企業の事業活動は、自社だけで完結することはなく、他社との連携で成り立っています。自動車業界においても、自動車メーカーの技術情報や顧客情報がサプライヤーに連携され、共同での部品開発や、サービスの提供が行われます。このような状況においては、連携された情報の取扱いについて情報セキュリティのリスクが懸念されます。 ドイツ自動車工業会(VDA)は、サプライヤーに対する情報セキュリティの審査方法を共通化し、VDAに所属する自動車メーカーがその結果を共有できる、TISAXという仕組みを策定しました。 日本のサプライヤーに対しても、ドイツの自動車メーカーからTISAX審査を受けるよう要求されており、取引継続のためには対応が急務となっています。しかし、TISAX審査は英語またはドイツ語で実施され、情報セキュリティの専門知識も必要なため、対応に苦慮することが考えられます。 KPMGドイツは、TISAX審査の実施が認められた審査機関の1つであり、複数の審査実績があります。 KPMGジャパンは、KPMGドイツと協力して、日本のサプライヤーのTISAX審査を実施します。
TISAXの審査対象と審査レベルの関係
# | 審査対象 | 審査レベル |
---|---|---|
1 | 高い保護レベルが必要な情報 | レベル2 |
2 | 非常に高い保護レベルが必要な情報 | レベル3 |
3 | プロトタイプ部品の保護 | レベル3 |
4 | プロトタイプ車両の保護 | レベル3 |
5 | テスト車両の取扱い | レベル3 |
6 | イベント中や撮影中のプロトタイプの保護 | レベル3 |
7 | ドイツ連邦データ保護法に準拠したデータの保護 | レベル2 |
8 | ドイツ連邦データ保護法に準拠した特別カテゴリーのデータの保護 | レベル3 |
審査レベルに対応する審査方法
審査レベル | 自己評価 | 証跡の確認 | インタビュー | オンサイトの審査 |
---|---|---|---|---|
1※ | 必要 | 不要 | 不要 | 不要 |
2 | 必要 | 確からしさの検証 | テレカンファレンス | 状況に応じて実施 |
3 | 必要 | 詳細な検証 | 対面 | 必要 |
※審査レベル1は、サプライヤーが自社の情報セキュリティレベルを自己評価する目的で利用することが多く、審査機関は自己評価結果を審査しないため、自動車メーカーからは通常レベル2か3の審査を求められる。
TISAX審査サービスの進め方
被審査企業が自己評価した結果を元に、KPMGが3種類の審査を組み合わせて総合的な審査結果を決定し、審査結果を共有する仕組みに登録します。
TISAX報告書の構成
TISAX審査の結果は、以下の5つの要素で構成される報告書にまとめられます。
A. 審査関連情報:会社名、審査スコープ、審査対象、審査レベルなどB. 総合審査結果:審査結果 (Conform、 Minor non-conform、 Major non-conform)、 発見事項の数などC. 審査結果概要:情報セキュリティ管理の要求事項ごと(例えば、アクセス制御) の評価結果などD. 審査結果詳細:すべての発見事項についての詳細な説明、対応するリスク評価結果、対応策などE. 情報セキュリティの成熟度:情報セキュリティ管理の要求事項ごとの成熟度