03-6811-1525TISAX認証取得支援コンサルティング
自動車業界の情報セキュリティ標準
世界水準のTISAX支援コンサルサービス
目次
TISAXとは
TISAX(Trusted Information Security Assessment Exchange)とは、ドイツ自動車工業会(VDA)が中心となって策定した、自動車業界における情報セキュリティ評価の仕組みです。
ドイツ自動車工業会(VDA)とは
- 1901年 ドイツ自動車産業家協会(VDMI)として設立
- 1923年 ライヒスヴェルバード・デア・オートモビインダストリー(RDA)に改称
- 1946年 現在の名称であるドイツ自動車工業会(VDA)となる
- 会員企業:ダイムラー、フォルクスワーゲン、BMW など
TISAX設立の背景
●OEMと呼ばれる自動車業界の完成車メーカーは、現在まで大きなセキュリティ事故を経験しています。そのインシデント発生の理由を解析すると、完成車メーカーだけでなく、自動車業界特有のサプライヤーチェーンの仕組みにより、TIER1と呼ばれる委託先部品メーカーやサービスプロバイダーが問題であった場合も少なくありませんでした。その結果、OEM自らだけでなく、サプライヤーに対しても、きちんとした情報セキュリティ体制を評価・認証する必要性を感じられました。
TISAX の重要性
近年、サイバー攻撃のリスクが高まる中で情報セキュリティの重要性は増しています。TISAX認証の取得は、企業の取り組みを対外的に示し、取引先からの信頼獲得とビジネス機会の拡大に寄与します。
TISAX の関連用語
- VDA-ISAシート:TISAX審査で使用される情報セキュリティ評価基準(Excel形式)
- ENX協会:TISAXの運用管理団体(審査機関の承認・品質管理を担う)
- ENXポータル:TISAXの認証プロセス・結果共有を行う画面/ポータルサイト
重要な補足
TISAXは自主的な取得よりも、OEMからのノミネーション(取得要請)で始まるケースが大半です。 なぜ認証を求められているのか、その目的を明確にすることが重要です。
VDA会員はドイツ企業が中心ですが、日本に子会社を持つ完成車メーカーなどから依頼されるパターンも多く見られます。
TISAXの読み方
日本では 「チサックス」 と呼ばれますが、英語圏では 「タイサックス」 と発音するほうが通じやすいことが多いです。
TISAX(Trusted Information Security Assessment Exchange)取得企業について
TISAX認証を取得した企業は、情報セキュリティ管理体制が一定の水準を満たしていることを示し、自動車完成メーカー(OEM)との取引を円滑に進める上で有利になります。
●TISAX認証を取得した企業は、情報セキュリティ管理体制が一定の水準を満たしていることを示し、自動車完成メーカー(OEM)との取引を円滑に進める上で有利になります。
●●TISAX審査の結果はENXポータルで公開することができます。、TISAXハンドブック(バージョン2.7)の6.6項にガイドがあります
※ENXポータルと呼ばれる共有プラットフォームでTISAX取得登録依頼時に”公開”と指定することで、審査結果を他の全TISAX参加企業と共有できます。
これにより、他の全TISAX参加企業は、許可された共有レベルまで、審査結果にアクセスできるようになります。
※審査結果を公開できるのは、総合審査結果が「適合」の場合のみです。
※共有プラットフォーム上で審査結果を公開するための共有レベルとして、以下の選択肢からのみ選択できます。
Do not publish (デフォルト)非公開
A. Assessment Related Information (審査関連情報)
A + Labels (ラベル情報)
A + Labels + B. Summarized Results (ラベル情報+結果の要約)
●以上のようにデフォルトが非公開になっていますので、審査関連情報を公開する企業は少ないです。
※また、自動車完成メーカー(OEM)との取引を円滑に進める目的で認定を取得するためライバル企業などに情報を公開することにもなりメリットよりデメリットが上回るとされています。
●グローバルでの情報はENXを登録する際のデータベースにて取得企業一覧は検索ができますが、こちらもは公開している企業のみであり、原則秘匿されています。
※この理由はOEMの依頼によってTISAXを取得する企業が多い中、ライバル企業にTISAXを取得したことを公開したくない企業が多いためと一般的に言われております。
取得企業はENXデータベース上において2025年現在、全世界でドイツが最も多く、アメリカ、韓国、日本とされていますが、上記の理由から認証取得を公開していない企業は含まれておりませんので全数については重要機密とされています。
日本の取得企業数については当社においても推測の域を出ませんが、公開していない企業も含めて2025年において取得済みの企業が約150社。取得プロセス中の企業が約100社ではないかと考えております。
●一部の企業で自社ホームページ上にTISAXの取得または取得を実施していることを明示している企業もあります。
以下がTISAX審査の結果を自社ホームページで公開している企業の一例です。
- アルプスアルパイン株式会社:複数の事業所でTISAX認証を取得しています(AL3, AL2)。
- NTTドコモビジネス株式会社:TISAX」認証を取得。
- 株式会社トピア:TISAX認証を取得。
- イーグル工業株式会社:TISAX認証を取得。(2024年9月)
- 日本精機株式会社:TISAX認証を取得。
- SMK株式会社:TISAX認証を取得。
- 株式会社村田製作所:複数の事業所、子会社などでTISAX認証を取得。
- 株式会社デンソートリム
- Amazon Web Services
- 株式会社ミツバ
- 株式会社トピア
- 日鉄マイクロメタル株式会社
- 株式会社プレステージ・コアソリューション
- オートリブ株式会社
- エセックス古河マグネットワイヤ
- 株式会社ダイナックス
- KDDI Spherience
当社FF Security株式会社は、上記企業を含む様々な企業を支援している実績がございます。
当社は日本で一番のTISAXコンサルティング実績を有しています。(当社調べ)
TISAX認証の対象となる事業者:
- 自動車メーカー
- 部品メーカー
- ソフトウェア開発会社
- テクノロジーサービス会社
- 販売代理店
- 広告代理店
- その他、自動車産業に関わる様々なセクターの事業者。
TISAX認証の重要性:
自動車メーカーは、サプライヤー選定の際にTISAX認証を重視する傾向があります。
TISAX認証を取得することで、サプライチェーン全体での情報セキュリティレベルの向上が期待できます。
認証取得は、欧州の自動車メーカーとの取引を継続・拡大する上で有利になります。
2025年の取得状況(推計)
| 地域・国 | 取得状況 | 特徴・背景 |
|---|---|---|
| ドイツ | 最多 (全世界で最も多い) | VDA発祥の地として圧倒的な取得数を誇る |
| アメリカ | 第2位 | グローバル自動車メーカーの要請により拡大傾向 |
| 韓国 | 第3位 | グローバル自動車メーカーのサプライチェーン要求による |
| 日本 | 第4位 | 約150社における約200拠点が取得済み、約100社が取得プロセス中(当社調べ2025年) |
日本企業の取得状況詳細
日本の取得企業数については、2025年においてインターネット上には公開されておりません。これは、TISAX認証取得時にENX協会への登録で公開・非公開を選択できるシステムになっているためです。多くの企業がライバルに情報を渡さないため非公開にする場合が多いです。
対象OEMの拡大状況
TISAXはENX登録をインプットする際にどのOEMのリクエストで取得を実施するかプルダウンで選択する必要があります。2025年年初の時点で、そのプルダウン企業は15社となっています:
| No. | 会社名 | 国 |
|---|---|---|
| 1 | ベルトラントAG | ドイツ |
| 2 | ビー・エム・ダブリュー株式会社 | ドイツ |
| 3 | DAFトラックスN.V. | オランダ |
| 4 | ダイムラー・トラック(DTA) | ドイツ |
| 5 | ポルシェ | ドイツ |
| 6 | フォルシア | フランス |
| 7 | 自動車交通技術者協会 | ドイツ |
| 8 | マグナ・インターナショナル | カナダ |
| 9 | メルセデス・ベンツ・グループAG | ドイツ |
| 10 | ポリテック・ホールディング | オーストリア |
| 11 | ルノー | フランス |
| 12 | ヴァレオ | フランス |
| 13 | ヴィテスコ・テクノロジーズ | ドイツ |
| 14 | フォルクスワーゲン AG | ドイツ |
| 15 | ZFフリードリヒスハーフェン | ドイツ |
ダイムラートラックホールディングAGの子会社に三菱ふそうトラック・バス株式会社があるように、子会社でもTISAX認証を依頼する企業がございます。
その場合は親会社のプルダウンを選択します。。
※認証するにあたっての取得企業がやるべきこと
- ENXポータルから英語で登録情報をインプットし、認証情報を登録します。またENX協会に対して認証取得登録料をクレジットカードなどで支払決済します。
- ENXポータルから指定されたグロ-バルな認証審査機関へコンタクトを取り、審査機関の選定:複数の審査機関を比較検討し、自社のニーズに合った機関を選びます。
必ず日本人審査員がいるか、日本語で対面審査ができるか確認しましょう。
契約時には、審査範囲、審査の仮スケジュール、費用、契約期間、キャンセル規定などを必ず確認しましょう。
審査機関と合意に至れば、契約を締結します。審査に対する契約と審査料を支払い、審査の準備にとりかかります。 - 取得企業は書類審査と対面審査の準備を実施しなければいけません。
※審査項目はISO/IEC 27001をベースにした情報セキュリティ評価基準(VDA ISAシートと呼ばれる)をすべて満たす必要があります。ExcelはENX指定の場所からダウンロードできます。 - 取得企業はVDA-ISAを理解し、すべて3の満点評価で自己評価を終え、審査機関に提出します。自己評価であるVDA-ISAについては自社で満点であることの説明(記述方式ではい。いいえではありません)とその説明の根拠となる社内ルールと運用証拠一覧を記載します。
- 認定された審査機関の審査員によって書類審査を経て、対面審査を実施します。
対面審査はAL2であればWEB会議方式で、AL3であれば対面で実施します。
使う資料はAL2でもAL3でも変わりません。
書類審査を綿密に行い、書類審査で怪しいと思われる部分だけ聞く審査員と書類審査は原則であり、対面審査で説明を実施できればよいのですべての項目を聞いてくる審査員がいると言われております。
対面審査は初回で必ず合格する必要はありません。審査員から指摘が出た場合でも最大9か月以内。主に3か月以内で改善できるのであれば再審査を受けることができます。
- 自動車業界特有の要求事項が含まれます。
- 300個以上にもおよぶ質問項目がありそれぞれに回答を記載する必要があります。
- ENX協会が審査機関の承認や評価結果の品質管理を行います。
- 認証結果は、ENXポータルで公開か非公開かが決められます。
- TISAX認証を取得していないライバルサプライヤーよりも完成車OEMとの信頼関係が構築されます。
- VDA参加企業の完成車OEMであれば重複して受ける必要がありません。
※ENXポータルでの情報共有だけでよいです。
ENXポータルでの情報共有について
ENXポータルでTISAX取得登録時に「公開」を指定すると、審査結果を他の全TISAX参加企業と共有できます(総合審査結果が「適合」の場合のみ)。公開範囲は次の共有レベルから選択します。
共有レベルの選択肢
- Do not publish(デフォルト):非公開
- A. Assessment Related Information:審査関連情報
- A + Labels:ラベル情報
- A + Labels + B. Summarized Results:ラベル情報+結果の要約
デフォルトは非公開のため、情報公開企業は多くありません。特にOEMとの取引を目的に認定を取得する企業は、競合への情報開示リスクを避ける傾向があります。
自社ホームページで公開している企業の一例:
- アルプスアルパイン株式会社(複数事業所でAL3、AL2を取得)
- NTTドコモビジネス株式会社
- 株式会社トピア
- イーグル工業株式会社(2024年9月取得)
- 日本精機株式会社
- SMK株式会社
- 株式会社村田製作所(複数事業所・子会社で取得)
- 株式会社デンソートリム
当社FF Security株式会社は、上記企業を含む多数の企業を支援した実績がございます。当社は日本で一番のTISAXコンサルティング実績を有しています。(当社調べ)
TISAX(Trusted Information Security Assessment Exchange)要求事項について
●TISAX(Trusted Information Security Assessment Exchange)TISAXの要求事項は、以下のリンクにて適宜記載されているVDA-ISAと呼ばれるエクセルの質問票に記載されております。
2024年4月25日のVDA6.0.3が2025年度における最新版となっております。
ダウンロード先 https://enx.com/en-US/TISAX/downloads/
●またTISAXにおいてはユーザにハンドブックが用意されております。
リンク先 https://www.enx.com/handbook/tph-jp.html
※右上の日本語版をクリックします。
●TISAXを進めるためにはまずこの質問票を理解し、手続きの流れを理解しなければなりません。
●TISAXの認証の大きな流れは以下の通りです。
A ENXオンライン登録プロセスにて登録自体を実施します。
リンク先 https://enx.com/en-US/SignIn?returnUrl=%2FTISAX%2Ftisax-initial-registration%2F
B 所要時間は20分程度とされていますが、英語でかつ事前に必要な情報も多く2時間程度お考え下さい。
セイブボタンがなく、途中から手続きを再開するのは容易ではないため、登録は1回で完了する必要があります。
特殊な情報は以下の通りです。
●AL2かAL3か
●ロケーションは何個か。そのDUNZ NOは何か
●審査機関とのKickoff MTG、書類審査提出時期、対面審査提出時期はいつにするか
●ロケーションのビルは自社か貸与か。
●社員は何人いるか。ITは、ITセキュリティは、外部セキュリティは何人いるか
※B社の場合サプライヤーナンバーが登録に必要です。
C アセスメントの基礎となる情報セキュリティアセスメント質問票の最新版を手に入れます。この文書はVDAによって正式に公開されています。詳細情報とオリジナルのダウンロードはVDAのウェブサイトでご覧いただけます。なお、2024年4月が最新版です。
https://enx.com/en-US/TISAX/downloads/
※なお英語版しかありませんので、日本語版は当社のようなセキュリティコンサルティングファームに依頼をお願いします。
質問票は情報セキュリティ、プロトタイプ保護、データ保護の3つの主要な分野に分かれており、それぞれに具体的な基準が設けられています。
日本ではデータ保護がOEMから必要とされることは少ないです。プロトタイプはOEMより依頼のみ実施します。よって大半の企業は情報セキュリティ(INFO)のシートが質問票となります。
主要な要求事項分野
企業の情報セキュリティ管理体制全般を対象とし、ISO/IEC 27001をベースに構成されています。具体的には、情報セキュリティポリシー、アクセス管理、インシデント管理などが評価対象となります。質問は約300個あり、審査を受けるにはすべて3の満点レベルでないといけません。
完成車のモックアップやパーツのプロトタイプなど、物理的な機密情報の保護を評価します。開発段階の製品や情報が不正にアクセスされたり、漏洩したりすることを防ぐための対策が求められます。質問は約30個あり、審査を受けるにはすべて3の満点レベルでないといけません。
ドイツ連邦データ保護法に準拠した個人情報の保護を評価します。GDPR(一般データ保護規則)への対応も含まれます。
TISAXの要求事項は、VDA ISAカタログに詳細に記載されています。このカタログは、自己評価や審査機関による審査で使用され、組織の情報セキュリティの状態を評価するための基準となります。
TISAX認証を取得するためには、まず自己評価を行い、その後、TISAX認定の審査機関による審査を受ける必要があります。
自己評価は原則すべて3となっている必要があります。
自己評価では、VDA ISAカタログの各項目について、6段階で達成状況を評価し、根拠となる説明と証拠(社内規定と運用ルール)を添付します。
TISAXは、自動車業界における情報セキュリティレベルの向上と、サプライチェーン全体のセキュリティ確保を目的としています。自動車メーカーは、サプライヤーに対してTISAXへの準拠を求めることで、自社の情報セキュリティを保護するとともに、サプライチェーン全体のセキュリティを強化しています。
TISAXは、ドイツの自動車業界だけでなく、世界中の自動車メーカーで広く採用されており、サプライヤーにとってはビジネスを継続するための必須条件となっています。TISAXに準拠することで、情報セキュリティリスクを低減し、ビジネスチャンスを拡大することができます。
TISAX認証は、ドイツ自動車工業会(VDA)が定めた情報セキュリティ評価基準に基づき、第三者機関によって実施される認証制度です。認証機関は、ENX協会によって承認された審査機関が担当します
※なお審査機関によって外国人審査員しかいない審査機関、外国人審査員が付き添う必要のある日本人審査員しかいない審査機関、外国人審査員が付き添う必要のない日本人審査員だけで審査ができる審査機関があります。
TISAX取得費用について
TISAX コンサルティング費用について
TISAXコンサルティングの費用は、企業の規模や業種、必要なサービスの内容によって異なります。
一般的には、以下の要素が費用に影響を与えます。
- コンサルティング期間
- コンサルタントの人数
- コンサルティングの範囲(VDAシートの関与度合い)
- 社内ルール、エビデンス作成支援
当社では、以下の要素は費用に影響を与えません。
- AL2かAL3か
- 毎月何時間打ち合わせを実施するか
- 毎日何時間打ち合わせを実施するか
これらの要素を考慮し、コンサルタントと相談の上、見積もりを取得することが重要です。
また、初期投資としてのコストだけでなく、長期的なセキュリティ対策の維持費用も考慮する必要があります。
TISAX コンサルティング期間について
TISAXコンサルティングの期間は、企業の準備状況や必要な対策の内容によって異なります。
一般的には、以下のようなステップで進行します。
- 自社のISMSがTISAXの要求事項と、どれくらいギャップがあるのかをまず把握する必要があります。
- ギャップを分析し、それを埋めるセキュリティ対策導入計画を作成することで、TISAX対応の全体作業量が明確になります。
- セキュリティ対策導入計画に基づいて、TISAX要求事項を遵守する規定や運用のための文書を整備し、規定通りに実際に運用・改善していきます。
- 自社のISMSの成熟度やTISAX®認証取得の対象拠点の数にもよりますが、フェーズ1は2~3ヵ月で行います。
その後のフェーズ2は、自社のセキュリティ対応のケイパビリティや、外部からどこまでの支援を受けるか等にもよりますが、
文書を整備し、運用を定着させるために少なくとも半年~1年以上は必要であると考えられています。
- VDA―ISAシートの解説と現時点での取得企業の初期評価と現状分析
- 現状の社内ルールや運用エビデンスの整理ならびに追加資料の指摘・サンプル資料の提供
- VDA-ISAシートの完成支援
- 審査Kickoff(WEB会議)の同席。
- 書類審査提出のダブルチェック
- 対面審査の同席。審査の最終評価と認証申請の支援
※最終評価については審査機関が実施します。
最終評価は以下の3つのステップがあります。
- 審査機関の審査員との顔合わせ・・Kickoffと呼びます。
- 審査機関の審査員がTISAX取得企業の書類審査を実施・・呼び方は審査機関によって異なりますが一般に書類審査といいます。
- 審査機関の審査員がTISAX取得企業の対面審査を実施・・呼び方は審査機関によって異なりますが一般に対面審査といいます。
※AL2と呼ばれるOEMからリモート審査でよいとされた場合は対面審査もWEB会議で実施します。
※AL3と呼ばれるOEMから現地審査が必須とされた場合は対面審査もWEB会議で実対面審査で”指摘”(・・マイナー指摘と呼ばれます。)を審査員から1個から15個程度までもらった場合は対面審査を実施します。0個の場合はTISAX認証取得となります。
対面審査での指摘については、対面審査の3か月、6か月、9か月のいずれか審査員の指定された期日までに改善します。再審査はWEB会議となりますが、審査費用が追加でかかる場合が多いです。
審査プロセスですが、審査機関はKickoffから書類審査まで1か月。書類審査から対面審査まで1か月空けることが一般的です。急ぎの場合は短縮を審査機関に要求することができます。
コンサルティングプロセスも併せて全体で最短で3ヶ月。平均で6か月から1年程度かかることが一般的です。
TISAX assessment level 3とTISAX assessment level 2について
TISAXのAL1とAL2とAL3の違いは、以下の通りです。
重要なことはTISAXのAL1、2、3についてはお客様が取得の際に決定権はないことです。
お客様が取得するよう依頼を受けたOEM様より原則指定があります。その指定に基づき、どちらを受けるか決定します。
AL(Assessment Level):
TISAXにおけるアセスメントレベルを指します。
レベルはAL1、AL2、AL3の3段階があります。
AL1: 自己評価で、主に社内目的で使用されます。OEMから指定されて取得する場合は対象外となります。
AL2: OEM様よりAL2の指定があった場合、以下となります。
審査機関のKickoffはWEB会議となります。
審査機関の書類提出は外部クラウドフォルダ共有か、社内規定一覧かになります。審査機関の指定に従います。
審査機関の対面審査はWEB会議となります。日数は審査機関の指定に従いますが、1ロケーションで半日である場合が多いです。また対面審査前に書類審査にて審査員より、問題や懸念点がある個所の質問票がくる場合もあります。
AL3:
審査機関のKickoffはWEB会議となります。
審査機関の書類提出は外部クラウドフォルダ共有か、社内規定一覧かになります。審査機関の指定に従います。
審査機関の対面審査は会議室における対面会議となります。日数は審査機関の指定に従いますが、1ロケーションで0.5から最大2日である場合が多いです。
なおプロトタイプ取得指定があった場合、AL2取得はできず、必ずAL3となります。
OEM(Original Equipment Manufacturer)の指定:
どのレベルの認証が必要かは、発注元の自動車メーカー(OEM)によって指定されます。
TISAXとISO/IEC27001:
TISAXは、ISO/IEC27001をベースにしていますが、自動車業界特有の要求事項が追加されています。
主なユニーク点は以下の通りです。
- 審査ステップが違う
- 英語が必須のため、日本語版の質問票がない。
- 対面審査が1回で終了する場合がある。
- オンライン登録がある
- 審査終了時の認定証が審査機関より原則発行されない。また取得企業一覧データベースもない
| レベル | 説明 | 審査方法 |
|---|---|---|
| AL1 | 自己評価(社内目的) | OEM指定での取得対象外 |
| AL2 | Info High Web会議による審査 | Kickoff・書類提出・対面審査 |
| AL3 | Info very High 現地での対面審査 | 対面審査をオンラインで実施。 Kickoffはweb会議。書類提出はメールやデータベース共有。対面審査はオンラインで実施。フォローアップ審査はWEB会議 |
プロトタイプ取得の指定がある場合、AL2は選択できず 必ずAL3 となります。どのALで受審するかは原則として発注元OEMの指定です。
審査プロセスの詳細手順
最終評価の3つのステップ
最終評価は審査機関が実施し、以下の3ステップで進みます:
- 審査機関の審査員との顔合わせ(Kickoff)
- 書類審査(呼称は審査機関によって異なる場合あり)
- 対面審査(Web会議または現地、ALにより異なる)
AL2とAL3による違い
- AL2:OEMがリモート審査を許容した場合、対面審査もWeb会議で実施。
- AL3:OEMが現地審査を指定した場合、対面審査は現地で実施。
指摘対応プロセス
- 対面審査で “指摘(マイナー)” を1〜15件程度受ける場合があります。指摘0件ならそのままTISAX認証取得となります。
- 指摘があった場合は、対面審査の 3か月/6か月/9か月 のいずれか審査員指定の期日までに改善。再審査はWeb会議となることが多く、追加費用が発生する場合があります。
TISAX認証スケジュール
一般的には、Kickoffから書類審査まで約1か月、書類審査から対面審査まで約1か月を確保します。急ぎの場合は短縮を審査機関へ依頼できます。
コンサルティングを含む全体期間は 最短3か月、平均6か月〜1年 が目安です。
ENX登録プロセスの詳細
TISAXを進めるには、まずVDA-ISA質問票と手続きの流れを理解します。認証の大きな流れは次の通りです:
A. ENXオンライン登録プロセス
ENXオンライン登録にて初期登録を実施します。
リンク先: https://enx.com/en-US/SignIn?returnUrl=%2FTISAX%2Ftisax-initial-registration%2F
B. 登録時間と準備
所要時間は20分程度とされますが、英語入力かつ事前情報が多いため 実質は2時間程度 を想定してください。途中保存(Save)がなく再開が難しいため、1回で完了 させる必要があります。
特殊な情報
- AL2かAL3か
- ロケーション数と各ロケーションの DUNS番号
- 審査機関との日程(Kickoff・書類審査・対面審査)
- ロケーションの建物の所有形態(自社/賃借)
- 社員数、IT/ITセキュリティ/外部セキュリティ担当の人数
一部の企業(例:B社)では サプライヤー番号 の事前取得が登録要件となります。
C. 情報セキュリティアセスメント質問票の入手
VDAによる正式公開の最新版を入手します。2025年現在の最新版は VDA-ISA 6.0.3(2024年4月25日) です。
ダウンロード先: https://enx.com/en-US/TISAX/downloads/
英語版のみの提供です。日本語での運用や翻訳・適用は、当社のようなセキュリティコンサルティングファームへの依頼をご検討ください。
TISAXハンドブックの活用
TISAXユーザー向けハンドブック(日本語版あり)が公開されています。
リンク先: https://www.enx.com/handbook/tph-jp.html
※右上の言語切替から日本語版を選択。
質問票の構成
質問票は「情報セキュリティ」「プロトタイプ保護」「データ保護」の3分野で構成。日本ではOEMからデータ保護の要求は少なく、プロトタイプはOEMの依頼時のみ。多くの企業はまず 情報セキュリティ(INFO) シートで受審します。
| 比較項目 | TISAX | ISO/IEC 27001 |
|---|---|---|
| 対象業界 | 自動車業界特化 | 全業界対応 |
| 評価方法 | OEMから預かった情報等の適切な保護を評価 | 組織のISMS(情報資産管理)の枠組みを評価 |
| 有効期間 | 初回審査の審査終了日から原則3年 | 毎年維持審査、3年ごとに更新審査 |
| 基準 | VDA-ISA 6.0.3(約300項目) | ISO/IEC 27001:2022 |
審査プロセス
- ENXオンライン登録 — 英語での登録、実務上は約2時間を想定
- VDA-ISAシート準備 — 約300項目を自己評価(すべて「3」)
- Kickoff会議 — 審査機関との顔合わせ
- 書類審査 — 審査機関による確認(目安:約1か月)
- 対面審査 — 現地またはWeb会議(目安:書類審査から約1か月後)
- 指摘対応 — 必要に応じて3〜9か月以内に改善・再審査
TISAXヒント
TISAX VDA ISAのコントロール質問の要求事項について3を満たせるようなヒント、TIPSは以下の通りです。
TISAX VDA―ISA INFO 1.2.3
要件
プロジェクトでは、情報セキュリティ要件がどの程度考慮されていますか?
- 貴社の中で実施される”プロジェクト”が原則ですが、まずはOEM様にかかわるプロジェクトで記述を進めます。
- プロジェクトマネジメントにおいては、情報セキュリティ管理規程の中で、機密レベルによるプロジェクト分類の基準を定めており、当該基準によって分類されることが推奨されます。
- 各プロジェクトにおいて、以下を実施し、定期的にレビューすることが求められます。
※情報セキュリティの要求事項をプロジェクトの要件に含める。
※必要な管理策を特定するために、プロジェクトの早い段階で情報セキュリティリスクアセスメントを実施する
※分類(機密性が高いプロジェクトなのか、一般か)の基準も必要です。
TISAX VDA―ISA INFO 1.3.1
要件
情報資産はどの程度まで識別され、記録されていますか?
OEM様から預かった情報資産をどのように守り、どのように社内ルールを定めて運用しているかがキーとなります。
- 情報資産管理台帳の社内作成手順と情報資産管理台帳の作成と管理責任者について記述
- サポート資産(情報資産を処理するPCなど)の社内作成手順と情報資産管理台帳の作成
- 1+2の定期的なマネジメントレビューの記述と社内ルールの作成
TISAX VDA―ISA INFO 1.3. 3
要件
評価および承認された外部ITサービスのみが組織の情報資産の処理に使用されることがどの程度保証されていますか?
- 情報セキュリティ管理規程などでITサービスのセキュリティ要件を定めます。
※ITサービスで使用した場合の社内申請のエビデンスなどを提示します。
※定期的に1年ごと位で、検証していることも提示します。
TISAX VDA―ISA INFO 1.3 4
要件
組織の情報資産の処理には、評価および承認されたソフトウェアのみが使用されることがどの程度保証されていますか?
- ソフトウェアのライセンスを管理し、インストールする際にはユーザの承認後、ライセンス管理台帳によって管理を実施していることが必要です。
- OSやアプリケーションのインストールについてもアプリケーションの一覧表によって管理していることも必要です。
- リポジトリつまりデータベースで安全性を確認して承認したもののみインストールされていることも重要です。
- ソフトウエアインストールは関係者以外操作できないようにしています。
- ソフトウエアの仕様変更、不具合が発生しても使い続けていいのか定期的に確認しています。
- ソフトウエアの最新バージョンと最新のパッチの管理台帳があり、最新かつ適切になっているか確認しています。
- ソフトウェアの使用にあたりお客様で追加要件が必要になった際は社内での承認が必要です。
当社のコンサルティング
FF Security株式会社について
FF Security株式会社は国内外でのTISAXコンサル、TISAXコンサルティングのご支援実績が豊富で、確かな信頼があります。
FF Security株式会社の独自の強みと差別化要素
国内外において、技術力と詳細で丁寧なサポート支援体制が評価されており、高い信頼性が求められる分野で導入が進んでいます。
| FF Security株式会社の強み | 詳細説明 |
|---|---|
| 高度なコンサルティング能力 | TISAXの内容を熟知した上での実践的なコンサルティングを実施。 |
| 精密な分析力 | 長年培ったノウハウと精密な分析力により、詳細で的確な現状分析を実施 |
| 迅速な対応力 | TISAX対応中のスケジュール変更にも柔軟・迅速に対応 |
| 長期的な視点 | TISAXコンサルティング中の急なスケジュールの変化についても迅速に対応。 |
| 客観的な視点 | 外部専門家として問題点を指摘し、自社では見落とされがちな改善の余地を発見。審査員が良く指摘するポイントをご指摘。 |
| TISAX以外の次世代技術への挑戦と業界での役割 | AI/機械学習/IoTのセキュリティ強化に取り組み、新たな脅威に適応する支援方法を検討 |
TISAX認証を取得する際にコンサルタントを使ってよかったと思うこと。
TISAXはVDA-ISAシート(英語/ドイツ語・約300項目)の書類審査対応が必要で、お客様の負担は小さくありません。弊社はその負担軽減に全力で取り組みます。
当社とTISAXコンサルティング、TISAXコンサルをご契約する理由
まずTISAXはVDA-ISAシートと呼ばれる書類審査を受ける必要がありますが、このシートはドイツ語と英語しかなく、日本語で訳された公式なものがありません。また質問項目は約300個に渡り、お客様の負担は大変大きいものです。弊社はその負担を少しでも減らすよう努力しております。
VDA6.0における約300項目を超える複雑な要求事項を専門家が解説。
専門的な言語・技術的な障壁
VDA-ISAシートの英語版について複雑でわかりにくい表現を平易で丁寧な日本語に変えて解説します。
FF Security株式会社のTISAXコンサルタントの強み
当社のTISAXコンサルタントは豊富な専門知識と実務経験を持っています。
数十社の審査を経験しており、審査に関するノウハウをご提供できます。
これにより、自社で実施するより効率的にVDAの理解が進み、時間とコストの節約につながります。
外部のコンサルタントは客観的な視点でお客様の問題点を指摘しますので、自社では見落とされがちな改善の余地を発見できます。
FF Security株式会社の具体的な支援内容
- ENX登録支援 – ENXへの英語でのシステム登録をフルサポート
- VDA-ISAシート作成支援 – 約300項目の自己評価・根拠整備を専門的に支援
- 社内ルール(規程)策定 – 要求事項に沿った社内規程・手順書の整備
- 運用証拠(エビデンス)準備 – 審査で必要な証拠資料をリスト化・整備
お客様ご要望に応じて、以下業務を支援する場合もございます。
- リスクアセスメント手法ガイド – 具体的な評価・対策立案の進め方を提示
- セキュリティポリシー策定ガイド – 実効性の高いポリシー作成を支援
- 従業員教育ガイダンス – 意識向上と実務定着を促進
- 内部監査・外部監査ガイダンス – 監査準備と指摘対応のポイントを整理
- Microsoft 365/Office 365のTISAX対応 – クラウド活用時の適合支援
請負型コンサルティングの問題点について
弊社は準委任契約を採用しています。一般的な請負型コンサルティングでは、以下の課題が指摘されています:
- VDA-ISAの十分な説明がなく、サンプル規程の流用を強要された
- コンサルタントの稼働都合に依存し、短期集中が難しい
- 社内にノウハウが蓄積されない
- 外部依存が強まり、自走が難しくなる
- 質の低い支援で文書作成が増え、業務負担が増加
- 仕組みが形骸化し、実運用に乗らないリスク
弊社の配慮
お客様がTISAXの内容をきちんと理解し、対面審査でも自信をもって回答できる状態を目指します。短期集中(毎日特訓)から年単位の伴走まで、進度に合わせた柔軟な料金体系で対応します。
2025年最新動向と取得企業状況
TISAXの進化と最新動向
2024年4月にENX協会が評価目的を改定し、新たに「High availability(可用性)」を追加。可用性の観点がより重視されるようになりました。
2025年の重要な変更点
- VDA-ISA 6.0系が最新版(大幅アップデート)
- High Availability(可用性)目的の追加(2024年4月改定)
- 対象OEMは15社に拡大(サプライヤーNO必須の企業あり)
- 最新要求事項への適合対応が必要
よくある質問(FAQ)
コンサルティング期間について
TISAXコンサルティングの期間は、企業の準備状況や必要な対策内容により異なります。一般的な進行ステップは次のとおりです:
- 初期評価と現状分析 – VDA-ISAシートの解説と現状評価
- 改善計画の策定 – 規程や運用エビデンスの不備があれば改善計画を立案
- 実施と教育 – 改善実施、教育、内部監査、外部監査など
- 最終評価と認証申請 – 審査機関による最終評価
審査プロセスの詳細
- Kickoff – 審査機関の審査員との顔合わせ
- 書類審査 – 審査機関による書類の確認
- 対面審査 – 審査機関による対面審査(AL2はWeb会議、AL3は現地審査)
- 指摘対応 – “指摘(マイナー)”があった場合は改善を実施
- 再審査 – 3/6/9か月のいずれかの期日までに改善して再審査
審査機関のスケジュール
一般的に、Kickoffから書類審査まで約1か月、書類審査から対面審査まで約1か月を確保します。急ぎの場合は短縮の相談も可能です。
コンサルティングを含む全体所要は最短で約3か月、平均で6か月〜1年が目安です。
TISAX認証取得のご相談はこちら
FF Security株式会社では、豊富な実績と専門知識を活かして、お客様のTISAX認証取得を全面的にサポートいたします。
他社でお断りされたお客様もお気軽にご相談ください。
お問い合わせフォームTEL: 03-6811-1525
(営業時間 平日9:00~18:00)
本社: 〒101-0044 東京都千代田区鍛冶町1丁目10-6