企業の事業活動で他社との連携が増えている中、自動車業界においても技術情報や顧客情報などを他社と連携・共有し、共同で製品開発やサービスの提供が行われている。共有している情報の中には、気密性や安全性に関わる重要度の高い内容も含まれることもあるため、自動車メーカーは連携先へも高度な情報セキュリティ対策を求めている。
これまで情報の連携元である自動車メーカーやサプライヤーは、情報の連携先であるサプライヤーにおける情報の取扱い状況を、個別に審査などを行って確認していた。さらに、連携先は複数の連携元から同様の審査に対応しなければならず、双方にとって大きな負担であった。そこでドイツ自動車工業会(VDA)は、サプライヤーに対する情報セキュリティ審査の方法・基準を共通化し、VDAに所属する自動車メーカーやサプライヤーがその結果を共有できる、TISAX(Trusted Information Security Assessment Exchange)という仕組みを2017年に策定した。これにより、情報の連携元も連携先も重複した審査を回避でき、また各サプライヤーを同じ審査基準で評価できるようになった。ここで、情報の連携先はサプライヤーであるが、情報の連携元はVDAに所属する自動車メーカーだけでなく、サプライヤーも含まれることに留意が必要である。
TISAXはドイツにおいて策定された仕組みではあるが、ドイツの自動車メーカーやサプライヤーと取引のある日本のサプライヤーに対しても、TISAXへの対応が要求されるケースが発生している。ドイツの各自動車メーカーやサプライヤーは、TISAXの審査結果をサプライヤーとの取引開始や継続の条件に利用することや、サプライヤーにおいてもTISAXの審査結果を、自社の客観的な情報セキュリティーレベルの証明に利用することが考えられる。このようにTISAXは、審査を要求する側、審査を受ける側の両方にメリットがあるため、今後TISAX審査の利用が加速していくと予想される。
TISAXの要求事項に沿った情報セキュリティ管理態勢を構築、運用し、英語またはドイツ語で行われる審査に適合するためには、情報セキュリティの専門知識やTISAXの審査ノウハウに加え、言語対応が必要であることから、多くの日本企業にとってはその対応が負担になると考えられる。
本シリーズでは、TISAXの概要から審査の要求事項や審査プロセス、そして日本企業のTISAXへの備えについて解説していく。
日刊自動車新聞 2019年6月3日掲載(一部加筆・修正しています)。この記事の掲載については、日刊自動車新聞社の許諾を得ています。無断での複写・転載は禁じます。
執筆者
KPMGコンサルティング
ディレクター 万仲 隆之
