TISAX認証取得支援サービス(Trusted Information Security Assessment Exchange)

自動車OEMがセキュリティリスクに備える背景

世界の一大産業である自動車業界は、自動車エコシステムにおいて広範かつ複雑なサプライチェーンを有しており、この中でさまざまな情報システムやデータを扱っています。万が一、サプライヤー、ディーラー、あるいは自動車OEMにサービスを提供しているベンダーなどでデータ漏えいなどのセキュリティインシデントが発生した場合、これがサプライチェーン全体に重大な影響を及ぼす可能性があります。このような状況において、日々高まりつつあるセキュリティリスクに対して、取引先企業がセキュリティ対応を講じているかどうかは、自動車OEMにとって重要な確認事項になっています。

このような状況の中、ドイツ自動車工業会(VDA)は、会員企業における情報セキュリティの保護水準を引き上げるために、国際基準ISO 2700xの要件達成を要求しています。その中で、VDAは、達成すべき基準となるVDA情報セキュリティ評価基準(以下「VDA ISA」)を策定しました。2017年にはENX(European Network Exchange)(以下「ENX」)と協力し、TISAX(Trusted Information Security Assessment Exchange)を確立しました。

TISAXは、ドイツの自動車業界において広く採用されるセキュリティ評価の仕組みであり、自動車OEMは取引先に対して、この基準に基づいて外部の審査機関による監査を受けることを求めています。この審査認証結果は、ENXの情報交換ネットワーク上に登録、公開されます。このため、サプライヤーが各自動車OEMから個別にセキュリティ管理状況に関する問い合わせを受け、対応する労力を減らせるようになりました。

TISAXの認証ステップ

VDAはENXと提携して、資格認定要件を満たす審査機関(※)を指定し、監査人の権限を付与しています。これらの審査機関が、TISAXの認証を受けたい企業に対して審査を行い、基準を満たす場合にTISAX認証の報告書を発行しています。

(※)2025年6月時点で、審査機関は16社

TISAXの評価は以下の4ステップにて実施します。

  1. 評価準備
    企業は、VDA ISAに従い、会社の現行の情報セキュリティと情報システム管理制度の成熟度を精査(自己評価)し、TISAX認証事前準備作業を行う。
  2. 監査範囲の検討および審査機関の選定
    自動車OEMの要求に基づいて、認証が必要な範囲とアセスメントレベルをENX ポータルサイトに登録する。登録完了後、ENXから「TISAX Scope Excerpt」ファイルが返送されるので、これを審査機関に提示して見積もりと提案を依頼し、審査機関を決定する(審査機関は「TISAX Scope Excerpt」の内容に基づいて提案を行う)。
  3. 審査期間による審査
    審査機関は、自動車OEMから要求された、会社の認証範囲とアセスメントレベルに基づき、関連する審査を実施する。
  4. 審査結果の登録、公開
    企業は、審査結果をTISAXプラットフォーム上に公開する。公開後は、TISAXのその他参加者がENXネットワーク上で審査結果にアクセスし、内容をレビューできる。

図表3:TISAXの認証フロー

図表3で示すように、企業がENX ポータルに登録した時点で審査開始となりますが、初期評価から改善対応を経て、TISAX認証を取得するまでの一連のプロセスは、9カ月以内に完了する必要があります。このため、現状のセキュリティ管理態勢が要求事項を満たさないと想定される場合は、ENXへの登録前に初期評価を実施して問題点を洗い出し、不合格となる可能性がある項目の改善対応を進めた上で本審査に臨むなど、綿密な計画、スケジュール設定が必要です。

TISAX認証の有効期間は3年間です。認証を更新する場合は、企業は期間内に再度、審査機関による審査を受ける必要があります。

なお、現時点では自動車OEMの中には新規取引先となる企業や、新規業務の取引に際して、TISAX認証を必須要件としている会社もあります。また、既存の取引先についても、TISAXの認証取得を求めるケースがあります。

現在、ドイツの自動車OEMが、サプライヤーに対してTISAXの認証取得を要求しています。

認証取得支援サービス

図表4:PwCコンサルティングのTISAX認証取得に対する支援内容

PwC Japanグループを選定することによるメリット

PwCのグローバルネットワーク内にTISAX認証機関を有する

PwC Japanグループは、PwCのグローバルネットワーク内のTISAX認証機関であるPwC Certification Services GmbH(ドイツ)と協力して、プロジェクトの準備作業、自己評価、問題発見・改善と最終認証審査の全過程をサポートします。

豊富な業界経験を有する

PwC Japanグループは、自動車業界内で豊富な経験と深い見識を有し、大手自動車会社を対象とした多数のプロジェクトの成功実績があります。

PwCのグローバルリソースを活用できる

PwC JapanグループはPwCのグローバルネットワークのメンバーファームからなります。PwCは、世界的なプロフェッショナルサービスファームのネットワークとして、経験豊富なセキュリティチームを有し、世界各地に多数のITリスクや情報セキュリティの専門家、ならびにTISAXの本拠地であるドイツに深い見識を持つ専門家を配置しています

TISAX認証を受けるサプライヤーの拠点が日本にある場合は、日本のPwCメンバーファームが審査を実施し、ドイツのPwC Certification Services GmbH(以下「PwC Cert」)にその結果を伝えます。PwC Certはこの審査結果に基づき、サプライヤーが事前に決定したスコープとアセスメントレベルについてVDA ISAを満たしていることを確認した上で、TISAX認証の証明書を発行します。

インサイト/ニュース

20 results
Loading...

「営業秘密」の保護と利活用 第3回:無形資産の戦略的保護―営業秘密管理体制の要諦―

営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第3回となる本稿では、「営業秘密保護の組織体制」に焦点を当て、どのように最適な管理体制を構築すべきかについて解説します。
Loading...

セミナー

2 results
Loading...
Loading...

サイバーセキュリティニュースレター

配信登録フォーム

主要メンバー

加藤 俊直

パートナー, PwC Japan有限責任監査法人

Email

藤田 恭史

パートナー, PwCコンサルティング合同会社

Email

道輪 和也

ディレクター, PwCコンサルティング合同会社

Email

小滝 健一

シニアマネージャー, PwC Japan有限責任監査法人

Email

本ページに関するお問い合わせ

フォーム

関連情報

We unite expertise and tech so you can outthink, outpace and outperform
See how