ドイツ自動車工業会(VDA)が定めたTISAX審査の評価項目は、VDA ISA(Information Security Assessment)という評価シートに定められています(「TISAX審査の評価シート「VDA ISA」について」 記事参照)。その評価シートにおいて、2022年5月2日にマイナーバージョンアップ(Version5.0.4からVersion5.1)が実施されました。
本稿では、VDA ISAのChapter5~7に関する今回のバージョンアップの主な変更点と、TISAX認証取得準備の進め方について解説します。
Chapter5~7における変更内容(抜粋)
TISAX認証取得準備の進め方について
TISAX認証取得にあたっては、VDA ISAおよび参加者ハンドブック(Participant Handbook)を参照のうえ、審査までに半年から1年程度の準備期間が必要と想定されます。
ただし以下に挙げる条件があてはまるような場合は、準備期間をより短くすることができると考えられます。
(1)ISMSの運用の記録が十分に作成・保管されている
ISMS(情報セキュリティマネジメントシステム)が既に存在し、PDCAサイクル構築にとどまらず運用証跡まで準備できている場合です。証跡の具体例としては、リスクアセスメントの実施結果や、IT-BCPの整備・訓練等の記録、また情報システム開発時・変更時のセキュリティ検討記録等が挙げられます。これらが適切に作成され、必要に応じて更新されており、整理のうえ保管されているのであれば、TISAX審査の証跡としてそのまま活用することができます。
(2)OEMから預かる情報の連携範囲を限定している
(1)に加え、TISAX認証取得の要求元の企業から受領する機密情報が、設計部門等の特定の範囲内に限定して連携可能なのであれば、既存のISMSにないVDA ISA固有の要件を洗い出し、追加ルールのような形で当該部門に適用することで、審査対応の工数削減が期待できます。
(3)ISO/IEC 27001認証取得や情報セキュリティ監査の経験者が審査準備に専任できる
実際にTISAX審査準備を進めるにあたっては、情報セキュリティに関連した審査や監査の経験者が専任できることが望ましいと言えます。特に、VDA ISA要求事項はISO/IEC 27001を参照して策定されているため、ISO/IEC 27001の認証取得実績がある場合、審査準備期間はVDA ISA特有の要求事項への対応により多くのリソースを集中させることができると考えられます。
ただし上記の条件が揃っていたとしても、VDA ISAの要求事項は多岐にわたり、技術的対策・物理的対策・人的対策・組織的対策のいずれも要求されているため、部門横断的に取り組む必要があります。したがって、情報セキュリティ部門等の単一の部署だけでは、審査準備にあたって知見等が不足し、認証取得が長期化する可能性があります。また、TISAXの対応は認証取得という目的だけでなく、自社のISMS自体を見直し、セキュリティレベルを高める機会と捉えることができます。
これらの理由から、TISAX認証取得準備にあたっては専門的なノウハウを有する企業に支援を依頼することも、選択肢としてメリットがあると考えられます。
執筆者
KPMGコンサルティング
コンサルタント 佐野 智彦
