ISOコンサルタント:トップ > その他規格導入支援コンサルティング > TISAX認証支援コンサルティングサービス
TISAX (Trusted Information Security Assessment Exchange)とは、自動車サプライチェーンを対象とした情報セキュリティの登録制度の事で、参加者間で組織の情報セキュリティの評価結果を共有できます。TISAXに登録するには「VDA ISA」という認証基準を満たし、審査機関から審査を受けて合格する必要があります。VDA ISAは、 VDA (ドイツ自動車工業会) が代表的な情報セキュリティマネジメントシステムの国際規格であるISO27001 をベースに、ISO/IEC27017 や GDPR などのセキュリティ規格や法規制の他、自動車関係の OEM やサプライヤーに向けたセキュリティ要求事項をミックスして開発した規格になります。 TISAX はドイツの「ENX Association」が VDA に代わって運営しており、TISAX は2023年7月現在すでに 40 カ国以上、2,500 社以上の企業で採用されています。TISAXの認証支援コンサルはTPSへお任せください。
自動車サプライチェーンにおける情報セキュリティの管理は、TISAXが出来る以前は、各OEMはサプライヤーごとに二者監査を実施し、個々の情報セキュリティレベルを確認、指示、要求していました。この際、サプライヤーは各OEM毎に情報セキュリティに関する要求事項が微妙に違い、非常に大変な作業が発生していました。OEMにしても大変な監査工数を費やします。そこで、全てのOEMを満足させる共通した自動車サプライチェーンに特化したISMSを作り、これを認証する仕組みとして「TISAX」(ティーサックス、ティザックス)を作る事で大幅な工数削減を実現すると同時に、大きなビジネスチャンスも生まれる事になりました。
自動車関連のISOマネジメント規格でも最も有名なのがISO/TS16949であり、それを引き継いだマネジメントシステムがIATF16949となります。この、IATF16949は、自動車サプライチェーンに属し、純正品を量産する拠点でしか認証できなかったのですが、TISAXはIATF16949と違い部品製造に特化するのではなく、OEMから顧客に自動車が提供されるまでに関連する事業者を対象としています。故にその対象組織は、部品製造、修理、設計・開発、ソフトウェア開発、ディーラー、アフターサービス業者など様々な分野の企業が対象となります。
TISAXを認証する為には(正確にはTISAX制度評価登録完了)、TISAXが指定する「基準」に則って情報セキュリティを確保、クリアする必要があります。その基準となるのが「VDA ISA」です。「VDA ISA」とはISO27001をベースにVDAが策定した情報セキュリティ評価シートのことであり、TISAX審査における評価内容の基(評価基準)となります。「VDA ISA」はドイツ語、英語、仏語、中国語の4か国で発行されており、残念ながら日本語での発行はありません。故に 審査機関は独自で翻訳して審査を行うので解釈の違いが多少出ます。
TISAXで定義する保護すべき情報セキュリティのレベルは3段階で存在(al1-Al2)します。OEMや取引先、情報の種類ごとに管理レベルが要求(指定・要求される場合はほとんどレベル3)され、そのレベルにより組織の管理策(対応度合い)が異なってきます。当然、審査機関も審査レベルで審査の厳しさもそれぞれ違ってくるというわけです。ただし、基本はレベル1は自己評価で審査は行われず、レベル2は電話会議などで審査の厳しさは低いのですがレベル3は現地審査で厳しくチェックされます。この様にISOマネジメントシステム審査と異なり、「自己評価」と「審査員による審査」の2段階に分かれているまた、現時点では審査員はドイツ人という審査機関もあり、審査機関を選ぶ際には注意が必要です。また、一度TISAX審査に合格し、ENX登録完了となるとISOマネジメントシステムのようにサーベイランス(定期監査)が無く、TISAXラベル(登録証と同義)は3年ごとの更新となります。
【国内で審査可能な審査機関一覧】(2024年4月)
- 日本の営業および監査 -
・BSI
・ビューローベリタスサービス
・デロイト サーティフィケーション サービシズ
・DQS
・KPMG
・PWC
・SGS
・テュフ ラインランド
- 日本の営業または監査 -
・DNV
・ERNST & YOUNG
- 日本でも査定が可能 -
・CIS
・オペレーション サービス
・テュフ ノルド
・テュフズード
なお、全世界でのTISAX認証組織は
ENXのイエローページより確認できます。ただし、掲載は任意であり、ここに掲載されてない組織も多数存在します。
・TISAXを認証する事で自動車サプライチェーンで要求されたセキュリティレベルを確保できる
・複数のOEMと取引するサプライヤーは、各々のOEMのセキュリティ要求に対応する必要がなくなる
(評価の重複を避ける事による大幅な作業負荷軽減)
・OEMにおいて、事前に新規取引先のISMSレベルを把握できる
・TISAXに登録し自社のISMSレベルを公表できることによる信用性、及び取引、ビジネスチャンスの拡大
・既存のサプライヤー契約の更新を促進する
TISAX認証支援コンサルティングは、是非スリープロサポートへご相談ください。貴社のニーズにお応えする様々なコンサルティングを提供させて頂きます。
BCMSトップ ISO22301:2012 BCMS適合性評価制度 BCMS関連ガイドライン 建設業BCP BCMS認証支援 BCP訓練・演習