TISAX®対応支援

自動車業界では、自動車メーカーの技術情報や顧客情報がサプライヤーに連携され、共同での部品開発や、サービスの提供が行われています。サプライヤーに連携された情報を、セキュリティ上適切に取り扱うことを求めるため、ドイツ自動車工業会（VDA）は、TISAX®というセキュリティ認証の仕組みを策定しました。それを受け、近年、日本のサプライヤーも、ドイツの自動車メーカーやサプライヤーからTISAX®認証取得を求められています。

KPMGジャパンは、TISAX®審査の実施が認められた審査機関であるKPMGドイツと協力して、TISAX®の要求事項を満たすISMS（情報セキュリティ管理態勢）構築を支援します。

TISAX®の要求事項は、情報セキュリティの国際規格であるISO/IEC 27000シリーズの管理策がベースになっています。一方で、ISO/IEC 27001の審査に比べてTISAX®審査では、要求事項を遵守する規定が整備されており、規定どおりに実際に運用されているかを、規定や運用の証跡を入手しての閲覧やインタビューで詳細に確認します。

TISAX®では、各質問を0から5までの6段階の成熟度で評価し、合格ラインである3と評価されるためには、基本的に“Must”と“Should”の要求事項が規定として整備され、運用の証跡が存在しなければなりません。

したがって、TISAX®対応のためのISMSは、 ISO/IEC 27000シリーズの管理策よりも、TISAX®のより具体的な要求事項に基づいて構築する必要があります。

TISAX®に対応するためには、自社のISMSがTISAX®の要求事項と、どれくらいギャップがあるのかをまず把握する必要があります。フェーズ1でギャップを分析し、それを埋めるセキュリティ対策導入計画を作成することで、TISAX®対応の全体作業量が明確になります。

フェーズ2では、セキュリティ対策導入計画に基づいて、TISAX®要求事項を遵守する規定や運用のための文書を整備し、規定通りに実際に運用・改善していきます。

自社のISMSの成熟度やTISAX®認証取得の対象拠点の数にもよりますが、フェーズ1は2～3ヵ月で行います。その後のフェーズ2は、自社のセキュリティ対応のケイパビリティや、外部からどこまでの支援を受けるか等にもよりますが、TISAX®の“Must”と“Should”の要求事項の数やISO/IEC 27001の認証取得の事例を踏まえると、文書を整備し、運用を定着させるために少なくとも半年～1年以上は必要であると考えます。