TISAX認証の取得の完全ガイド！方法と流れ 申請～審査をステップに分けて解説

TISAX（Trusted Information Security Assessment Exchange）認証は、自動車業界向けの情報セキュリティ基準であり、データ保護とセキュリティの高いレベルを確保するための認証です。

ヨーロッパで生まれたこの認証は急速な広がりを見せており、日本企業であっても欧州の自動車関連業者と取引する際には必要となってくるケースが急増しています。

そんな重要なTISAX認証ですが、日本では非常に情報が少なく担当者の負担が非常に重いものになってしまっています。

本記事では、TISAX認証について必要な情報をコンパクトに解説します。

▼▼▼ 少し宣伝です ▼▼▼
プライバシー認証コンサルのUPFなら、TISAX認証の機関選びはもちろん、
認証に際するあらゆる手続きをサポートし、担当の方の負担を軽減します。
TISAX認証に関して相談をしてみる（無料）>>

TISAX認証とは？概要と取得の対象

TISAX（Trusted Information Security Assessment Exchange）は、2017年に策定された自動車産業における情報セキュリティの評価と共有のための認証です。 TISAXは、情報セキュリティに関連するサプライヤーと顧客の間での信頼性を高めるために、ISO/IEC 27001に基づいて策定されました。

現在、ヨーロッパをはじめとして近年自動車業界で急速な広がりを見せており、日本企業であっても欧州の自動車メーカーと取引をおこなう際にはTISAXの認証取得を求められるケースが頻発しています。

TISAXの背景には、自動車産業のデジタル化とコネクティビティの進展に伴い、情報セキュリティの重要性が高まったことがあります。 車両や関連システムがインターネットに接続されることで、サイバーセキュリティへの脅威も増加しました。 このような状況下で、自動車メーカーやサプライヤーは情報セキュリティの保護と信頼性の向上が求められるようになりました。

TISAXを導入している大手自動車メーカー

TISAXを導入している自動車メーカーには、以下のような大手企業が含まれます。

フォルクスワーゲン・グループ（Volkswagen Group）／ BMWグループ（BMW Group） ／ ダイムラー（Daimler） ／ トヨタ自動車（Toyota Motor Corporation） ／ ホンダ（Honda Motor Co., Ltd.） ／ 日産自動車（Nissan Motor Co., Ltd.） ／ グループPSA（Groupe PSA） ／ ヒュンダイ・モーターグループ（Hyundai Motor Group） ／ ゼネラルモーターズ（General Motors） ／ フォード・モーター（Ford Motor Company） 等々

これらの自動車メーカーは、自社やサプライヤーに対してTISAXの適用を求めており、情報セキュリティの評価や認証を通じてサプライチェーン全体のセキュリティを向上させることを目指しています。
※最新の取得状況は各社のカンパニーページを確認することをおすすめします

TISAXの対象となる事業者

TISAXは、自動車メーカーやサプライヤーなど、自動車業界における情報セキュリティに関与する事業者を対象としています。
具体的には、
・車両製造
・部品製造
・ソフトウェア開発
・テクノロジーサービス
等、自動車産業の様々なセクターで活動する事業者が含まれます。

TISAXの取得は、自動車産業における情報セキュリティの重要性を認識し、顧客やパートナーとのビジネス上の信頼を確立するために必要な認証です。 情報セキュリティの評価と認定により、自動車業界全体でセキュリティリスクを低減し、顧客の個人情報や重要なビジネスデータの保護を強化することが期待されています

TISAX認証によって実現できること

TISAX認証の取得によって、以下のような利点や実現可能なことがあります:

• 信頼性の向上

TISAX認証は、情報セキュリティに関する国際的な基準であるISO/IEC 27001に基づいているため、認証を取得することにより、自動車産業における情報セキュリティに対する高い信頼性を示すことができます。

• パートナーシップの構築

TISAX認証を取得することは、自動車メーカーや他の関係者とのパートナーシップを構築するための重要な要素に成り得ます。取得状況はENXポータル（TISAXが運営する共有ポータル）にて共有されるため、顧客やパートナーは情報セキュリティが適切に管理されていることを簡単に確認できます。

• サプライチェーンの強化

そもそも、TISAX認証は自動車産業のサプライチェーン全体の情報セキュリティを向上させることを目的とされています。サプライヤー間の情報セキュリティリスクを低減し、データの安全性を確保することができます。

• データ保護の強化

TISAXの要求事項には顧客の個人情報や重要なビジネスデータの保護にも焦点を当てています。 情報セキュリティの評価と認証により、適切なセキュリティ対策や管理手法が導入され、機密性や完全性の確保が期待できます。

• 法的要件への適合

自動車産業における情報セキュリティに関連する法的要件や規制に適合することを要件としているため、認証を取得することにより、関連する法的要件を遵守し、コンプライアンスを守ることができます。

• 競争力の向上

情報セキュリティの高い水準を維持することによって競争力を向上させることができます。 難易度の高いTISAX認証を持つ事業者は信頼性が高く、安心して取引できると認識されることでしょう。

TISAX認証の詳しい話を無料で聞く>>

TISAX認証取得の流れ

TISAXの評価は、第三者の認定審査機関によって実施されます。 認定審査機関は、情報セキュリティに関する審査を行い、評価結果を報告書として事業者へ提供します。これにより、事業者は自社の情報セキュリティレベルを証明し、自動車業界内での信頼性を高めることができます。

TISAXの導入には、情報セキュリティに関する内部組織の整備やポリシーの策定、セキュリティの脅威やリスクの評価などが必要です。また、定期的な監査や改善活動も求められます。
それでは、取得までの流れを詳しく解説しましょう。

【別記事】TISAX認証の取得の流れをoから詳しく解説！

STEP1：登録

TISAXを取得するためには、まず登録手続きを行います。 登録では、ENXポータル（TISAXが運営する共有ポータル）にアクセスし、必要な情報を提供して事業者として登録します。

STEP2：評価範囲の選択と自己評価

評価範囲を選択します。 TISAXでは、セキュリティ管理、システム開発、サプライチェーン管理など、複数の領域があります。 選択した評価範囲は、審査の対象となるセキュリティ領域を定めるため重要です。
その後、自社の情報セキュリティ状況を評価します。
これには、セキュリティポリシーや手順、技術的なセキュリティ対策などの確認が含まれており、TISAXの要求事項と自社の状況がどれだけGAP＆FITしているかを確認します。

STEP3：改善と構築

自己評価の結果を基に、TISAXの要求事項を満たしていない部分に対し、今後どのような対策・ルール作りを行っていくかの改善提案をもとに計画し、対策の導入を行います。

STEP4：審査の実施

審査は、TISAXの認定審査機関によって実施されます。 審査担当者は、審査の日程を調整し、事業者の施設を訪問して情報セキュリティに関する評価を行います。 審査では、ドキュメントの確認、インタビュー、セキュリティ対策の実地確認などが行われます。

STEP5：指摘事項への是正と報告

審査の結果、評価項目の合否、改善すべきポイントなどが指摘されます。
事業者は、指摘に対して審査実施から９か月以内に改善を実施し報告書を提出しなければいけません。

STEP6：認証の取得

指摘事項への是正を認められたら、認証は取得となります。
TISAX認証の有効期間は３年間であり、更新する場合は再度審査を受ける必要があります。

▼▼▼ 少し宣伝です ▼▼▼

プライバシー認証コンサルのUPFなら、TISAX認証の機関選びはもちろん、
認証に際するあらゆる手続きをサポートし、担当の方の負担を軽減します。
TISAX認証に関して相談をしてみる（無料）>>

▲▲▲ 宣伝終わり ▲▲▲

審査機関の選び方

審査はTISAXが認定している審査機関のみが実施できます。
審査機関の選び方は、審査が可能な機関の中から自社にあった条件を提供できる機関を選ぶのがポイントです。

日本のTISAX審査機関一覧

日本においては下記が認定審査機関となります。

（参考：TISAX公式サイト）

• ＢＳＩ
• ビューローベリタスサービス
• ＫＰＭＧ
• ＰｗＣ
• テュフ ラインランド
• デロイト
• ＥＹ
• ＤＮＶ
• ＳＧＳ

審査機関の選び方

複数ある審査機関のなかで、事業者はどのようにして自社に合った審査機関を選べばいいのでしょうか。
ぜひ、下記ポイントを参考してみてください。

① 日本人審査員の在籍状況
審査機関には認定審査員と呼ばれるポジションが存在しており、日本の認定審査機関の中にも認定審査員の有無が分かれます。
日本人の審査員が在籍していない審査機関は、海外より審査員を呼び審査を実施するため、渡航費や通訳等のコストが発生します。

② 業界経験と専門知識
審査機関が自動車業界における経験や専門知識を持っているかを確認しましょう。
特に、自社の事業領域の知識が深いほど、特異性や要件を理解しているため、より適切な審査を受けることができます。

③ コストと提供される価値
審査機関の提供するサービスのコストと付加価値を比較して検討しましょう。 適切なバランスを見つけるために、コストだけでなく、審査の品質や付加価値にも注目してください。

審査機関とは認定取得後も定期的に関係を続けていくことになります。
上記の要点を考慮しながら信頼性が高く自社にマッチした審査機関を選びましょう。

【別記事】審査機関の選び方の記事はこちら>>>>

TISAXのポータルサイトについて

ＥＮＸポータルとは、ＴＩＳＡＸが運営する共有ポータルサイトです。
https://portal.enx.com/en-US/
認証を取得する事業者は、ＥＮＸポータルにアカウントを登録して審査申請を行います。
また、このサイトを通じてサプライヤーや顧客は事業者の認証状況を確認することが出来ます。

ＥＮＸポータルには一般ユーザーが利用できるコンテンツもあります。
基本的に英語の情報ですので、わからない方は専門家のサポートを受ける等の対応をするのが無難です。

特に利用しやすいコンテンツをいくつかご紹介します。

① ダウンロード：TISAXの要求事項一覧

こちらではＴＩＳＡＸ認証を取得する際の評価アンケートやハンドブックがダウンロードできます。ＴＩＳＡＸの情報取集をする事業者向けの資料が用意されています。

② イエローページ
https://portal.enx.com/en-US/enxnetwork/yellow-pages/
参加事業者の名称、所在国、登録番号を検索することが出来ます。
ただし、事業者によってはイエローページへの公開設定をおこなっていない場合もあり、実際の事業者数より少なく表示されるため注意してください。

③ 各国の認定審査機関
https://portal.enx.com/en-US/TISAX/xap/?country=JP
こちらでは各国でＴＩＳＡＸ認証の認定審査機関とされている企業を検索できます。
審査機関を選定する際に、取引先で評価の高い審査機関を選ぶ方法もあります。

無料で専門家から説明を聞く>>>>

TISAX認証に関する無料相談を受け付け中です

最後までお読みいただきありがとうございました。
ＴＩＳＡＸ認証は取得の意義が高い分、取得工程が事業者のみなさまの負荷になる場合もあります。
円滑に取得をするためのパートナーとして、株式会社ＵＰＦではコンサルティングサービスを展開しております。
https://upfsecurity.co.jp/tis/

最後に、認証を取得したい事業者のみなさまがUPFを選ぶメリットをご紹介します。

 リスクマネジメントへの深い知見
国内外問わず、様々な規格の認証支援・構築支援を経てきたからこそ、多角度からのリスクを考慮して、その事業者に最もフィットする制度設計を提案します。

 VDA-ISAに基づいた自己評価と改善
VDA-ISAをもとに、現状の組織体制やルール、TISAXの要求事項とのギャップ調査、具体的な取り組みの可否をチェックします。 評価結果をもとに現在の状況を正しく把握し、各組織に合わせたルールの構築や対策を計画・導入します。

 審査機関との調整
事業者のみなさまと審査機関の間で円滑なコミュニケーションと調整を行います。審査スケジュールの調整や情報の提供、質問への回答など、審査プロセスにおける円滑な進行をサポートします。

 指摘事項に対するスピーディな対応
指摘事項があった場合、是正事項に対して9か月以内に再度審査員による評価を受ける必要があります。その際、UPFからは是正事項に対する計画、対応方法をご説明いたします。 時間をかけすぎると９か月のリミットに到達してしまう可能性があるため、迅速に最適な対応方法をご提案します。

下記ＵＲＬからお問合せいただくか、担当の赤間まで直接ご連絡くださいませ。

サービスＵＲＬ：https://upfsecurity.co.jp/tis/

TISAX担当・赤間（あかま）直通：megumi_akama@upf-group.co.jp
東京本社電話番号：03-6661-0846
※ 「ＴＩＳＡＸの件」とお伝えください

【記事一覧】TISAX認証に関する記事はこちら>>

【別記事】TISAX認証の取得の流れをoから詳しく解説！