【TISAX】TISAXとISMS(ISMS(ISO/IEC 27001))の比較
トップへ戻る

技術情報/コラム TECHNICAL INFORMATION/COLUMN

TISAX2026.07.08

TISAXとISMS(ISMS(ISO/IEC 27001))の比較

TISAX対応を検討する企業から、
「ISO27001を取得していれば対応できますか?」
という質問をよくいただきます。

結論から言うと、TISAXはISO27001をベースとしているものの評価方法や考え方が大きく異なるため、ISOの延長として対応すると運用や証跡の面で想定以上に苦労するケースが少なくありません。

本コラムでは、両者の違いを実務観点で整理します。

各規格の考え方の違い

最大の違いは「認証」か「評価」かです。

  • ISMS(ISO27001):第三者認証(適合/不適合)
    組織が情報セキュリティの方針・目標を定め、それに基づくマネジメントシステムが適切に構築・運用されているかを評価する制度です。
    業種を問わず適用可能な汎用的な規格となっています。
  • TISAX:自己評価+第三者評価(成熟度評価・共有)
    ISO27001をベースとしつつ、統制が存在しているかだけでなく、どの程度成熟して運用されているかを評価する仕組みです。
    評価結果はENXポータルを通じて取引先と共有されます。

評価の違い

TISAXは“できているか”ではなく“どのレベルでできているか”を評価します。

ISMSでは、要求事項に対して取り組みが実施されているかを「適合/不適合」で評価します。
一方でTISAXでは、成熟度によって評価されます。

(例)
レベル0:未実施
レベル1:実施されているが文書化されていない
レベル3:組織的に実施され、文書化されている
レベル5:継続的改善が行われている

TISAXでは成熟度レベル3(Established)が目標とされており、
1つでも成熟度レベル2以下がある場合は適合と判断されません。

「単に実施しているかではなく、仕組みとして継続的に運用できる状態にあるかが評価の対象となります。」

要求事項の違い

TISAXでは、選択する「審査目的」によって、適用される要求事項の範囲が変わります。

ISMSでは、ISO/IEC 27001の要求事項に基づき、一定の枠組みでマネジメントシステムを評価します。
一方、TISAXでは、選択する審査目的に応じて、適用される要求事項が変化します。

例えば、「審査目的」には以下のような区分があります。

  • 情報セキュリティに関する審査目的
  • 可用性に関する審査目的
  • プロトタイプ部品・車両等の保護に関する審査目的
  • GDPRに基づくデータ保護に関する審査目的

TISAXでは、守る対象や求められる保護水準に応じて「審査目的」を選択します。
審査目的によって、どの程度のリスク対処が必要かが具体化され、その結果として、必要となる統制や追加要求事項が変わります。

要求事項が常に一律に固定されるのではなく、守る対象や求められる保護水準に応じて適用範囲が変わる点が、TISAXの特徴です。

評価方法の違い

評価の深さもTISAXでは段階的に変わります。
ISMSでは認証範囲の拠点に対して現地審査が実施されるのが一般的です。

一方、TISAXでは「Assessment Level(AL)」という評価レベルが設定されており、求められる信頼性や保護要求に応じて評価の深さが変わります。

AL1:自己評価
AL2:審査機関によるリモート審査
AL3:審査機関による現地審査

このように、TISAXは要求レベルに応じて評価方法を選択する仕組みとなっています。

審査目的や保護レベルに応じて適用されるレベルが決まります。
リスクや重要度に応じて評価手法が変わる設計です。

まとめ

TISAXとISO27001は同じ情報セキュリティの枠組みでありながら、評価の考え方に大きな違いがあります。

ISO27001:適合しているかを評価する「認証」
TISAX:成熟度を評価し結果を共有する「評価スキーム」

また、TISAXでは審査目的や保護レベルによって要求事項や審査レベルが変化し、より実務的で実態に即した運用が求められます。
そのため、ISO27001を取得している場合でも、運用の成熟度、証跡の整備、委託先管理などの観点で追加対応が必要となるケースが少なくありません。

TISAX対応では、「ISO27001の延長」ではなく「別の評価軸への対応」と捉えることが成功のポイントです。

TISAX対応をご検討の方へ

TISAX対応では、スコープの整理や成熟度の確保、証跡整備など、実務的な検討事項が多岐にわたります。
ブロードバンドセキュリティでは、初期診断からコンサルティング支援まで一貫してご支援しています。
https://www.bbsec.co.jp/service/certification/tisax_certification.html

<参考資料>

この記事をシェアする

関連サービス

技術情報/コラム一覧へ戻る