本連載は、2023年4月より日刊自動車新聞に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
厳格化するTISAXの要求事項
ドイツ自動車工業会(以下、VDA)が2017年に策定したTISAX(Trusted Information Security Assessment Exchange)は、VDAの会員企業の機密情報を取り扱うサプライヤーの情報セキュリティ体制を審査・認証し、その結果を共有する枠組みです。
要求される事項は「ISO/IEC 27001/27002」などの国際的な情報セキュリティマネジメントシステム(以下、ISMS)の規格に基づいていますが、自動車業界特有のリスク対策や具体的なセキュリティ対策、運用の実施を求められる状況下では、日本語での情報が豊富とは言えず、日本企業が対応に苦慮するケースが散見されます。
また、ISMSの認証審査は、すべての文書や記録類までは確認しないサンプリング審査であるのに対し、TISAX審査では基本的にすべての要求事項が確認対象となることも、対応の難度を上げています。
一方で、自動車業界におけるTISAXの存在感は日に日に高まっています。認証取得の必要性に迫られる企業は増加しており、背景にはサプライチェーンにおける中国への対応、自動車の電動化の拡大に伴ったサプライチェーンの変化や多様化が挙げられます。VDAもドイツ政府の対中国戦略に沿ってサプライチェーンの分散を推奨しており、VDA会員企業において具体的な動きが活発化しています。
また、電動化の拡大に伴った半導体・通信・素材・ソフトウェア・電子部品など、これまでVDA会員企業の直接のサプライヤーではなかった企業への引き合いの増加も背景として考えられます。さらには、「ISO/SAE 21434」を活用した車両サイバーセキュリティ管理システム(CSMS)の規格としてTISAX VCS(Vehicle Cybersecurity)の準備も進められています。
TISAXの要求事項はセキュリティマネジメント体制、技術的セキュリティ、コンプライアンスなど多岐にわたり、必要に応じてプロトタイプ製品の物理的な保護や、個人データの保護への対応も必要となります。そのため審査に向けた対応負荷は大きく、一般的には1年ほどの準備期間を要します。
また、多様な要求事項に対応するため、情報セキュリティ部門・事業部門・総務・人事・法務・経営層など多くの組織が関連してくる可能性もあり、対応を主幹する部門(多くの場合、情報セキュリティ部門)を定め、各部門が連携して対応していくことが重要となります。
さらに、要求事項はチェックシートとして頻繁に更新されており、2023年10月に公表されたアップデートでは「ISO/IEC 27001」の2022年版との対応関係が整理されたほか、米国国立標準技術研究所(NIST)のセキュリティ標準である「SP 800-53 Revision 5」などとの対応関係も追加され、レジリエンス・脅威の検出・対応・復旧の観点で要求事項が全体的に見直されています。
特に昨今のサイバー攻撃の増加を踏まえ、インシデントの報告と対応、BCPやIT‐BCPに関する要求事項の詳細化や追加が大幅に行われ、可用性や継続性の面でさらなる対応が必要となりました。これらに加え、業務で使用するソフトウェアの承認や管理に関する要求事項も複数追加されています。
要求事項は今後もセキュリティリスクの高まりに伴って厳格化することが見込まれます。早めに準備を進めることに加え、ISMS審査の延長ではなく、TISAX審査として求められている内容について正しい理解を持つことが重要と言えます。
※情報セキュリティに関する要求事項の件数にて算出
日刊自動車新聞 2023年12月4日掲載(一部加筆・修正しています)。この記事の掲載については、日刊自動車新聞社の許諾を得ています。無断での複写・転載は禁じます。
執筆者
KPMGコンサルティング
マネジャー 深見 淳
シニアコンサルタント 佐野 智彦
