情報セキュリティが鍵を握る、変わりゆく自動車ビジネス

〜旭化成ヨーロッパがTISAX認証から得た自動車業界の「カギ」〜

旭化成グループの欧州拠点、旭化成ヨーロッパ（AKEU）は2024年10月に、ドイツ自動車工業会（VDA）が定める情報セキュリティ評価「TISAX」の認証を取得しました。TISAXは、自動車メーカー（OEM）と重要情報を共有するサプライヤー（Tier1・Tier2）やサービスプロバイダー企業などに求められるISMS(情報セキュリティマネジメントシステム)の構築・運用の規格です。厳しい基準条件を満たしてTISAX認証を取得することは、現在ヨーロッパの自動車ビジネスに参入する上で必須条件となりつつあります。背景には、情報セキュリティリスクの高まりや、自動車業界の構造変化があるといわれますが、実際の現場ではどのような課題や認識があったのでしょうか。本特集では、ドイツのデュッセルドルフ市にオフィスを構える旭化成ヨーロッパの藤森史生に、藤森が牽引したTISAX認証取得プロジェクトのきっかけや、実施した取り組み、国際的な自動車ビジネスの場で起きている規制の動向などについて、話を聞きます。

▲旭化成ヨーロッパ シニアITマネージャー 藤森 史生

サプライチェーン全体で重要情報を守り、自動車の開発生産を加速する

藤森「近年は情報化・デジタル化が進んでいく流れのなかで、産業界全体でランサムウェア（身代金要求）攻撃をはじめとするセキュリティインシデントが増加していて、自動車業界でも被害の発生が報告されています。セキュリティインシデントが発生すると、自動車業界のサプライチェーンが断絶される状況が発生してしまうため、関連企業にはBCM（事業継続性＝Business Continuity Management）の管理と情報セキュリティの強化がますます求められています。

▲従来の自動車業界の構造（左図）は階層に分かれていてOEMと対話する相手はTier1に限られていたが、近年（右図）は、サプライヤーの階層にとらわれず、さまざまな企業と連携・協業する動きが広がっている。

一方、自動車業界の構造やビジネスモデルも変化しています。従来は、旭化成のような材料メーカーはTier1やTier2など部品メーカーとやり取りして、OEMへはTier1がコンタクトするのが通例でした。しかし近年は市場競争力を高めるため、自動車開発にかけるリードタイムがどんどん短くなる傾向があり、材料メーカーも短い期間で提案し結果を出すことが求められます。そのため自社の素材の強みを証明するために、直接OEMと会話したり、Tier2/Tier1メーカーと一緒に新車種の開発要件や図面を入手したりして、自社の素材を適用した場合のCAE分析やテストデータを提示するなど、早い段階から開発に参画して、OEMに提案することが増えてきました」

TISAX認証の取得が、ビジネス機会を広げる上で欠かせない要素に

藤森「TISAXとは、Trusted Information Security Assessment eXchangeの略で、OEMの重要情報に関する情報セキュリティの確保をサプライヤーなどに求めるため、ドイツ自動車工業会が定めた情報セキュリティ基準です。アセスメントのカタログに記された要求水準を満たしているか、認証機関の審査を受けて合格すると、認証ラベル（TISAX認証）が付与されて、専門プラットフォームENX (European Network Exchange)でお互いの認証情報を確認し合える仕組みになっています。

2017年に運用が始まって、2022年には大手のOEMからTier1・Tier2までに取得要請が出され、実行力が強まりました。旭化成ヨーロッパでも、OEMとのビジネスが深まるなかで、特定のプロジェクトにおいてTISAX認証が求められる場面が増えてきていました。しかし、当時は未取得だったために一部のプロジェクトに制約が生じるということがあり、その経験が、ビジネス機会の拡大に向けてTISAX認証の取得を進めることが重要であると認識するトリガーになりました。『TISAX認証の取得が必要』という声はビジネス部門の方々から上がり、それを聞いた旭化成ヨーロッパの社長のトップダウンで、2023年２月にIT部門を中心とした認証取得プロジェクト企画が発足しました。TISAX認証を取得できるのは、会社拠点単位です。IT部門のみが対応すればよいというスコープではなく、技術的なセキュリティ対策に加えてビジネスリスク分析、サプライヤー管理、ルールの文書化や組織体制の整備・運用といったISMS (情報セキュリティマネジメントシステム）が求められます。認証取得のために、会社全体で取り組む必要がありました」

入念な準備と社内外の協力が、厳しい審査通過の要に

藤森「『海外現地法人で認証資格を取得する』というプロジェクトは、旭化成としては初めてで、社内にはノウハウもなく、最初は手探りで進めることになりました。中でも力を入れたのは、事前の調査とプランニングでした。外部のコンサルやサポートしてくれるパートナー企業の比較検討と選定をはじめ、どのようなスケジュールを組み立てれば最短期間で従業員への負荷も最小限に抑えられるか、考えて入念に準備を行いました。

準備期間に約8ヶ月かけた後、まず自分たちの現状がTISAXの評価基準に対してどの程度のレベルに達していて、どの程度不足しているか、コンサル会社に依頼してギャップ分析を行いました。最もギャップが大きいとわかったのは、文書化でした。例えば従業員の採用時や退職時に行う教育内容をはじめ、どのようなチェックリストや合意書があるか、実態としてセキュリティ対策を行っていても文書化が不足しているところがあって、現状改善のルールづくり作業に約半年間、一所懸命取り組みました。

なぜこのような取り組みが必要なのか、初めは従業員の理解を得られないこともありました。TISAX認証取得プロジェクトは会社全体に横串を通すような取り組みで、従業員1人ひとりを巻き込んでいく必要があります。監査が入れば、担当の従業員がインタビューを受け、実施内容を説明し証拠を示すことが求められます。外部コンサルの協力があっても、最終的には従業員が自分ごととして理解し、対応できなくてはなりません。そのためIT部門だけでなく、ビジネス部門の方々からプロジェクトの背景を説明していただくなど、強力なサポートを得ながら協力者を増やしていきました。

旭化成ヨーロッパは、ビジネス、R&D、スタッフ系のサービス部門が一体となった比較的小規模な会社です。組織のコンパクトさを活かして有機的に連携することで、柔軟かつスピーディに動くことができたと思います。全社が一丸となって取り組んだ結果、1度目の審査で既に上位5~10%程度の高い水準であると認められ、2024年10月無事合格してTISAX認証を取得することができました」

＊2024年10月に、C-Viewオフィス（１拠点2会社）の旭化成ヨーロッパ（AKEU）および旭化成エレクトロニクスヨーロッパ（AKMEU）がTISAX認証を取得しました。

TISAX認証取得プロジェクトを通して、旭化成グループが得られたこと

藤森「旭化成ヨーロッパがTISAX認証を取得したことによるメリットとしては、第１にプラットフォームENX」を通じた自動車サプライチェ―ンにおける認証情報の共有ができるようになりました。実際に商談で活用したケースも増えてきています。既存顧客からセキュリティアセスメント対応を求められることも増えてきていて、TISAX認証は確実にセキュリティ要件を満たす証明として活用しています。

第２に、グループへの波及効果です。TISAX要件の約50%はITインフラおよびセキュリティに関するもので、TISAX認証を取得するにあたって、旭化成グループの海外現地法人向け標準IT環境である『One-ITサービス』を改善しました。今後、他の海外現地法人がTISAX認証を取得する際には、ITインフラとセキュリティに関する要件をすでに満たした状態でスタートできるため、認証取得にかかる時間や負担を大幅に削減できます。取得までにどのようなところに苦労したかなどノウハウの共有もできるので、より短い準備期間で、スムーズな手続きを実現できると思います。もう１つは、このプロジェクトを通じてスタッフ部門とビジネス部門が一体となって活動し、成果を上げる機会を得られたことです。今回の取り組みでは相互に協力することで、従業員の理解も深まりました。今までより深く交流したり、コミュニケーションしたりすることができるようになって、その後の仕事もやりやすくなったと感じています」

自動車業界の規制や標準化動向に適切なタイミングで対応していく

藤森「TISAX認証は一度取得すれば終わりではなく、運用状況を確認する内部審査を毎年実施して、外部監査は3年ごとに受ける必要があります。セキュリティ基準は市場のリスク変化に応じて向上するため、私たちも対応しながら内容をアップグレードしていくように、情報セキュリティマネジメントシステム(ISMS）の維持と改善活動を行い、3年後の認証資格の更新に備えていきます。

▲旭化成ヨーロッパのメインエントランス前、藤森（前列左から2人目）とプロジェクト実行メンバー

TISAX認証を取得するまでの一連の流れの経験は、今後いろいろな役に立つのではないかと思っています。日本企業全体としては、国際ビジネスにおいて標準化や規則対応でちょっと遅れがちなところが課題となっていますが、今回の認証取得が『ヨーロッパでの規則対応』という経験値となって、今後日本企業のセキュリティ基準の改善点や目指すべき方向も理解しやすくなるかもしれません。

また旭化成ヨーロッパは、TISAXに加えて、欧州自動車業界のサプライチェーン標準化の取り組みである「Catena-X（カテナ・エックス）」にも参加していて、欧州における規制・標準化動向の把握や、プランニングの中心的な役割を担っています。「Catena-X」でも適切なタイミングを見極めて、市場の求める規制・標準化に対応し、欧州自動車市場における旭化成グループ全体のプレゼンスをさらに向上させて、ビジネスを拡大していきたいと思っています」

今後のヨーロッパエリアにおける自動車ビジネスに関するご相談・アイデア・コラボレーションは、こちらのフォームよりご連絡ください。