Japan

関連リンク

関連リンク

関連リンク

関連リンク

サイト内の現在位置

個人情報保護士認定試験を受けてみた

NECセキュリティブログ

2023年2月24日

NECサイバーセキュリティ戦略統括部セキュリティ技術センターの妹脊です。
とあるきっかけから、2022年12月に個人情報保護士認定試験を受験しました。恥ずかしながら、受験するまでこのような試験があるとは知らなかったのですが、2023年2月時点で延べ20万人以上が受験している試験だそうです。今回は個人情報保護士認定試験の概要と受験記をご紹介します。

個人情報保護士認定試験とは

個人情報保護士認定試験 new window[1]は、一般財団法人全日本情報学習振興協会(以下、協会)new window[2]が実施している民間の資格試験です。「個人情報の保護に関する法律」(以下、個人情報保護法)や「行政手続における特定の個人を識別するための番号の利用等に関する法律」(以下、マイナンバー法)に関する知識はもちろんですが、個人情報保護のためのセキュリティ対策全般についても問われるのが特徴です。
試験は年に4回開催されています。2005年に第1回認定試験があり、2023年3月で第70回となるそうです。個人情報保護法が2003年5月成立、2005年4月に全面施行でしたので、成立してすぐできた試験だったのですね。

試験の概要

試験の概要は以下のとおりです。

出題内容

出題内容には大きく2つのカテゴリ(課題Ⅰ、Ⅱ)があります。

  • 課題Ⅰ:個人情報保護の総論
    個人情報保護法とマイナンバー法、2つの法律に関する内容が出題されます。
    各法律の条文の理解は、条文だけでなく法制定までの背景や、制定後の国や関係省庁の取り組み、プライバシーマーク・ISMSといった認証制度なども範囲となっています。また、関係する政令や個人情報保護委員会が発行している「個人情報の保護に関する法律についてのガイドライン」(以下、ガイドライン)new window[3]も出題範囲です。さらに、受験時点での法制度・情報をもとに出題されますので、法改正などがあった場合にはそのポイントも押さえておく必要があります。

課題Ⅰの出題内容の概要は下記の表のとおりです。

個人情報保護法の理解 個人情報保護法の歴史
個人情報に関する事件・事故
各種認定制度(プライバシーマーク、ISMS、JIS Q 15001)
個人情報の定義と分類
個人情報取扱事業者
条文に対する知識と理解
マイナンバー法の理解 番号法の背景・概要
条文に対する知識と理解
  • 課題Ⅱ:個人情報保護の対策と情報セキュリティ
    個人情報保護法20条で定められている安全管理措置の具体的な内容として、組織的・人的・技術的・物理的なセキュリティ対策に関する内容が出題されます。適切なレベルの安全管理を行うために必要なリスク分析も出題範囲です。

課題Ⅱの出題範囲の概要は下記の表のとおりです。

脅威と対策 脅威と脆弱性に対する理解(リスク分析手法)
組織的・人的セキュリティ 組織体制の整備
人的管理の実務知識
オフィスセキュリティ 物理的管理の実務知識
情報システムセキュリティ 技術的管理の実務知識

詳細な試験内容はこちら new window[4]を参照ください。

試験時間・出題数・合格点

試験は150分で、すべて択一式問題です。課題Ⅰと課題Ⅱからそれぞれ50問ずつ、計100問が出題されます。
合格点は課題Ⅰ、課題Ⅱのそれぞれで70%以上となっています。ただし、問題の難易度によって調整され、正答率70%以下でも合格とする場合があります。
協会によると、過去の平均合格率は37.3%(平均年齢37歳)だそうです。

受験方法と費用

受験方法には、会場受験とオンライン・ライブ受験があります。会場受験は、申し込み時に自身が指定する会場でマークシート方式により受験します。オンライン・ライブ受験は、自宅等から協会が準備するシステムにインターネット経由で接続して受験します。PCのほか、協会指定の広角Webカメラが必要です(レンタルも可能)。
受験料は11,000円です。学生には学割価格もあります。オンライン受験では、受験料のほかにカメラのレンタル料や郵送料なども必要になります。オンライン受験の詳細はこちら new window[5]を参照ください。

受験記

ここから、私の受験記をご紹介します。

受験のきっかけ

私は今年度から、社内のインシデント対応窓口業務を担当することになりました。窓口業務は、インシデント報告の受付を行い、報告内容から必要な対処を判断し、当事者部門に対して必要に応じて助言・指導を行いながら事態の収束までを支援する業務です。特に個人情報に関わる事案が発生した場合は、個人情報保護委員会やPマーク審査機関への届け出が必要な場合もあり、適切な判断とスピード感をもった対応が必要です。しかし、私は法律に関する知識が薄く、なかなか自信をもって業務を行えていない状況でした。そんなところに、たまたま社内で紹介があったのがこちらの試験でした。試験勉強で法律も学べて業務にも生かせる、資格も取れるなら価値はあるなと思い、すぐに申し込みをしました。

試験対策

私が行った試験対策は下記です。
対策にかけた時間は、トータルで50時間程度かと思います。

  • テキストを読む
    「個人情報保護士認定試験 公式テキスト」(以下、公式テキスト)と「個人情報保護士認定試験 公認テキスト」(以下、公認テキスト)という2つのテキスト new window[6]を併用しました。公式テキストは日本能率協会マネジメントセンターが出版しており、協会が公式認定しているものだそうです。公認テキストは協会が出版しているもので、後述の実践対策講習を申し込むとプレゼントされました(2022年10月時点)。公式テキストは全体的に要点を押さえて簡潔にまとまっています。公認テキストは、公式テキストより情報量が多く法律条文に対しての事例が豊富に記載されています。
    テキストを確認したところ、課題Ⅱについてはすでに知っている内容がほとんどだったため、課題Ⅰを重点的に学習することにしました。私の感覚にはなりますが、課題Ⅱのレベル感はIPAの情報セキュリティマネジメント試験相当かと思います。(結局、課題Ⅱは少し用語などを見返したくらいでした。)
    まずは個人情報保護法・マイナンバー法の各章の全体概要をつかむために、公式テキストのほうを一通り読みました。公認テキストは、問題を解いて分からなかった際に辞書代わりに活用しました。なお、法律の改正等により試験の内容に変更が生じる場合があるため、テキストは受験するときの最新版を用いるのが良いでしょう。
  • 実践対策講習を受講する
    協会では、オンラインの対策講座 new window[6]が2種類用意されていますが、そのなかの「実践対策講習」new window[7]というものを受講しました。6時間のオンライン講習で、法律条文の読み解き方や試験で問われる重要なポイント等を教えてくれるものです。申し込み後、講習で使用する資料と、公認テキストが郵送されました。講習での説明は要点を押さえており非常にわかりやすかったですし、資料は公式テキストの文章を図や表にまとめたものも多くあり復習時にも役立ちました。
    Web模擬試験システムによる1回分の模擬試験がついていたので、そちらも講習終了後に活用しました。
  • 過去問を解く
    私は問題をまず解いてみて、理解ができていないところがあれば見直しをするという学習スタイルのため、ひたすら過去問を解き、間違った問題や正解したけれど自信がなかった問題に関連する部分をテキストでふり返りました。協会のWebページには参考問題 new window[8]は掲載されていますが、過去問題は公開されていません。私は社内で申し込みをしたため、そちらに付帯するサービスでも過去問題を解くことができましたが、個人で申し込まれた方は市販の過去問題集を購入するか、過去問アプリ(アプリ内課金で最新の過去問が入手できるようです)などを利用するのがよいでしょう。
  • 事例を確認する
    条文を読み直してもなかなか理解できなかったり、過去問の解説に納得がいかなかったりした場合は、上述の公認テキストに書かれている事例を確認しました。ただし、公認テキストに事例が載っていなかったり、ガイドラインを参照したりしているものもあったので、その場合は個人情報保護委員会のWebサイトにあるガイドライン本文とQ&A new window[3]を参考にしていました。ガイドラインは、通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、仮名加工情報・匿名加工情報編、認定個人情報保護団体編に分かれており、法律条文より具体的かつ読みやすい文章で記載されています。また、Q&Aはよくある質問ごとに記載されているので、キーワードで検索して該当の質問の回答を確認したり、気が向いたときにコラム的に読んだりもしていました。

受験当日

私は会場受験で申し込みをしたため、会場へ行きました。最近はテストセンターでコンピュータによる受験が多かったので、久しぶりに紙のマークシートの試験で何だか逆に新鮮な感じでした。受験票には顔写真の貼付が必要ですので、お忘れなく。また、150分間会場から出ることはできないので、トイレ等は済ませておきましょう。
試験が始まって最初は少し緊張していましたが、過去問をたくさん解いていたおかげか、問題文の読み解きが思ったより早くでき時間に余裕をもって1周目を完了、見直しも十分できました。

合否連絡

受験票に記載の合格発表日(受験約1か月後)に、協会の合格発表ページ new window[9]で合否が確認できるようになります。
受験日当日の夕方にYouTubeで解答速報が出たので自己採点したところ、課題Ⅰ、Ⅱとも9割以上は取れていたのであまり心配はしていなかったですが、結果は、無事に合格することができました。
合格した場合は、「合格証書」と「認定カード」が郵送されます。
認定カードには有効期限(取得年月から2年間)があり、更新を行うためには年に1回1時間の講習の受講(有料)が必要とのことです。new window [10]

資格の活用

私は、インシデント対応窓口業務を円滑に進めたいということが受験のきかっけでしたので、その業務の中でより自信をもって判断や確認ができるようになったと感じています。特に、下記のポイントでインシデント対応を以前よりスムーズに行うことができています。

  • 何が個人情報にあたるのかが分かるようになった(例えば、ユーザ名@ドメイン名というメールアドレスで個人を特定できる場合は個人情報になる、携帯番号やクレジットカード番号はそれ単体では個人情報ではない(ただし、氏名などの他の情報と容易に照合できる場合は個人情報になる)など)
  • 社内からのエスカレーションがあった際、インシデント報告者からインシデントに関する情報をどれくらいのスピード感で提出してもらう必要があるかが分かるようになった(漏えいの可能性のある情報の中に要配慮個人情報が含まれている場合、1000件を超える個人情報がある場合など(他にも届け出が必要な場合はあります)は個人情報保護委員会への届け出が必要という背景を理解したうえで行動できる)
  • コンプライアンス担当部門との意思疎通がはかりやすくなった(同じ用語を使って会話ができる、用語が理解できる)

また、そもそもの話になってしまいますが、法律は社会の共通的な基準となるものであり、個人情報保護法は個人情報を取り扱う事業者にとって遵守する義務がありますので、社内で顧客情報や社員情報などを管理する部門、コンプライアンス担当部門、私のようにインシデント対応を行う部門に所属する方は知っておくべき知識であると感じました。
開発部門の方でも、開発するシステムで個人情報を取り扱うことは多くあると思います。そのようなシステムで、個人情報保護の観点での対策を設計、実装する際にも役立つ資格だと思います。

おわりに

今回は、個人情報保護士認定試験についてまとめました。
本試験は、個人情報保護法やマイナンバー法などの法律と、個人情報保護のための安全管理措置(情報セキュリティ対策)を体系的に学ぶことができますのでバランスの良い試験だと思います。もし興味がわきましたら、受験してみてはいかがでしょうか。

参考資料

執筆者プロフィール

妹脊 敦子(いもせ あつこ)
セキュリティ技術センター セキュリティ実装技術グループ

OS・ミドルウェアの要塞化ツールの開発やリスクアセスメント、セキュリティ要件定義・設計の支援を通じて、NECのセキュリティ提案・実装推進に従事。2022年度よりブランディングチームも兼任し、様々なイベント・情報発信活動などに携わる。CISSP、CISA、情報処理安全確保支援士(RISS)を保持。
趣味は週末ヨガと年に数回の手仕事(梅酒・梅シロップ・味噌づくりは欠かせない)の母ちゃんエンジニア。

執筆者の他の記事を読む

Escキーで閉じる 閉じる