　CSMSプロセスを浸透させる組織構造を整えるに当たり、既存のISMSが参考となる。一般的にISMSでは、なぜ（Why）取り組むのかを「基本方針」として、何に（What）を「対策基準」として、どのように（How）を「実施手順・運用規則など」として、3層構造のルールとして策定し、組織全体へ浸透させていく。図2-3に、総務省が公表している「国民のための情報セキュリティサイト、企業・組織の対策」^（※2）を参考までに示しておく。

（※2）総務省, 組織幹部のための情報セキュリティ対策：http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/index.html

図2-3　総務省HP「情報セキュリティポリシーの内容」（クリックして拡大）出典：総務省

　ISMSは、情報やITシステムのセキュリティ管理に主眼が置かれている。WP.29 CS/SU Regulationsが求めるCSMS/SUMSは、自動車やアイテム、HW/SW部品のセキュリティ評価・設計・実装・テスト・保守をプロセスによりセキュリティ管理を達成する手段の1つである。ISMSとCSMS/SUMSは管理対象が異なるため、既存のISMSの3層ルールに加え、CSMS/SUMSの3層ルールを備えることで、自動車やアイテム、HW/SW製品の開発や生産に適した管理システムの構築が期待される。

　例えば、CSMS/SUMSの「基本方針」として、以下の項目について社内外へ宣言することを考えてみたいところである。

製品セキュリティ管理体制の構築
対策基準、実施手順などの社内規定の整備
監査体制の整備
実施と改善の活動
CSに取り組むサプライヤーの選定

　次に、上記の5項目の基本方針に沿った「対策基準」を策定していく。まず、管理体制の構築として、Chief Product & Information Security Officer（CPISO）を議長とした製品・情報セキュリティ委員会を設置し、社内規定を策定・承認し、関係部門へ周知していくことを基準にすると良い。これはISMSで設置した情報セキュリティ委員会や議長に役割を統合するという考え方である。

　社内規定の整備、監査体制の整備、実施と改善の活動は、WP.29 CS/SU Regulationsのうち、OEMやサプライヤーに関連する事項を引用してくることで、WP.29 CS/SU Regulationsへの順守を基準とできる。

　サプライヤーの選定は、WP.29 CS Regulation 7.2.2.3の要件として、OEMはティア1サプライヤーとのCS連携が、ティア1サプライヤーはティア2サプライヤーとのCS連携が、階層的に求められており、重要な要素となる。OEMが求めるCybersecurity Goal（CG）を達成できうる適格性を審査するために、2.～4.への取り組みの有無や成熟度を測ることを基準にすると良い。ただ現時点においては、こうした評価を客観的に進めることは難しいものと考えられる。

　そこで、WP.29 CS Regulationの重要な項目について、その解釈についてヒアリングしてみることで、CSMS対応能力の一定の評価とすることを考えてみたい。図2-4に、業務委託先のWP.29 CS Regulationの解釈ヒアリングシートのサンプルを作成してみた。ご参考にしていただきたい。