企業の事業活動は、自社だけで完結することはなく、他社との連携で成り立っています。自動車業界においても、自動車メーカーの技術情報や顧客情報がサプライヤーに連携され、共同での部品開発や、サービスの提供が行われます。このような状況においては、連携された情報の取扱いについて情報セキュリティのリスクが懸念されます。
ドイツ自動車工業会(VDA)は、サプライヤーに対する情報セキュリティの審査方法を共通化し、VDAに所属する自動車メーカーがその結果を共有できる、TISAX®という仕組みを策定しました。
日本のサプライヤーに対しても、ドイツの自動車メーカーからTISAX®審査を受けるよう要求されており、取引継続のためには対応が急務となっています。しかし、TISAX®審査は英語またはドイツ語で実施され、情報セキュリティの専門知識も必要なため、対応に苦慮することが考えられます。
KPMGドイツは、TISAX®審査の実施が認められた審査機関の1つであり、複数の審査実績があります。KPMGジャパンは、KPMGドイツと協力して、日本のサプライヤーのTISAX®審査を実施します。
TISAX®の審査目的と審査レベルの関係
| # | 審査目的 | 説明 | 審査レベル |
|---|---|---|---|
| 1 | Info high | 保護ニーズの高い情報の取扱い(新規での選択は不可) | レベル2 |
| 2 | Info very high | 保護ニーズの非常に高い情報の取扱い(新規での選択は不可) | レベル3 |
| 3 | Confidential | 機密性の観点から、保護ニーズの高い情報の取扱い | レベル2 |
| 4 | Strictly confidential | 機密性の観点から、保護ニーズの非常に高い情報の取扱い | レベル3 |
| 5 | High availability | 可用性の観点から、保護ニーズの高い情報の取扱い | レベル2 |
| 6 | Very high availability | 可用性の観点から、保護ニーズの非常に高い情報の取扱い | レベル3 |
| 7 | Proto parts | プロトタイプ部品・コンポーネントの保護 | レベル3 |
| 8 | Proto vehicles | プロトタイプ車両の保護 | レベル3 |
| 9 | Test vehicles | テスト車両の取扱い | レベル3 |
| 10 | Proto events | イベントおよび動画・写真撮影時のプロトタイプの保護 | レベル3 |
| 11 | Data | GDPR第28条「処理者」に基づくデータ保護 | レベル2 |
| 12 | Special data | GDPR第9条に規定された 特別区分の個人データに関する、同第28条「処理者」に従ったデータの保護 | レベル3 |
審査レベルに対応する審査方法
| 審査レベル | 自己評価 | 証跡の確認 | インタビュー | オンサイトの審査 |
|---|---|---|---|---|
| 1※ | 必要 | 不要 | 不要 | 不要 |
| 2 | 必要 | 確からしさの検証 | テレカンファレンス | 状況に応じて実施 |
| 3 | 必要 | 詳細な検証 | 対面 | 必要 |
※審査レベル1は、サプライヤーが自社の情報セキュリティレベルを自己評価する目的で利用することが多く、審査機関は自己評価結果を審査しないため、自動車メーカーからは通常レベル2か3の審査を求められる。
TISAX®審査サービスの進め方
被審査企業が自己評価した結果を元に、KPMGが3種類の審査を組み合わせて総合的な審査結果を決定し、審査結果を共有する仕組みに登録します。
TISAX®報告書の構成
TISAX®審査の結果は、以下の5つの要素で構成される報告書にまとめられます。
A. 審査関連情報:会社名、審査スコープ、審査対象、審査レベルなど
B. 総合審査結果:審査結果 (Conform、 Minor non-conform、 Major non-conform)、 発見事項の数など
C. 審査結果概要:情報セキュリティ管理の要求事項ごと(たとえば、アクセス制御) の評価結果など
D. 審査結果詳細:すべての発見事項についての詳細な説明、対応するリスク評価結果、対応策など
E. 情報セキュリティの成熟度:情報セキュリティ管理の要求事項ごとの成熟度
