査
TISAX2026.07.08
TISAX対応を検討する企業から、
「ISO27001を取得していれば対応できますか?」
という質問をよくいただきます。
結論から言うと、TISAXはISO27001をベースとしているものの評価方法や考え方が大きく異なるため、ISOの延長として対応すると運用や証跡の面で想定以上に苦労するケースが少なくありません。
本コラムでは、両者の違いを実務観点で整理します。
最大の違いは「認証」か「評価」かです。
TISAXは“できているか”ではなく“どのレベルでできているか”を評価します。
ISMSでは、要求事項に対して取り組みが実施されているかを「適合/不適合」で評価します。
一方でTISAXでは、成熟度によって評価されます。
(例)
レベル0:未実施
レベル1:実施されているが文書化されていない
レベル3:組織的に実施され、文書化されている
レベル5:継続的改善が行われている
TISAXでは成熟度レベル3(Established)が目標とされており、
1つでも成熟度レベル2以下がある場合は適合と判断されません。
「単に実施しているかではなく、仕組みとして継続的に運用できる状態にあるかが評価の対象となります。」
TISAXでは、選択する「審査目的」によって、適用される要求事項の範囲が変わります。
ISMSでは、ISO/IEC 27001の要求事項に基づき、一定の枠組みでマネジメントシステムを評価します。
一方、TISAXでは、選択する審査目的に応じて、適用される要求事項が変化します。
例えば、「審査目的」には以下のような区分があります。
TISAXでは、守る対象や求められる保護水準に応じて「審査目的」を選択します。
審査目的によって、どの程度のリスク対処が必要かが具体化され、その結果として、必要となる統制や追加要求事項が変わります。
要求事項が常に一律に固定されるのではなく、守る対象や求められる保護水準に応じて適用範囲が変わる点が、TISAXの特徴です。
評価の深さもTISAXでは段階的に変わります。
ISMSでは認証範囲の拠点に対して現地審査が実施されるのが一般的です。
一方、TISAXでは「Assessment Level(AL)」という評価レベルが設定されており、求められる信頼性や保護要求に応じて評価の深さが変わります。
AL1:自己評価
AL2:審査機関によるリモート審査
AL3:審査機関による現地審査
このように、TISAXは要求レベルに応じて評価方法を選択する仕組みとなっています。
審査目的や保護レベルに応じて適用されるレベルが決まります。
リスクや重要度に応じて評価手法が変わる設計です。
TISAXとISO27001は同じ情報セキュリティの枠組みでありながら、評価の考え方に大きな違いがあります。
ISO27001:適合しているかを評価する「認証」
TISAX:成熟度を評価し結果を共有する「評価スキーム」
また、TISAXでは審査目的や保護レベルによって要求事項や審査レベルが変化し、より実務的で実態に即した運用が求められます。
そのため、ISO27001を取得している場合でも、運用の成熟度、証跡の整備、委託先管理などの観点で追加対応が必要となるケースが少なくありません。
TISAX対応では、「ISO27001の延長」ではなく「別の評価軸への対応」と捉えることが成功のポイントです。
TISAX対応では、スコープの整理や成熟度の確保、証跡整備など、実務的な検討事項が多岐にわたります。
ブロードバンドセキュリティでは、初期診断からコンサルティング支援まで一貫してご支援しています。
https://www.bbsec.co.jp/service/certification/tisax_certification.html
<参考資料>
この記事をシェアする