TISAX認証取得支援サービス(Trusted Information Security Assessment Exchange)

自動車会社がセキュリティリスクに備える背景

世界の一大産業である自動車業界は、自動車エコシステムにおいて広範かつ複雑なサプライチェーンを有しており、この中でさまざまな情報システムやデータを扱っています。万が一、サプライヤー、ディーラー、あるいは自動車会社にサービスを提供しているベンダーなどでデータ漏えいなどのセキュリティインシデントが発生した場合、これがサプライチェーン全体に重大な影響を及ぼす可能性があります。このような状況において、日々高まりつつあるセキュリティリスクに対して、取引先企業がセキュリティ対応を講じているかどうかは、自動車会社にとって重要な確認事項になっています。

このような状況の中、ドイツ自動車工業会(VDA)は、会員企業における情報セキュリティの保護水準を引き上げるために、国際基準ISO 2700xの要件達成を要求しています。その中で、VDAは、達成すべき基準となるVDA情報セキュリティ評価基準(以下「VDA ISA」)を策定しました。2017年にはENX(European Network Exchange)と協力し、TISAX(Trusted Information Security Assessment Exchange)を確立しました。

TISAXは、ドイツの自動車業界において広く採用されるセキュリティ評価の仕組みであり、自動車会社は取引先に対して、この基準に基づいて外部の審査機関による監査を受けることを求めています。この審査認証結果は、ENXの情報交換ネットワーク上に登録、公開されます。このため、サプライヤーが各自動車会社から個別にセキュリティ管理状況に関する問い合わせを受け、対応する労力を減らせるようになりました。

TISAXの認証ステップ

VDAはENXと提携して、資格認定要件を満たす審査機関(※)を指定し、監査人の権限を付与しています。これらの審査機関が、TISAXの認証を受けたい企業に対して審査を行い、基準を満たす場合にTISAX認証の証明書を発行しています。

(※)2019年8月時点で、審査機関は10社

TISAXの評価は以下の4ステップにて実施します。

  1. 評価準備
    企業は、VDA ISAに従い、会社の現行の情報セキュリティと情報システム管理制度の成熟度を精査(自己評価)し、TISAX認証事前準備作業を行う。
  2. 監査範囲の検討および審査機関の選定
    ENX Portalサイトに登録し、自動車会社の要求に基づき、認証が必要な範囲と評価格付けを確認し、「Registry Excerpt」ファイルを完成させる。併せて、TISAX認証の審査機関を選定する。
  3. 審査期間による審査
    審査機関は、自動車会社から要求された、会社の認証範囲とアセスメントレベルに基づき、関連する審査を実施する。
  4. 審査結果の登録、公開
    企業は、審査結果をTISAXプラットホーム上に公開する。公開後は、TISAXのその他参加者がENXネットワーク上で審査結果にアクセスし、内容をレビューできる。

図表3で示すように、企業がENX Portalに登録した時点で審査開始となりますが、初期評価から改善対応を経て、TISAX認証を取得するまでの一連のプロセスは、9カ月以内に完了する必要があります。このため、現状のセキュリティ管理態勢が要求事項を満たさないと想定される場合は、ENXへの登録前に初期評価を実施して問題点を洗い出し、不合格となる可能性がある項目の改善対応を進めた上で本審査に臨むなど、綿密な計画、スケジュール設定が必要です。

TISAX認証の有効期間は3年間です。認証を更新する場合は、企業は期間内に再度、審査機関による審査を受ける必要があります。

なお、現時点では自動車会社の中には新規取引先となる企業や、新規業務の取引に際して、TISAX認証を必須要件としている会社もあります。また、既存の取引先についても、TISAXの認証取得を求めるケースがあります。

現在、ドイツの自動車会社が、サプライヤーに対してTISAXの認証取得を要求し始めています。フォルクスワーゲンはサプライヤーに対し、新規取引時や自社とデータを交換する可能性がある場合には、TISAXの認証取得を義務付けています。また、他のドイツの自動車会社も、サプライヤーへのTISAX認証取得の要求を予定しています。

認証取得支援サービス

PwC Japanを選定することによるメリット

PwCのグローバルネットワーク内にTISAX認証機関を有する:PwC Japanは、PwCドイツのPwCのグローバルネットワーク内にTISAX認証機関を有するPwC Certification Services GmbHと協力して、貴社のプロジェクトの準備作業、自己評価、問題発見・改善と最終認証審査の全過程をサポートします。

豊富な業界経験を有する:私どもPwC Japanは、自動車業界内で豊富な経験と深い見識を有し、大手自動車会社を対象とした多数のプロジェクトの成功実績がございます。

PwCのグローバルリソースを活用できる:私どもPwC JapanはPwCのグローバルネットワークのメンバーファームです。PwCは、世界的な専門ファームとして、経験豊富なセキュリティチームを有し、世界各地に多数のITリスクや情報セキュリティ専門家、ならびにTISAXの本拠地であるドイツに深い見識を持つ専門家を配置しています

TISAX認証を受けるサプライヤーの拠点が日本にある場合は、日本のPwCが審査を実施し、ドイツのPwC Certification Services GmbH(以下「PwC Cert」)にその結果を伝えます。PwC Certは、この審査結果に基づき、サプライヤーが、事前に決定したスコープとアセスメントレベルについて、VDA ISAを満たしていることを確認した上で、TISAX認証の証明書を発行します。


{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

主要メンバー

外村 慶

パートナー, PwCコンサルティング合同会社

Email

加藤 俊直

パートナー, PwCあらた有限責任監査法人

Email

小滝 健一

ディレクター, PwCあらた有限責任監査法人

Email

道輪 和也

マネージャー, PwCコンサルティング合同会社

Email