TISAXの審査プロセスを完了させ、審査結果をパートナーと共有する

発行

ENX協会
フランス1901年法に基づき設立
フランス ブローニュ=ビヤンクール郡 登録番号 w923004198

所在地
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, France
Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Germany

著者

Florian Gleich

連絡先

バージョン

日付:

2023-12-07

バージョン:

2.7

分類:

Public

ENX doc ID

602-JP

著作権表示

すべての著作権はENX協会に帰属します。
ENX、TISAXおよび各ロゴはENX協会の登録商標です。
記載されている第三者の商標は、それぞれの所有者に帰属します。

1. 概要

1.1. 目的

TISAX(Trusted Information Security Assessment Exchange)へようこそ。

貴社のパートナー企業からの要請で、貴社の情報セキュリティ管理が、「情報セキュリティ審査」(ISA)の要求事項に従い定められた水準を満たしていることを証明するよう求められました。そして今、貴社はこの要請に応える方法を知りたいと考えています。

本資料は、貴社がパートナー企業からの要求を満たせるようにする、またはパートナー企業からの要求前にあらかじめ備えたりできるようにすることを目的としています。

本資料では、TISAX審査に合格するために必要な手順、および審査結果をパートナー企業と共有するにあたって必要な手順を解説します。

情報セキュリティマネジメントシステム(ISMS)は、構築・維持だけでも複雑なタスクが課されます。パートナー企業に対し、貴社の情報セキュリティマネジメントの適切性を証明するのは、より一層複雑なプロセスとなります。本資料は、貴社の情報セキュリティ管理を支援するためのものではありません。貴社による情報セキュリティ管理の取り組みを、パートナー企業に対して可能な限り簡単に証明できるようにすることを目的としています。

1.2. 対象範囲

本資料は、貴社が参加する可能性のあるすべてのTISAXプロセスに適用されます。

本資料には、TISAXプロセスを進めるにあたって必要な情報がすべて含まれています。

本資料には、審査の中核をなす情報セキュリティ要求事項への対処方法に関する、若干のアドバイスが記載されています。しかし、全体として、情報セキュリティ審査に合格するために何が必要かを伝えることを目的としているわけではありません。

1.3. 対象者

本資料の主な対象者は、「情報セキュリティ審査」(ISA)の要求事項に従い定められた情報セ
キュリティ管理水準を満たしていることを証明する必要のある企業、または証明したいと考えている企業です。

本資料に記載されている情報は、TISAXプロセスの積極的な取り組みの開始時点から活用できます。

また、サプライヤーに対し、定められた水準の情報セキュリティ管理の証明を求める企業にとっても有益です。本資料によって、貴社の要求を満たすために何をする必要があるかを、サプライヤーが把握できるためです。

1.4. 構成

まずはTISAXについて簡単に紹介した後、すぐに「どのようにすれば良いか」の解説に移ります。プロセスを進めるために必要なことすべてが、知るべき順序で記載されています。

本資料の所要時間の目安は、75分から90分です。

1.5. 本資料の使い方

いずれは、本資料の内容をすべて理解したいと考えるようになると思われます。適切な準備として、まず本資料全体をお読みになることをお勧めします。

本資料は、TISAXプロセスにおける三つの主要なステップに沿って構成されています。必要なセクションに進み、後で残りを読むことも可能です。

本資料は、理解を深めるためにイラストを使用しています。イラストの色には、意味が付与されている場合あります。そのため、本資料は、パソコン画面か、カラー印刷された状態でお読みになることをお勧めします。

ご意見をお聞かせください。本資料の内容に不足や、理解しにくい箇所がありましたら、ぜひお知らせください。皆様のご意見は、私たちにとっても、今後本資料を読む方たちにとっても大切です。

すでに旧版のTISAX参加企業ハンドブックをご利用の方は、本資料末尾の以下の箇所をご参照ください:セクション 8. 文書履歴

1.6. お問い合わせ

以下の連絡先で、TISAXのプロセスに関するご案内や、ご質問への回答を行っています。

メールアドレス:

tisax@enx.com

電話番号:

+49 69 9866927-77

ドイツ国内での通常の営業時間(UTC+01:00)が、受付時間となります。

従業員は皆、英語Icon of the flag of the United Kingdomとドイツ語Icon of the flag of Germanyを話します。イタリア語Icon of the flag of Italyが母国語の従業員もいます。

以下のセクションもご確認ください:セクション 7.13. 附録:クレーム管理

1.7. TISAX参加企業のためのハンドブックをご利用いただける他の言語および形式

TISAX参加企業のためのハンドブックは、以下の言語および形式でご利用いただけます:

言語 バージョン 形式 リンク

Icon of the flag of the United Kingdom英語

2.7

オンライン

https://www.enx.com/handbook/tisax-participant-handbook.html

オフライン

https://www.enx.com/handbook/tisax-participant-handbook-offline.html

PDF

https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf

Icon of the flag of Germanyドイツ語

2.7

オンライン

https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html

オフライン

https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html

PDF

https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pdf

Icon of the flag of Franceフランス語

2.7

オンライン

https://www.enx.com/handbook/tph-fr.html

オフライン

https://www.enx.com/handbook/tph-fr-offline.html

PDF

https://www.enx.com/handbook/tph-fr.pdf

Icon of the flag of China中国語

2.7

オンライン

https://www.enx.com/handbook/tph-cn.html

オフライン

https://www.enx.com/handbook/tph-cn-offline.html

PDF

https://www.enx.com/handbook/tph-cn.pdf

Icon of the flag of Spainスペイン語

2.7

オンライン

https://www.enx.com/handbook/tph-es.html

オフライン

https://www.enx.com/handbook/tph-es-offline.html

PDF

https://www.enx.com/handbook/tph-es.pdf

Icon of the flag of Japan日本語

2.7

オンライン

https://www.enx.com/handbook/tph-jp.html

オフライン

https://www.enx.com/handbook/tph-jp-offline.html

PDF

https://www.enx.com/handbook/tph-jp.pdf

Icon of the flag of Brazilブラジルポルトガル語

2.7

オンライン

https://www.enx.com/handbook/tph-pt.html

オフライン

https://www.enx.com/handbook/tph-pt-offline.html

PDF

https://www.enx.com/handbook/tph-pt.pdf

Icon of the flag of Italyイタリア語

2.7

オンライン

https://www.enx.com/handbook/tph-it.html

オフライン

https://www.enx.com/handbook/tph-it-offline.html

PDF

https://www.enx.com/handbook/tph-it.pdf

Icon of the flag of South Korea韓国語

2.7

オンライン

https://www.enx.com/handbook/tph-kr.html

オフライン

https://www.enx.com/handbook/tph-kr-offline.html

PDF

https://www.enx.com/handbook/tph-kr.pdf

Important

重要事項:

オリジナル版は英語です。
他言語版は、すべて英語版から翻訳されています。
内容が疑わしい場合は、英語版をご確認ください。

1.7.1. 邦訳について

本資料、TISAX参加企業のためのハンドブックは、英語版から翻訳されています。

TISAXの基礎となる資料は、すべて英語で作成されています(すべての契約書、TISAX審査機関に対する要求事項等)。そのため、貴社のパートナー企業や審査機関は、TISAX特有の用語について、英語版の用語を使用する可能性があります。

そこで、TISAX参加企業のためのハンドブックでは、翻訳にあたり、TISAXの用語は英語の原文のまま記載するか、日本語訳の直後に括弧で英語の用語を併記しています。

1.7.2. オンライン版について

各セクションには、固有のID(「ID1234」形式)が割り当てられています。
IDは言語に関係なく、特定のセクションを参照します。

以下の方法で、特定のセクションにリンクできます。

  • セクションのタイトルを右クリックして、リンクをコピー

  • セクションのタイトルをクリックして、ブラウザのアドレスバーからリンクをコピー

ほとんどのイラストは、デフォルトの表示よりも大きなサイズで確認できます。図をクリックすると、拡大されたイラストが開きます。

1.7.3. オフライン版について

オフライン版では、オンライン版のほとんどの機能が使えます。特記事項として、イラストはHTMLファイルに埋め込まれています。オフライン版は、1ファイルだけで利用できます。

オンライン版にはあって、オフライン版で使えないのは以下の機能です。

  • 拡大画像

  • オンライン版オリジナルのフォント
    フォントは、ブラウザのデフォルト設定で表示されます

1.7.4. PDF版について

パソコンでPDF版を使用する場合でも、リファレンスはすべてクリックできます。しかし、PDF版を印刷した場合は、ページ番号などが印刷されないため、リファレンスのページはご自身で調べていただく必要があります。

2. 導入

以下のセクションでは、TISAXのコンセプトをご紹介します。

お急ぎの場合は、このセクションを飛ばして次のセクションから読むことも可能です。セクション 4.3. 登録準備

2.1. なぜTISAXなのか?

なぜあなたはこの資料を読んでいるのでしょうか?

この問いに答えるために、まずはビジネス全般、特に情報保護について考えてみましょう。

パートナー企業の担当者を想像してみてください。担当者は機密情報を持っています。この担当者は、機密情報をサプライヤーである貴社と共有したいと考えています。貴社とパートナーが提携することで、価値が生まれます。この価値創出において、パートナー企業が貴社と共有する情報は、重要な役割を果たしています。だからこそ、パートナー企業はこの情報を適切に保護したいと考えています。貴社が、この機密情報を自社のものと同じように、細心の注意を払って扱っていることを確認したいと望んでいます。

しかし、自分たちの情報が適切に管理されていることを、どうすれば確認できるでしょうか。貴社を単に「信じる」だけでは不十分です。パートナー企業は、その証拠となるものを確認したいのです。

ここで二つの疑問が生じます。まず、情報の「安全な」取り扱いとは、誰が定義するのでしょうか?そして、どうすれば安全であることを証明できるのでしょうか?

2.2. 誰が「安全」を定義するのか?

この疑問に直面するのは、貴社とパートナー企業が初めてではありません。ほとんどの企業が答えを模索する必要に迫られ、そして得た結論の大半には、共通点が存在します。

問題の解決策が標準化されていれば、同じ解決策を毎回独自に考える必要はなくなり、すべてをゼロから作成する負担が軽減されます。規格の定義は大変な労力を要しますが、一度定義してしまえば、その後の利用者すべてが恩恵を受けられます。

情報保護の観点で何が正しいのかについては、確かにさまざまな見解があります。しかし、前述の利点から、ほとんどの企業は規格を定めています。規格とは、ある課題に対する、実績のあるベストプラクティスの結晶です。

貴社の場合、ISO/IEC 27001(情報セキュリティマネジメントシステム、ISMS)等の規格を導入し、実施することで、機密情報を安全に取り扱う最先端の方法を確立できます。このような規格があれば、毎回土台から作り直す必要がなくなります。さらに重要なのが、規格があれば、二社が機密情報を交換する必要がある際に共通の基盤を利用できるという点です。

2.3. 自動車業界の回答

あらゆる業界にあてはまる規格は、特定の業界を対象としないソリューションとして設計されている性質上、自動車会社に特有のニーズに合わせられているわけではありません。

一昔前、自動車業界は、より自動車業界特有のニーズに合った規格を調整し、定義することなどを目的とした団体を結成しました。VDA(Verband der Automobilindustrie)もその一つです。情報セキュリティを扱うワーキンググループで、複数の自動車企業が検討を重ねたところ、既存の情報セキュリティ管理規格にも同じような調整が必要であるという結論に達しました。

これらメンバー企業間の共同の取り組みにより、自動車業界で広く受け入れられている情報セキュリティ要求事項を網羅した質問票が作成されました。この質問票は「情報セキュリティ審査」(ISA)と名付けられました。

この取り組みによって、「『安全』を誰が定義するのか」という疑問に対する答えが得られました。自動車業界は、VDAを通じて、メンバー企業にこの疑問への回答を提示しています。

2.4. 安全であることの証明を効率的に行うために

ISAを社内目的のみに使用する企業もあれば、サプライヤーの情報セキュリティ管理の成熟度を審査するために使用する企業もあります。ビジネス関係の観点から、自己審査のみで十分な場合もあります。一方で、サプライヤーの情報セキュリティ管理について、完全な審査(オンサイト監査を含む)を実施する企業もあります。

情報セキュリティ管理の必要性に関する一般の認識が高まる中で、情報セキュリティを審査するためのツールとして、ISAが広く採用されるようになり、多くのサプライヤーがさまざまなパートナー企業から同様の要請を受けるようになりました。

しかし、パートナー企業間で適用基準は依然として異なっており、解釈もさまざまでした。その中でサプライヤーが証明すべきことは基本的に同じであり、証明方法が異なるだけでした。

そして、サプライヤーは、パートナー企業から情報セキュリティの管理水準の証明を求められるたびに対応を繰り返さなければならず、不満は大きくなってきました。監査人ごとに、同じ情報セキュリティ管理策を何度も提示しなければならないというのは、単純に非効率的だったのです。

では、効率化するためにはどうすればいいのでしょうか。ある監査人への報告書を、別のパートナーに再利用できるようにすれば、改善するのではないでしょうか?

ISAの維持を担当するENXワーキンググループに所属するOEMとサプライヤーは、自分たちのサプライヤーの不満に耳を傾けました。そのようにして、自分たちのサプライヤーだけでなく、自動車業界のあらゆる企業が利用できる形で、「安全であることをどうすれば証明できるか?」という質問に対する回答が確立したのです。

この回答が、TISAX、“Trusted Information Security Assessment Exchange”({img-jpflag-alt}「情報セキュリティの審査基準」)です。

3. TISAXのプロセス

3.1. 概要

TISAXのプロセスは通常、[1]貴社のパートナー企業が、「情報セキュリティ審査」(ISA)の要求事項に従い定められた情報セキュリティ管理の水準を、貴社が満たしていることを証明するよう要請することで開始します。この要請に応えるには、3段階からなるTISAXプロセスを完了する必要があります。このセクションでは、貴社が実施することを求められる、これら三つのステップについての概要を説明します。

TISAXプロセスは、以下の3ステップで構成されています。

TISAXプロセスの概要
図 1. TISAXプロセスの概要
img callout black 01

ステップ1
登録

img callout black 02

ステップ2
審査

img callout black 03

ステップ3
共有

  1. 登録
    我々が貴社に関する情報を収集し、審査を行う上で何が必要かを検討します。

  2. 審査
    TISAX審査機関が実施する審査を受けます。

  3. 共有
    審査結果をパートナーと共有します。

各ステップには、さらに細かい手順(サブステップ)が存在します。サブステップについては、後述の3セクションで解説します。

注意事項:

TISAXの審査結果が出るまでの期間については、お伝えしたいのですが、確実な予測は不可能であることをご理解ください。TISAXプロセス全体にかかる期間は、非常に多数の要因に左右されるためです。企業の規模や審査目的は多岐にわたり、情報セキュリティマネジメントシステムの準備状況もそれぞれ異なるため、確実な予測は不可能となっていることをご承知おきください。

3.2. 登録

最初のステップは、TISAXへの登録です。

TISAXへの登録の主な目的は、貴社に関する情報の収集です。TISAXでは、オンラインの登録プロセスを通じて、貴社から情報を提供していただきます。

この登録は、その後のすべてのステップの前提条件となります。登録には料金がかかります。

オンライン登録にあたって

  • ご連絡先とご請求先情報をお伺いします。

  • また、当社の利用規約に同意していただきます。

  • 情報セキュリティ審査のスコープを定義できます。

このステップについては、以下を参照してください:セクション 4. 登録(ステップ 1)

以下のセクションにオンライン登録プロセスの詳細が記載されています:セクション 4.5. オンライン登録プロセス。 すぐに開始する場合は、次のページをご利用ください: Icon of the flag of the United Kingdom enx.com/en-US/TISAX/.

3.3. 審査

2番目のステップは、情報セキュリティ審査の実施です。

審査には、次の四つのサブステップが存在します。

  1. 審査の準備
    審査には準備が必要です。準備の範囲は、貴社の情報セキュリティマネジメントシステムの現在の成熟度によって異なります。準備は、ISAカタログに基づいて実施する必要があります。

  2. 審査機関の選択
    TISAX審査機関を選択する必要があります。

  3. 情報セキュリティ審査
    審査機関は、貴社のパートナー企業の要求事項に適合する審査スコープに基づいて、審査を実施します。審査プロセスは、最低でも初回監査が必要です。
    貴社がすぐに審査に合格しない場合、審査プロセスで追加の手順が必要になる場合があります。

  4. 審査結果
    貴社が審査に合格すると、審査機関から正式なTISAX審査報告書が提供されます。審査結果に伴い、TISAXラベルも付与されます。[2]

このステップの詳細については、以下のセクションを参照してください:セクション 5. 審査(ステップ 2)

3.4. 共有

三つ目の最後のステップは、審査結果のパートナーとの共有です。TISAX審査報告書の内容は、レベル別に構成されています。
パートナーがアクセスできるレベルは、貴社が決めることができます。

審査結果は3年間有効です。貴社がまだこのパートナーのサプライヤーである場合は、三つのステップを再度実施する必要があります。[3]

このステップの詳細については、以下のセクションを参照してください:セクション 6. 共有(ステップ 3)


TISAXの基本的な流れはご理解いただけたと思いますので、次に各ステップの進め方についてご説明します。

4. 登録(ステップ 1)

この登録セクションを読むのにかかる時間は、およそ30分から40分です。

4.1. 概要

最初のステップは、TISAXの登録です。この登録は、その後のすべてのステップの前提条件となります。

以下のセクションで、登録の手順について説明します。

  1. まず、重要な新しい用語について解説します。

  2. 次に、オンライン登録の準備として、何をすべきかをアドバイスします。

  3. 次に、オンライン登録の手順を説明します。

4.2. 貴社はTISAXの参加企業です

まず、理解しておくべき新しい用語を紹介します。貴社は「サプライヤー」という立場です。本資料を読んでいるのは、「顧客」の要求を満たすためです。しかし、TISAXは、「サプライヤー」と「顧客」という二つの役割を区別しません。TISAXにとっては、登録した全企業が「参加企業」となります。貴社と貴社のパートナー企業は、情報セキュリティ審査結果の共有に「参加」するのです。

TISAX参加企業になるための登録
図 2. TISAX参加企業になるための登録
img callout black 01

貴社

img callout black 02

TISAX登録

img callout black 03

TISAX参加企業

始めるにあたり、二つの役割を区別するため、サプライヤーである貴社を「アクティブ参加企業」と呼び、パートナーのことを「パッシブ参加企業」と呼びます。「アクティブ参加企業」は、TISAXの審査を受け、審査結果を他の参加企業と共有します。「パッシブ参加企業」は、貴社にTISAXの審査を受けるよう依頼した企業です。「パッシブ参加企業」は、審査結果を受け取ります。

パッシブ参加企業とアクティブ参加企業
図 3. パッシブ参加企業とアクティブ参加企業
img callout black 01

1. 審査を要求

img callout black 02

パッシブ参加企業

img callout black 03

アクティブ参加企業

img callout black 04

2. TISAX審査を受ける

img callout black 05

3. 結果を共有

どの企業も、いずれの役割にもなることが可能です。審査結果をパートナー企業と共有すると同時に、自社のサプライヤーにTISAX審査を受けるよう要請することもできます。

TISAXの参加企業は、アクティブ参加企業でありながら、同時にパッシブ参加企業にもなれます。
図 4. TISAXの参加企業は、アクティブ参加企業でありながら、同時にパッシブ参加企業にもなれます。
img callout black 01

貴社の顧客
= パッシブ

img callout black 02

顧客と共有

img callout black 03

アクティブ参加企業

img callout black 04

貴社

img callout black 05

パッシブ参加企業

img callout black 06

貴社と共有

img callout black 07

貴社のサプライヤー
= アクティブ

特に、保護を必要とする貴社のパートナー情報も扱っているサプライヤーに対しては、TISAX審査を要請することを強く推奨します。

4.3. 登録準備

このセクションでは、登録の準備に関する推奨事項について説明します。登録プロセスそのものについては、以下のセクションで詳しく説明します:セクション 4.5. オンライン登録プロセス

オンライン登録プロセスを開始する前に、以下を実施することを強くお勧めします:

  • 事前の情報収集

  • それに基づく必要な決定

4.3.1. 法的基盤

通常、二つの契約を締結する必要があります。一つ目が、貴社とENX協会間で締結する契約「TISAX参加規約」(TISAX参加一般取引条件)です。二つ目が、貴社とTISAX審査機関の間で締結する契約です。登録プロセスでは、最初の契約のみを確認します。

TISAX参加一般取引条件は、貴社とENX協会の相互関係および、貴社と他のTISAX参加企業との関係を規定します。契約には、全員の権利と義務が規定されています。大半の契約書に見られる一般的な条項のほか、TISAXプロセスで共有、取得される情報の取り扱いについても詳細に規定されています。規則の主な目的は、TISAXの審査結果の機密保持です。すべてのTISAX参加企業が同じ規則に従うため、(パッシブ参加企業の)パートナー企業による、TISAX審査結果の適切な保護を期待できます。

オンライン登録のかなり早い段階で、TISAX参加一般取引条件に同意していただきます。これは実際の契約なため、オンライン登録プロセスを開始する前に、TISAX参加一般取引条件を読むことをお勧めします。その理由の一つとして、あなたの社内における役割によっては、社内または社外の弁護士からの許可が必要なことが挙げられます。

「TISAX参加規約」は、ENX協会ウェブサイトの以下のページからダウンロードできます:[4]
Icon of the flag of the United Kingdomenx.com/en-US/TISAX/downloads/

PDFは、以下のリンクから直接ダウンロードできます。
Icon of the flag of the United Kingdom enx.com/tisaxgtcen.pdf

オンライン登録にあたり、次の二つの必須チェックボックスにチェックを入れていただきます。

  • ❏ We accept the TISAX Participation General Terms and Conditions ({img-jpflag-alt}当社は、TISAX参加規約に同意します。)

  • ❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions; ({img-jpflag-alt}当社は、TISAX参加規約の第IX.5項および第X.3項に基づき、申請者が、審査機関の職業上の守秘義務を解除することに同意します。)

TISAX審査機関には公認会計士も存在するため、二つ目のチェックボックスを設けています。公認会計士には、職業上の守秘に関する特別な要求事項が課せられています。通常、この職業上の守秘に関する特別な要求事項により、審査機関の公認会計士が我々と情報を共有することは禁止されています。これにより、ENX協会がガバナンス面で必要とする、管理上の選択肢が取れなくなってしまうため、この要求事項の解除を求めています。チェックボックスにチェックを入れる前に、条項をよくお読みください。

通常、機密情報を扱う人物との間で秘密保持契約(NDA)を必要としている場合は、一般取引条件の各セクションをご確認いただくことで、懸念はすべて解消できます。また、基本的に、ENX協会に機密情報を提供する必要はありません。

最後に、このシステムは、全員が同じルールを受け入れることを前提としていることをご理解ください。したがって、追加の規約を受け入れることはできません。[5]

4.3.2. TISAXの審査スコープ

TISAXプロセスの第2のステップでは、TISAX審査機関が情報セキュリティ審査を実施します。審査機関は、審査スコープを把握する必要があります。それに伴い、貴社による「審査スコープ」の定義が必要です。

「審査スコープ」では、情報セキュリティ審査の範囲を示します。簡単に言えば、審査スコープには、パートナー企業の機密情報を取り扱う、貴社の要素がすべて含まれます。審査スコープは、審査機関のタスクの、主な対象を示していると捉えることも可能です。審査機関の審査対象を規定するのが、審査スコープです。

審査スコープが重要な理由として、主に次の二つを挙げられます。

  1. パートナー企業の要求を満たす審査結果を得るには、審査スコープに、パートナー企業の情報を扱う貴社の要素すべてが含まれている必要があります。

  2. TISAX審査機関が意義のあるコスト計算を行うためには、審査スコープの正確な定義が不可欠です。

Important

重要事項:

ISO/IEC 27001とTISAXの比較

まず、次の2種類のスコープを区別する必要があります。
1) 情報セキュリティマネジメントシステム(ISMS)のスコープ
2) 審査のスコープ
この二つは必ずしも同一ではありません。

ISO/IEC 27001認証では、ISMSの適用スコープを(「適用範囲定義書」で)定義します。ISMSのスコープ全体を、貴社が自由に決められます。ただし、審査スコープ(または「監査スコープ」)は、ISMSのスコープと同一でなければなりません。

TISAXでは、ISMSも定義していただく必要があります。しかし、異なる審査のスコープを定義することも可能です。

ISO/IEC 27001認証では、ISMSのスコープをどのように定義するかによって、審査のスコープを自由に定義できます。

対照的に、TISAXでは、審査のスコープはあらかじめ定義されています。 審査のスコープは、ISMSのスコープよりも狭めることができますが、ISMSのスコープを逸脱することはできません。

4.3.2.1. スコープの記述

スコープの記述では審査スコープを定義します。スコープの記述では、次の二つのスコープタイプから一つを選択する必要があります。

  1. Standard scope ({img-jpflag-alt}標準スコープ)

  2. Custom scope ({img-jpflag-alt}カスタムスコープ)

    1. Custom extended scope ({img-jpflag-alt}カスタム拡張スコープ)

    2. Full custom scope ({img-jpflag-alt}フルカスタムスコープ)

次のセクションでは、標準スコープについて解説します。99%以上の参加企業にとって、標準スコープが適切な選択です。したがって、カスタムスコープについては、以下のセクションでのみ説明します:セクション 7.8. 附録:カスタムスコープ

4.3.2.2. 標準スコープ

標準スコープの記述は、TISAX審査の基礎となります。他のTISAX参加企業は、標準スコープの記述に基づく審査結果のみを受け入れます。

標準スコープの記述はあらかじめ定義されており、変更はできません。

標準スコープの大きなメリットは、自分で定義を考える必要がないことです。

以下が標準スコープの記述(バージョン2.0)です。

Icon of the flag of the United Kingdom

{img-jpflag-alt}

The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations.
The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment.
TISAXの審査スコープでは、審査のスコープが定義されます。審査の対象には、リストに記載された拠点の、審査を受ける組織の責任下にある、リスト内の審査目的で定められた、保護対象および保護目標のセキュリティに関するすべてのプロセス、手順およびリソースが含まれます。
リスト内の審査目的のいずれにおいても、記載された中で最も高い審査水準以上で審査は行われます。リスト内の審査目的に記載されたすべての審査基準が、審査の対象となります。

標準スコープを選択することを強く推奨します。TISAX参加企業はすべて、標準スコープに基づく情報セキュリティ審査結果を受け入れます。

4.3.2.3. スコープの設定

スコープタイプを定義したら、次に、どの拠点を審査スコープに含めるかを決定します。

貴社が小規模(1拠点)であれば、この作業は簡単です。審査スコープに、貴社の拠点を追加してください。

貴社の規模が大きい場合は、複数の審査スコープを登録することも可能です。

一つのスコープにすべての拠点を登録すると、次のようなメリットがあります。

  • 審査報告書、審査結果、有効期限が一つになります。

  • TISAX審査機関は、貴社の中心的なプロセス、手順、リソースを一度だけ審査すれば良いため、審査のコストを削減できます。

一方、スコープが一つだけの場合、以下のようなデメリットもあります。

  • すべての拠点に同じ審査目的を設定する必要があります。

  • TISAX審査機関が全拠点を審査するまで、審査結果は得られません。これは、審査結果を急いで必要としている場合などに問題となる可能性があります。

  • 審査結果は、すべての拠点が審査に合格するかどうかで決まります。拠点の一つでも不合格だと、審査結果が合格になりません。これを回避するには、a) スコープからその拠点を削除し、b) 問題を解決して、c) スコープ拡張審査で後から拠点を追加する必要があります。

4.3.2.4. スコープの調整

スコープを一つだけにするか、複数にするかは、貴社だけが決められる選択です。ただし、決めかねている場合は、以下のフロ⁠ーチャートの質問が役に立つかもしれません。

スコープを決めるためのフローチャート
図 5. スコープを決めるためのフローチャート
img callout black 01

開始
将来審査が必要になる全拠点

img callout black 02

1. 複数の拠点で審査が必要?

img callout black 03

2. すべての拠点で審査の準備をするのに十分な時間はある?

img callout black 04

3. すべての拠点で主要なISMS(責任、インフラ、方針、プロセスなど)を共有している?

img callout black 05

4. すべての拠点で、同じ審査目的(プロトタイプ車両や保護ニーズが非常に高い情報の保護)を共有している?

img callout black 06

終了。審査スコープを登録
審査スコープには、残った拠点を登録することをお勧めします。

img callout black 07

その拠点は切り離して、
それぞれの拠点のセットで開始地点に戻ります。

img callout black 08

いいえ

img callout black 09

はい

注意事項:

この決定をあまり恐れる必要はありません。審査機関が審査を終了するまで、すべてのスコープは変更可能です。

例えば、審査の準備中にスコープが適切でないことに気づいた場合、変更することもできます。また、審査機関が、審査の初期段階においてスコープの変更を推奨する場合もあります。

追記事項:

  • 正確には、ENXポータルへのオンライン登録時に定義された審査スコープは、変更できません。しかし、審査機関が審査結果をENXポータルにアップロードする際に、審査スコープを更新することは可能です。

  • スコープを追加すると料金が増額され、スコープから拠点を削除しても返金はされません。審査機関は、元のスコープをベースにコストを算出しているため、コストが変わることを想定しておく必要があります。

4.3.2.5. 拠点のスコープを設定

どの拠点を審査スコープに含めるかを決めたら、次に拠点固有の情報を収集します。

各拠点について、社名や住所などの情報が求められます。また、TISAX審査機関が貴社の企業構造を把握するために必要な追加の情報もお聞きします。貴社の回答は、審査機関が必要とする労力を見積もる上での基礎となります。

各拠点に関し、以下の詳細情報を提供できるように準備してください(赤いアスタリスク *が付いた情報は、オンラインプロセスで必須です)。

表 1. 拠点ごとの詳細情報
項目 選択肢

拠点名 *

なし

D&B D-U-N-Sナンバー

なし

拠点の種類 *

自社所有の建物
会社が借りている建物
共有の建物の、会社が借りているフロアまたはオフィス
他社と共有しているオフィス
自社データセンター
共有データセンター

パッシブサイト保護 *

有り
無し

業界
(複数選択可)

情報技術

  • ❏ ITサービス

  • ❏ 通信サービス

  • ❏ ソフトウェア開発

マネジメント

  • ❏ コンサルティング

メディア

  • ❏ マーケティング

  • ❏ 代理店

  • ❏ 印刷サービス

  • ❏ 写真

  • ❏ 翻訳サービス

研究開発

  • ❏ 車両テスト

  • ❏ 車両シミュレーション

  • ❏ プロトタイプ製作

  • ❏ ミニチュアカーモデル

  • ❏ 開発サービス

  • ❏ CAx開発サービス

生産

  • ❏ 生産サービス

  • ❏ 受託生産

  • ❏ ショップフロア

  • ❏ ロジスティクス

販売とアフターセールス

  • ❏ 輸入、NSC

  • ❏ ディーラー

  • ❏ 金融サービス

  • ❏ 保険

  • ❏ 保険金請求

その他の業種
(記入してください)

拠点の総従業員数 *

0
1~10
11~100
101~1000
1001~5000
5000人以上

拠点の従業員数(IT) *

0
1~10
11~25
26~50
50人以上

拠点の従業員数(ITセキュリティ) *

0
パートタイム
1~5
6~25
25人以上

拠点の従業員数(拠点セキュリティ) *

0
パートタイム
1~3
4~10
10人以上

この拠点の認証

ISO 27001
その他(記入してください)
ISAE 3402
SOC2

注意事項:

「業種」は、分かる範囲で選んでください。上記の選択肢に、正解・不正解はありません。該当する業種がない場合は、「その他」を選択し、適切な業種を記入してください。

各拠点には“location name”({img-jpflag-alt}「拠点名」)を指定する必要があります。拠点名は、審査スコープへの拠点の割り当て時に、拠点を参照しやすくするための項目です。

拠点名は、以下の形式で割り当てることをお勧めします。

形式

[地理的な情報]

例:

架空の会社 「ACME」の場合

  • フランクフルト
    (ドイツの都市フランクフルトの場合)

4.3.2.6. スコープ名

各スコープには“scope name”({img-jpflag-alt}「スコープ名」)を指定する必要があります。スコープ名の主な目的は、ENXポータルのス
コープ一覧でスコープを識別しやすくすることです。見る人や同僚にとって有用な名称を割り当てることをお勧めします。外部とのコミュニケーションには、スコープIDを使う必要があります。

任意の名前を指定できます。ただし、複数のスコープに同じスコープ名を割り当てることはできません。

後でTISAX審査を更新する際は、スコープを新規作成する必要があります(内容は現在のスコープと同一になる場合もあります)。そのため、スコープ名には審査の年も記載することをお勧めします。

スコープ名は、以下の形式で割り当てることをお勧めします。

形式

[地理または機能に関する情報] [審査年]

例:

架空の会社 「ACME」の場合

  • 2024
    (拠点が1か所のみの場合、地理情報なし)

  • フランクフルト 2024
    (ドイツのフランクフルトの複数拠点を対象とする場合)

  • ニーダーザクセン州 2024
    (ニーダーザクセンの全拠点を対象とする場合)

  • ドイツ 2024
    (ドイツ内の全拠点を対象とする場合)

  • EMEA 2024
    (EMEA地域(ヨーロッパ、中東、アフリカ)の全拠点を対象とする場合)

  • プロトタイプ開発 2024
    (プロトタイプ開発に関わる全拠点が対象となる場合の、機能に関する情報)

4.3.2.7. 連絡先

貴社と連絡を取るために、貴社の連絡先に関する情報を収集します。

TISAX参加企業全体で1名以上、審査スコープごとに1名以上の連絡先の提供をお願いしています。連絡先を追加することも可能です。

登録準備の段階で、貴社内で誰を連絡先にするかを決めてください。

連絡先について、以下の詳細情報をお知らせください。

表 2. 連絡先の詳細情報
連絡先の詳細情報 必須かどうか

1.

挨拶文

必須

Mrs. / Mr.

2.

学位

博士 / 博士号 等

3.

必須

John

4.

必須

Doe

5.

役職名

必須

IT部長

6.

部署名

必須

情報技術

7.

第一の電話連絡先

必須

+49 69 986692777

8.

第二の電話連絡先

9.

メールアドレス

必須

john.doe@acme.com

10.

使用言語

必須

英語(デフォルト)

11.

その他の言語

ドイツ語、フランス語

12.

個人住所の識別子

HPC 1234

13.

番地

必須

Bockenheimer Landstraße 97-99

14.

郵便番号

必須

60325

15.

都市名

必須

フランクフルト

16.

都道府県

17.

国名

必須

ドイツ

Important

重要事項:
 
それぞれの連絡先に、少なくとも1人の代理人を指定することをお勧めします。代理人を指定することで、連絡先を一時的に利用できない場合や退職時に、代理人が貴社の参加企業データを管理できます。
新しい連絡先の割り当ては(他に有効な連絡先がない場合)、複雑なプロセスを踏む必要があります。TISAXのプロセスにおいて、新たな主要連絡先の割り当てを承認できるのは、会社の代表資格を法的に証明できる人物のみです。

4.3.2.8. 公開と共有

TISAXの主な目的は、貴社の審査結果を他のTISAX参加企業に公表し、貴社の審査結果を貴社のパートナー企業と共有することです。

審査結果の公開と共有については、登録プロセス中でも、登録後でも、いつでも決定できます。

事前準備としてTISAXの手続きを進めている場合においても、TISAX参加企業のコミュニティに対する審査結果の公表の有無を、あらかじめ決めておくことが可能です。他には、この時点で準備することはありません。

パートナー企業からTISAXプロセスの実施を要請された場合は、最終的には審査結果を共有する必要があります。登録中でも、パートナー企業とステータス情報を共有できます。貴社の審査結果が利用可能になると、貴社のパートナー企業にはアクセス権限が自動的に付与されます。[6]

ステータス情報の共有には、以下の二つが必要です。

  1. パートナー企業のTISAX参加企業ID

    TISAX参加企業IDは、パートナー企業を、TISAX参加企業として特定します。

    一般的に、パートナー企業は貴社に、TISAX参加企業IDを提供する必要があります。

    便宜上、TISAXの登録フォームには、審査結果の共有が頻繁に行われる企業について、参加企業IDのドロップダウンリストが用意されています。[7]

  2. 必要な共有レベル

    共有レベルでは、パートナー企業が貴社の審査結果にどの程度までアクセスできるかを定義します。

    パートナー企業が特定の共有レベルを要求している場合や、パートナー企業に審査結果へのアクセスをどのレベルまで許可するかを定義する場合に使用します。

    共有レベルの詳細については、次のセクションを参照してください:セクション 6.5. 共有レベル

次の情報を確認しておくことをお勧めします。

注意事項:

  • 審査結果を公開するかどうかは、後からいつでも決めることができます。

  • パートナー企業に対する共有の許可は、後からいつでも作成できます。

Important

重要事項:

審査結果を公開しない場合や共有しない場合は、誰も貴社の審査結果を見ることはできません。

Important

重要事項:

公開または共有を取り消すことはできません。

詳しくは以下のセクションを参照してください:セクション 6.4. 共有結果の永続性

注意事項:

不思議に聞こえるかもしれませんが、実際に審査プロセスを開始していない段階でも、「審査結果」は共有できます。この初期段階では、貴社は「審査ステータス」を共有しているだけに過ぎません。貴社が「審査結果」を共有した参加企業は、貴社の審査プロセスがどの段階かを知ることができます。

TISAX参加企業の中には、貴社によるTISAXラベルの提示を求めているものの、審査プロセスが完了していない際に、特別な免除が必要となる場合があります。このようなケースで、パートナー企業はENXポータルのアカウントで貴社の「審査ステータス」を確認する必要があることも考えられます。

審査ステータスについては、次のセクションを参照してください:セクション 7.6. 附録:Assessment status({img-jpflag-alt}審査ステータス)

審査結果の公開と共有については、次のセクションを参照してください:セクション 6. 共有(ステップ 3)

4.3.3. 審査目的

登録プロセスでは、審査の目的を定義する必要があります。審査目的(Icon of the flag of the United Kingdom assessment objective)では、情報セキュリティマネジメントシステム(ISMS)が満たすべき対象となる要求事項を決定します。審査目的は、パートナーに代わって取り扱うデータの種類によってのみ決まります。

以下のセクションでは、審査目的について解説し、適切な審査目的の選択方法についてアドバイスします。

審査目的を使用することで、パートナーやTISAX審査機関がTISAX審査プロセスで定義された内容を参照し、TISAX関連のコミュニケーションを取りやすくなります。

注意事項:

パートナーによっては、審査目的を指定する代わりに、特定の「審査レベル」(AL)でTISAX審査を受けるよう要求する場合があります。

審査レベルに関する詳細は、セクション 4.3.3.5. 保護ニーズと審査レベル(サブセクション「追加情報」)を参照してください。

4.3.3.1. 審査目的のリスト

現在、TISAXには12の審査目的があります。このうち、少なくとも一つの審査目的を選択する必要があります。審査目的は、複数選択できます。

審査目的は、情報セキュリティマネジメントシステムのベンチマークとして捉えることができます。審査目的は、TISAXプロセスにおける重要な項目です。すべてのTISAX審査機関は、主に審査目的に基づいて審査戦略を策定します。

現在、TISAXには、下表の審査目的が存在します。

表 3. TISAXの現行の審査目的
番号 名前 説明

1.

 Info high