Introduction
2024年9月にTISAX認証を取得しました。TISAX(Trusted Information Security Assessment Exchange)は、2017年に欧州で策定された情報セキュリティ保護レベルを評価・共有する制度です。特に欧州自動車OEMのサプライチェーン企業に求められる基準として注目されており、新規プロジェクト参入の必須条件とされています。
今回、業界に先駆けてTISAX認証を取得したイーグル工業。その背景には、国際的な事業展開における情報セキュリティ強化の必要性と、欧州市場への深いコミットメントがありました。同社がどのように準備を進め、どのような手応えを得たのか、その詳細を伺いました。[2/2]
(以下、文中では敬称略)
常務執行役員
業務本部副本部長 兼 人事部部長
AI・CI 事業部 シール設計部部長
執行役員
経営企画室 副室長
AI・CI 事業部シール設計部主幹
経営企画室 CSRIT部 CSRIT課 課長
[DNV]
――取得活動に向けて具体的にどんなステップで進めてきたか具体的に教えてください。推進メンバーはどんな方々だったのでしょうか。
(三村さん)
取得活動は、設計担当2名、試作担当1名、IT部1名を含む4名で推進しました。さらに德田副室長や経営企画室の協力も得ました。ISO27001の外部講習やセミナーを受講し、途中からはコンサル会社にもサポートいただきました。
[DNV]
――最も苦労されたのはどんなところでしょうか。
(三村さん)
審査対象の範囲拡大を社内で理解してもらうことです。当初はシール設計部に限定するイメージがありましたが、情報資産は岡山事業所全体や埼玉の技術本部、本社にも関係しています。そのため、範囲を広げる必要性を丁寧に説明しました。
事務局を設置した4月以降、7月末に岡山で部長や課長など100名を対象に説明会を開催し、「皆さんも対象です」と明確に伝えました。続いて12月に埼玉、翌年1月には本社でも説明会を実施しました。
(德田さん)
初めは『審査対象の範囲は、ドイツ向け製品を担当している岡山の設計部門だけで十分では』との声もありましたが、試作部門、そして埼玉の設計部門へも範囲が広がりました。
(三村さん)
設計部が事務局を担当している点について、同情もありました。「なぜ設計部が?」という声も多かったです。
(德田さん)
それが逆によかったのかもしれません。以前管理系の仕事をされていたことで社内に顔が広い。結果的に事務局に最適な方だったと思います。
(三村さん)
推進メンバーも「なぜ自分たちが」というスタートでしたが、4人の団結力は非常に強く、常に話し合いながら進めました。経営企画室の協力も大きく、すでに規定類が整備されていたため、多くの相談に乗ってもらいました。また、私はほぼ専任で取り組み、他のメンバーには負担をかけないよう、それぞれが可能な範囲で役割を担当してもらいました。
[DNV]
――規定類の整備は比較的スムーズに進んだということでしょうか?
(三村さん)
情報資産台帳は整備されていましたが、資産の選別と洗い出しを改めて行いました。また、岡山事業所全体のリスク管理はあっても、個々の情報資産に対するリスクマネジメントが不足していたため、見直しを行いました。
(髙橋さん)
例えば設計用の図面など、セキュリティレベルの考え方が統一されていなかった点を、社内規定を整備しながら統一しました。
(寺地さん)
情報台帳は元々私たちの部門が整備していたもので、今回の認証取得活動で有効活用できました。不足している部分はITセキュリティ施策の中で規定を改定し、対応しました。
[DNV]
――事務局として、活動の中で最も重要だと感じた点は何でしょうか?
(三村さん)
説得力のある情報を取り込み、方向性にブレを生じさせないことが重要だと感じました。特にセキュリティ管理者が部長職で、自らTISAXについて学び質問も多かったため、それに的確に答える必要がありました。この過程で自分たちのスキルも向上しました。
[DNV]
――活動を経て、社内にはどのような変化がありましたか?
(寺地さん)
情報資産台帳の精度が向上し、以前は曖昧だった部分が審査を通じて明確になりました。社内での理解も深まり、意義を共有できたと感じています。
(三村さん)
職場環境の改善も見られました。書類が整理され、不必要なものが処分されるなど、働きやすい環境が整いました。また、「苦労して取得した認証をPRや拡販に活かそう」という意識も高まりました。
(德田さん)
「TISAXの要求」という理由付けが社内で浸透し、計画策定や承認プロセスの整備、監査ログの管理といった業務改善に役立っています。
(髙橋さん)
電子データの中の書類が見つけやすくもなりました。日常の業務にも好影響が出てきていると感じます。
[DNV]
――TISAX認証取得を目指す組織に向けてアドバイスをお願いします。
(三村さん)
TISAX認証は、サイバー攻撃や情報漏洩が懸念される中で、「強固な情報セキュリティ体制を持つ信頼の置ける企業」という証明になります。また、取得活動を通じて、社員同士のつながりが強化され、組織の団結力を再確認できました。こうした活動は、会社全体の成長や事業拡大の足がかりになるため、ぜひ取り組むことをお勧めします。
(寺地さん)
認証取得の過程でITセキュリティのレベルも向上しました。特に今まで課題となっていた部分を改善できた点は大きな成果です。単なる認証取得以上に、組織のセキュリティ強化に繋がる魅力があると感じます。
[DNV]
――では最後に、この取得を今後どう生かしていきたいかお話ください。
(髙橋さん)
情報セキュリティ向上が一つの目的でしたが、欧州自動車メーカーとの取引拡大、特にEV関連の新製品の展開に繋がる土台を築けたと考えています。TISAXのプラットフォームに当社の名が載ることで、電動化が進む市場における信頼をさらに強化できると期待しています。
(德田さん)
当社のポリシー「愛情と信頼」に基づき、社員と会社が互いに信頼し合う組織風土を大切にしています。今回の活動を通じて、情報管理台帳の更新や内部監査の体制強化など、組織としての基盤がさらに整いました。これを継続的な活動として進めることで、組織の成長を期待しています。
(吉川さん)
冒頭でお伝えしたように、当社は自動車だけでなく5つの事業領域で展開しており、業界ごとの要求に対応する必要があります。今回の認証取得は、自動車分野だけでなく他の業界においても信頼を獲得するための重要な第一歩と捉えています。これを機に、さらなる信頼構築を目指していきます。
[DNV]
――ありがとうございました。
イーグル工業に関する各種データを記載しています (corporate webサイトから引用)
DNV は、ノルウェー・オスロに本拠地を置く第三者認証機関、オイル&ガスセクターにおけるリスクマネジメント、船級協会、風力/電力送配電分野のエキスパートを主とするサービスプロバイダーとしてグローバルで活動しています。
DNVは、ドイツ自動車工業会(VDA)が策定した情報セキュリティ監査基準(VDA ISA)の監査プロバイダーとして、ENX(European Network Exchange)より認定を受けました。
TISAX® - Automotive sector information security