公開は、ENXポータルと呼ばれるプラットフォームを通じて行われます。 審査結果は、一般に広く公開されるわけではなく、あくまで信頼関係のある特定のビジネスパートナー間でのみ共有されます。 |
よくある質問
| Q: | TISAX®の特徴は何ですか。 |
| A: | 基本的なフレームワークはISO/IEC 27001に準拠しています。 審査では、評価目的にはInfo high、Proto partsなどの区分があり、それらに従った構築を行う必要があります。 |
| Q: | 監査員は、事業者の自己評価からAL(監査レベル)や審査範囲をダウングレードすることができますか。 |
| A: | 監査員は受審者との合意により、評価対象や評価場所の削除・追加を含む評価範囲を変更することができます。プロセスの成熟度レベルは、レベル3アセスメントにおいてのみ採用されます。レベル2アセスメントでは、要求事項に合致しない成熟度レベルはありえないとみなされ、受審者は成熟度レベルを再調整するか、元の成熟度レベルをサポートする追加の証拠を提出しなければなりません。 |
