Introduction
2024年9月にTISAX認証を取得しました。TISAX(Trusted Information Security Assessment Exchange)は、2017年に欧州で策定された情報セキュリティ保護レベルを評価・共有する制度です。特に欧州自動車OEMのサプライチェーン企業に求められる基準として注目されており、新規プロジェクト参入の必須条件とされています。
今回、業界に先駆けてTISAX認証を取得したイーグル工業。その背景には、国際的な事業展開における情報セキュリティ強化の必要性と、欧州市場への深いコミットメントがありました。同社がどのように準備を進め、どのような手応えを得たのか、その詳細を伺いました。[1/2]
(以下、文中では敬称略)
常務執行役員
業務本部副本部長 兼 人事部部長
AI・CI 事業部 シール設計部部長
執行役員
経営企画室 副室長
AI・CI 事業部シール設計部主幹
経営企画室 CSRIT部 CSRIT課 課長
[DNV]
――TISAX認証の登録は日本ではまだ少ない状況の中、イーグル工業様はいち早く対応されています。認証取得に至る背景について、御社の特徴や業界環境とあわせてお聞かせください。
(吉川さん)
当社は、世界中のさまざまな産業にメカニカルシールを提供しています。メカニカルシールは、ポンプなどの回転機械の動力を伝える軸部分に設置されるパッキン部品の一種です。当社では、自動車・建設機械、一般産業機械、半導体、船舶、航空宇宙といった5つの事業領域を展開しており、これらの領域ごとに特有の特徴があります。たとえば、多品種少量の製品もあれば、少品種多量の製品もあるなど、多様なニーズに対応できることが当社の強みです。
今回は特に自動車業界向け事業領域において、TISAX認証取得を目指すことになりました。
(高橋さん)
直接のきっかけは、2022年にドイツの企業との取引を開始したことです。取引を継続・拡大するために、TISAX認証取得への取り組みを示す必要がありました。当初は、認証が情報セキュリティに関するものだと理解した程度で、具体的な内容は十分に把握していませんでした。
当社では品質や安全衛生に関する認証は取得済みでしたが、TISAXは自動車業界特有の情報セキュリティ基準であり、対応の必要性を感じる一方で、難易度の高さも意識しました。既存の情報セキュリティ規定を基に、基準を満たすには何が必要かを一から学び直す必要がありました。
[DNV]
これまで御社は情報セキュリティについて、どんな取り組みをされてきたのでしょうか。
(徳田さん)
当社は2000年から情報セキュリティに注力し、当初はIT部が主管していました。2010年には現場のセキュリティ対応を整理し、年度計画に基づく予算化を開始。情報漏洩事件の増加を背景に、近年では投資も進めやすくなっています。同年に※1CSIRT部を創設し、2021年には日本CSIRT協議会に加盟。現在、CSIRT部がセキュリティ業務を担い、IT部と連携しながら体制を強化しています。
[DNV]
――製造業においてはセキュリティに関してもきちんと基準化され、文書化もしっかりされているイメージがあります。
(徳田さん)
その通りです。特に当社では、航空宇宙や原子力発電といった高度な規制が求められる領域を手がけています。そのため、厳格な規約や要求事項に対応する体制を整えています。また、自動車業界についても、日本自動車工業会のガイドラインに基づいた対応を進めてきました。これに加え、ISO27000をベースに毎年内容をブラッシュアップし、より高いレベルのセキュリティを実現しています。このような基盤があったため、TISAX(自動車業界の情報セキュリティ基準)への対応も比較的スムーズに進めることができました。
[DNV]
――情報セキュリティ教育として、全社員に対してWebアンケートを活用されていると伺いました。具体的にはどのような取り組みでしょうか?
(寺地さん)
毎年1回、全社員を対象に実施しています。教育内容は、ITセキュリティに関する読み物や動画を提供し、それを基に理解度を測るテストをアンケート形式で実施しています。教育内容は、自社のルールだけでなく、最新のセキュリティトレンドを踏まえて内製しています。例えば、「ビジネスメール詐欺が届いた場合、どう対処すべきか」といった実践的なテーマを取り上げています。グローバルでパソコンを使用する全ての社員が回答し、着実に効果を感じています。
[DNV]
――こうした取り組みを導入する際、「忙しい中で、なぜこれをやらなければならないのか」といった社員の反発を聞くこともありますが、モチベーションを高める工夫はされていますか?
(寺地さん)
社員の関心を引くよう、なるべく実例を盛り込んだコンテンツを意識しています。例えば、実際に発生したセキュリティインシデントを題材に、「こうした被害が起き、自分が関与したらどうなるか」という具体的なケースを示し、社員自身にとっても重要な課題だと感じてもらう工夫をしています。
(高橋さん)
ここまで来るには、さまざまな試行錯誤を重ねてきました。現在では、「問題をクリアしないと社外にノートパソコンを持ち出せない」というルールを設け、社員一人ひとりに確実に対応してもらう仕組みを整えています。最後の一人まで粘り強く働きかける姿勢が、教育の定着に繋がっていると感じています。
[DNV]
――TISAX認証取得に向けて、どのような準備を進められたのでしょうか。
(三村さん)
当社がTISAX認証取得を目指すことになった際、私が所属するシール設計部がお客様製品を扱う部門であったことから、事務局が設置されました。それが2023年4月のことです。ただし、設計部は情報セキュリティの専門部署ではありません。ITを利用する立場ではありますが、専門スキルはなく、ゼロからのスタートでした。
実は、事務局への就任を打診された際最初はお断りしました。しかし、短期間での目標達成に挑戦することで達成感を得られるのではないかと考え、引き受けることにしました。通常は1年半程度の準備期間が必要とされるところ、約1年で認証を取得する必要があり、大きな挑戦でしたが、それだけにやりがいがありました。
(高橋)
三村さんにお任せしたのは、規定の作成における彼女の高いスキルと行動力を信頼していたからです。
(三村)
ありがとうございます。最初は全く知識がなかったため、まずは自分自身が学ぶことから始めました。TISAXのハンドブックや要求事項を確認するためには、まず審査機関を決めてエントリーする必要がありました。そこでDNVを含め、複数の審査機関によるプレゼンテーションを受け、比較検討を進めました。
[DNV]
――多くの審査機関の中から、最終的にDNVを選んだ理由を教えてください。
(三村さん)
審査を日本語で受けられる審査機関を探していました。当社には国際的な部門もあり、英語やドイツ語のスキルを持つ社員もいますが、私自身は語学が得意ではありませんでした。そんな中、DNVのセミナーを受け、アンケートに回答したことがきっかけでした。疑問に対して迅速なレスポンスで要求事項の具体的なイメージを掴むことができた点も大きかったです。実際の審査では、非常に答えやすい雰囲気を作ってくださり、アドバイスも的確でした。
(髙橋さん)
専門用語を分かりやすく噛み砕き、一般的な言葉で質問していただけたので、非常に理解しやすかったですね。
※1 CSIRTとは