TISAXの対象範囲の広がり―TISAX VCS 車両サイバーセキュリティ| PwC Japanグループ

TISAX VCSの登場

自動車のデジタル化やサプライチェーンの複雑化などにより、自動車産業のサプライチェーン全体でサイバーセキュリティに対する要求が高まっています。これを受け、ENX（European Network Exchange）はTISAX VCS（Vehicle Cybersecurity）を発表しました。

TISAX VCSとは、ISO/SAE 21434（Cybersecurity Management System Framework）とISO PAS 5112（Audit References）に基づく第三者監査スキームであり、より多くの会社が監査を受けられるよう、現在もリリースに向けた準備が進められています。

ENXのTISAXスキーム自体は、自動車サプライチェーンにおける情報セキュリティマネジメントシステム（ISMS）の認証として広く採用されており、これを車両サイバーセキュリティマネジメントシステム（CSMS）にまで広げようとしています。

TISAX VCSの概要

現在、TISAX VCSはリリースに向けた準備段階にありますが、今後、欧州OEMから取引先となるサプライヤやサービスプロバイダに対し、TISAX VCSの認証が求められる可能性があり、認証取得には認証機関による審査を受ける必要があります。

そこで本稿では、まずVCSの確認項目の概要およびISO/SAE 21434の要件との関連性について解説します。

TISAX VCSの確認事項は、公開されているWORK PRODUCTS*の文面から推察すると、ISO/SAE 21434やISO PAS 5112と章の構成などは異なるものの、求められている内容や基準は大きく異ならないようです。

一方で、TISAX VCSの確認事項は、ISO/SAE 21434において抑えるべきポイントを取り込んでいるため、これまでISO/SAE 21434に基づきOEMからの要求に対応していた企業にとっても、TISAX VCSの確認事項をもって、自社の車両サイバーセキュリティの状態を改めて見つめ直す良い機会となるでしょう。

*出所：https://enx.com/en-US/news/Feasibility-Study-of-VCS-Audit-Within-ENX-Ecosystem-Concluded/

TISAX VCSへの期待

これまでは、各OEMが独自に取引先であるサプライヤやサービスプロバイダに対してUN-R155またはISO/SAE 21434に基づく車両サイバーセキュリティの確認を行う必要がありました。しかし、TSAX VCSが広く採用されれば、欧州OEMは独自の確認に代わり、各サプライヤやサービスプロバイダにおけるTISAX VCSの共通確認項目に基づく結果を参照することができるようになります。

また、サプライヤやサービスプロバイダとしても、OEMごとに異なる要求に対応することから脱却できる一助になるのではないでしょうか。これにより、サプライチェーン全体における強固な信頼関係の基盤構築とともに、欧州OEMと取引先の両社のコンプライアンス対応コストの削減が期待されます。

引き続き、私たちはTISAX VCSのリリースに向け、情報の収集および分析を行ってまいります。