ドイツ自動車工業会(VDA)が定めたTISAX審査の評価内容は、VDA ISA(Information Security Assessment)という評価シートを基としています(「TISAX審査の評価シート「VDA ISA」について」記事参照)。その評価シートにおいて、2022年5月2日にマイナーバージョンアップ(Version5.0.4からVersion5.1)が実施されました。
本稿では、VDA ISAのChapter1に関する今回のバージョンアップの主な変更点と、VDA ISA評価シートの最新版を入手することの重要性、ならびに審査対応時におけるルール文書と運用証跡取得にかかるドキュメント準備計画の策定について解説します。
VDA ISAのバージョンアップの概要
VDA ISAは2020年10月にメジャーバージョンアップ(Version4.1からVersion5.0)が実施されて以降、その後のバージョンアップはいずれも軽微なもののみとなっており、今回実施されたのもマイナーバージョンアップという位置付けです。今回のバージョンアップでは、変更が134ヵ所、削除が16ヵ所、追加が4ヵ所となっています。内容の大半は表記および用語の修正、モジュールの建付け修正、項目間の整理等で、いずれも要求事項に直接的な影響は大きくないものと考えられます。また、参加者ハンドブック(TISAX Participant Handbook)も2022年4月にVer2.4に更新されていますが、いずれも軽微な変更にとどまっています。
VDA ISAのChapter1における変更内容(抜粋)
No | 種類 | (旧)Ver.5.0.4 | (新)Ver.5.1.0 | 主なポイント |
---|---|---|---|---|
1.1.1 | 変更 | A policy has been created and approved by the organization's management. | A policy is prepared and is released by the organization... | 「組織のマネジメントによる承認」という表現から、「組織によるリリース」という表現に修正 |
1.1.1 | 削除 | Responsibilities for the implementation are defined. | (ー) | (完全削除) |
1.3.3 | 変更 | A risk assessment of the external IT services exists. | A risk assessment of the external IT services is available. | リスクアセスメントが「ある」から「利用可能である」に変更され、より有効性や可用性が求められる |
VDA ISA最新版への対応
TISAX審査を受けるにあたっては、いくつか注意すべき点が存在します。その1つが「VDA ISA最新版への対応」です。今回のようなVDA ISAのバージョンアップに対して、変更内容をいち早くキャッチアップし、対応計画への影響範囲を見極める必要があります。特に審査準備中にバージョンアップが実施されると、文書作成や証跡取得などの準備スケジュールに影響を与える可能性があるため注意が必要です。最新の情報をタイムリーに入手し、変更点および差分を正確に把握した上で、自社の対応計画に的確に組み込む必要があります。同様に参加者ハンドブックに関しても、バージョンアップに留意しておくべきと言えるでしょう。
TISAX審査におけるルール文書作成と運用証跡取得の計画について
TISAX審査を受ける企業が準備すべきドキュメントとして、(1)ルール文書(2)そのルールに従って運用した証跡の2種類が求められます。まずは自社の情報セキュリティマネジメントシステムを振り返り、TISAXの求める要求事項とのギャップを洗い出すことによって、現時点で不足しているドキュメントがどれくらいあるのかを明らかにします。そしてこれらの不足しているドキュメントを、審査を受けるまでにいかに体系的かつ効率よく準備するかが、審査にパスするために最も重要なファクターの1つとなります。その際、ISO/IEC 27001を取得している企業においてはある程度ドキュメントが整備されていることも考えられますが、TISAXではISO/IEC 27001よりもさらに踏み込んだ個々の運用の実効性が見られるため、その点に注意して準備を進める必要があります。
ドキュメント準備計画では、ギャップ分析において出た修正事項を基に、通常はまず既存ルール文書の改訂を実施し、そのルールに基づいて運用証跡の取得を行います。運用証跡は、定期的に取得する文書(例:四半期に一度実施される定例会議の議事録)や、イベント発生時に取得する文書(例:社員の秘密保持誓約書)など、取得のタイミングが異なるため、それぞれの文書に合わせて取得計画を作成します。これらの計画は、TISAX認証取得の期間に影響を与えます。
次回の記事では、「TISAX認証取得にかかる期間」について解説します。
執筆者
KPMGコンサルティング
シニアマネジャー 三浦 康暢