AdobeStock_280876842.jpg

自動車産業における情報セキュリティ対策 – TISAX®

2021-06-10
2106_cer_img01_0.jpg

 

自動車業界における情報セキュリティの動き

自動車業界においても、他の業界同様に顧客情報や技術情報を他社と共有し、製品開発を共同で行う動きが、近年活発化しています。共有する情報の中には、機密性の高い内容が含まれているため、自動車メーカーが、サプライチェーンにも高度な情報セキュリティ対策を求める動きが出てきています。
自動車メーカーのサプライヤーや機密情報を有する企業が自動車メーカーとの取引を開始する(あるいは継続する)際に、情報セキュリティ要件を満たすための基準として利用されているのがTISAX®(ティーザックス: Trusted Information Security Assessment Exchange)です。

 

TISAX®とは

TISAX®とは、VDA(ドイツ自動車工業会:Verband der Automobilindustrie)が策定した、VDA情報セキュリティ評価基準(VDA ISA)に基づき、認証機関の審査を受ける制度を指します。この制度はVDAと欧州自動車メーカーで構成される団体、ENX(European Network Exchange)により構築されました。
VDA ISAは2020年8月にVersion 4.1.1からVersion 5.0.1に1年ぶりに改訂されており、現在ではISO/IEC27001(ISMS:情報セキュリティマネジメントシステム)の重要な要件を包含した内容となっています。

 

TISAX®制度の特徴

  1. ENXのプラットフォームを利用することにより、被審査組織(アクティブ参加者)の審査結果を予め指定したVDAに所属する自動車メーカーや取引先(パッシブ参加者)が確認することができる仕組みとなっています。
    したがってこの仕組みへ参加する組織は、TISAX®という同じ条件での結果の比較が可能となり、一定の情報セキュリティに関する安全・安心を得ることにつながります。
    また、先行して参加している組織からすると情報セキュリティにおける自組織のレベルの証明となるため、ビジネスにおいて優位性を保つことができることになります。
  2. 他のマネジメントシステム審査と異なり、「自己評価」と「審査員による審査」の2 段階に大きく分かれています。自己評価は、評価シート(VDA ISA カタログ)の各要求事項に対する自組織の達成状況を6 段階から選択し、関連するエビデンスを添付します。
    審査員による審査では、自己評価結果のレビューに始まり、エビデンスの確認を行い、適合しているか否かを判断します。

参考)TISAX®のイメージ

TISAX®のイメージ

TISAX®の審査の流れ

一連の主なプロセスは以下のようになります。

2106_cer_img03.jpg

(*1) 審査目的や範囲(拠点等の物理的範囲や対象製品)を決定することにより、審査レベル(3段階)や自己評価時に利用するカタログ(1つのメインカタログと3つのアディショナルカタログがあります)の種類を決定します。
(*2) 最初の審査からフォローアップ審査までを9か月以内に終わらせる必要があります。

 

参考)評価・自己評価のイメージ

2106_cer_img04.jpg

出典:TISAX® Participant Handbookより抜粋

 

参考)TISAX® 評価フローチャート

2106_cer_img05.jpg

出典:Bureau Veritas Certification:TISAX® Technical Guidebook

 

システム認証事業本部 大谷 昌

 

 

【お問い合わせ】
ビューローベリタスジャパン(株) システム認証事業本部 営業部
E-MAIL
TEL:045-651-4785 FAX:045-641-4330
お問い合わせフォーム