TISAX審査における評価内容は、VDA-ISA(Information Security Assessment)という評価シートに定められており、少し複雑な仕組みとなっている。
VDA-ISAは1つの「メインカタログ」および、3つの「アディショナルカタログ」から構成される。このうち、52問の評価項目を有するメインカタログは、TISAXの適合ラベルを取得するために必ず用いられ、ISO/IEC27001をベースに設計されている。このメインカタログは、情報セキュリティ全般に関する要求事項を網羅的に評価することを目的としている。
VDA-ISAにおいて特徴的なアディショナルカタログは、審査の要求元の情報システムを利用した業務のセキュリティを評価する「第三者との関係」、完成車のモックアップやパーツのプロトタイプなど物理的な機密情報の保護を評価する「プロトタイプの取扱い」、個人情報の保護を評価する「ドイツ連邦データ保護法に準拠したデータ保護」の3つから構成され、該当する業務がある場合のみ評価が求められる。
また、各VDA-ISAカタログには「審査レベル」という概念があり、レベルによって要求される情報セキュリティ管理策が異なるほか、レベル3では現地調査が必ず求められるなど、審査プロセスの厳格さにも差が生じる。なお、図中に記載がないレベル1は、審査機関による審査を伴わない自己評価のことであり、TISAXの審査結果としては認められない。
レベル2におけるインタビューはオンサイトではなく、テレカンファレンスであることに留意が必要である。テレカンファレンスでは、審査員が見えない状況で、英語またはドイツ語で情報セキュリティの専門的内容について応対する必要があることから、多くの日本企業にとってのハードルになり得る。
審査に用いるVDA-ISAカタログおよび審査レベルは、審査の要求元から、審査要求を受けた側に「審査目的」という形で通達される。VDA-ISAはENXのホームページ上で公開されているため、審査目的が明確になれば、審査を要求された側はどのような審査を受けることになるのか、その概要を把握することが可能となる。
TISAX審査目的と審査レベル
| 審査目的 | 審査レベル | 利用カタログ | |
| 1 | 高い保護レベルが必要な情報 | 2 | メインカタログ |
| 2 | 非常に高い保護レベルが必要な情報 | 3 | |
| 3 | 高い保護レベルが必要な第三者との関係 | 2 | 第三者との関係 |
| 4 | 非常に高い保護レベルが必要な第三者との関係 | 3 | |
| 5 | 高い保護レベルが必要なプロトタイプの取扱い | 2 | プロトタイプの取扱い |
| 6 | 非常に高い保護レベルが必要なプロトタイプの取扱い | 3 | |
| 7 | ドイツ連邦データ保護法に準拠したデータの保護 | 2 | ドイツ連邦データ保護法に準拠したデータ保護 |
| 8 | ドイツ連邦データ保護法に準拠した特別カテゴリーのデータの保護 | 3 |
日刊自動車新聞 2019年6月5日掲載(一部加筆・修正しています)。この記事の掲載については、日刊自動車新聞社の許諾を得ています。無断での複写・転載は禁じます。
