2018年6月6日

GDPRの資格認定について

一般データ保護規則 (GDPR) が施行され、世界的に影響を及ぼしています。少数のIT資格認定がすでにGDPRに対応していますが、今後すぐにその数は増えていきます。こうした資格、またはその他のプライバシーとコンプライアンス関連の認定資格があれば、新しい仕事に就けたり、その重要な任務に備えられたりするのでしょうか。

2018年5月28日、欧州連合はGDPRを完全に施行しました。プライバシーポリシーの新設や修正を知らせる大量のメールを受け取ったことで、誰もがそのことに気付いたに違いありません。

ITの分野で働く人たちは、この新しい規則の影響を痛感しています。部下が規則への遵守を理解しているかどうかや、違反した行動をとっていないかを、どうすれば把握できるのでしょうか。または個人の観点で考えると、求職者は、企業コンプライアンス (GDPR、HIPAAまたはほかの規則) について、自分が、ほかのセキュリティやコンプライアンス関連の求職者よりも詳しいことを、どのように証明できるのでしょう。

多くの場合、組織は、テクノロジーやビジネス関連の資格認定に頼り、社員が、ある主題について幅広い知識や深い知識を持つことや、少なくとも、関連する重要な問題をすべて認識していることを保証しようとします。しかし、GDPRが施行されてから間もないため、自身で切り開く必要があるのが現状です。

GDPRのトレーニングにはさまざまな選択肢がある一方で、純粋なGDPRの資格認定はそれほど多くはありません。最近のブログの投稿、「There Is No Such Thing as GDPR Certification… Yet! (GDPRの資格認定などまだない)」 では、セキュリティアナリストのDavid Froud氏が、ニッチ市場に早々と参入するような一攫千金を狙う考え方を厳しく非難しています。

従来の基準で、GDPRに対応するのは困難です。個人にとっても、資格認定においても、評判、威信、知覚価値、名声を得るには長い時間を要します。結局のところ、何を推奨するかを決めてしまうと問題が生じます。GDPRについてトレーニング後に認定を行うとされるサービスの価値や欠点を、私が評価しづらいのはそのためです。最後は自分で決めるしかありません。しばらく待てるようであれば、利用できるデータがさらに増えるため、十分に情報を得たうえで判断できます。

とはいえ、一歩下がって大きな問題を捉える前に、現在考えられる選択肢を見てみましょう。

 

国際プライバシー専門家協会 (IAPP)

今把握している範囲では、IAPPだけが、本格的で信頼できる認定組織として適格であり、GDPRのスキルや知識をさまざまな資格認定 (および、そのカリキュラムと試験) に取り入れています。2000年から活動しているIAPPは、ベンダーとポリシーについて中立的な立場を維持し、自身を「世界最大の国際的情報プライバシーコミュニティ」とうたっています。

IAPPは、6名のメンバーからなる執行委員会によって指揮され、そのうち5名がIAPPの資格保有者です。その諮問機関では、世界中のさまざまな規模の企業、教育機関、業界、研究団体に所属するシニアプライバシーオフィサー、法律家、コンサルタントが、地理的地域の代表を務めています。IAPPの認定を受けた人の数は数千に及びます。そのプログラムは長く続いており、高い評価も得ています。それとともに、GDPRのスキルと知識を追加している点からも検討する価値があると一般に見なされています (おそらくプライバシーが組織にとって重要な問題になっているため)。しかも、IAPPのほとんどの資格認定がANSI/ISO/IEC 17024の基準を満たしています。

IAPPの資格認定には取得を支援するトレーニングカリキュラムがありますが、IAPPは、その受講を、資格試験を受けるための条件にはしていません。自習用の教材も数多く用意されています。また、そのメンバーと資格取得者に活発で意欲的なコミュニティを提供し、受験準備、学習グループ、継続的な教育などに関する情報や会議を活用できるようにしています。

 

Certified Information Privacy Professional (CIPP)

CIPPは、法律とコンプライアンスの問題に伴うデータプライバシー、データ保護のほか、情報管理、データガバナンス、人事について責任を負う、ITとその他のプロフェッショナルを対象にしています。

とはいえ、プライバシーは、情報テクノロジー、とりわけデータセキュリティとデータ保護と同等に、法律と規則による統制の理解を考えるうえでも重要です。そのため、CIPPには、アジア、カナダ、欧州、米国政府、米国民間セクターといった、異なる「地域」のバージョンが用意されています。現時点では、CIPP/Eが、最もGDPRを重視し、詳細に取り上げていますが、必然的にその題材が、今後約18か月間でほかのバージョンにも採用されます。そのようなわけで、GDPRのスキルと知識をすぐに取得したい場合は、CIPP/Eを最優先に検討しましょう。この資格は、ガバナンスとプライバシーのプログラムに関する運用の担当者を対象にしています。

受験料は場所によって異なります。米国では、どのIAPP試験も同じ費用で受験できます。最初の受験では550ドル、同じ試験の再受験では375ドルになります。IAPP認定資格の保有者は、続く (追加の) IAPP資格認定試験を375ドルで受験できます (米国の受験者はその他のCIPPのバージョンを1つまたは複数受験することもできます)。また、IAPPの資格保有者は、IAPPに所属するための年会費を支払うか、認定資格の維持に毎年125ドルを支払う (さらに、ANSI/ISO/IEC 17024標準に準拠した、継続的な教育または再認定の要件を満たす) 必要があります。

 

Certified Information Privacy Manager (CIPM)

CIPMは、情報プライバシープログラムの管理を担当する人を対象にしています。プライバシーの法律と規則に関する知識を持つことと、その知識を有効な、慣行、ポリシー、手順に転換し、組織で日々採用することの両方を重視しています。カリキュラムは、企業 (または組織) におけるプライバシーのビジョンの策定、データ保護、プライバシーチームの構築と構成、プライバシープログラムフレームワークの開発と導入、利害関係者とのコミュニケーション、パフォーマンス測定、プライバシープログラムの運用ライフサイクルなどの主題を取り上げています。CIPMの受験料はCIPPと同じ料金体系が適用され、金額は場所 (および通貨) によって異なります。

 

Certified Information Privacy Technologist (CIPT)

CIPTは、プライバシープログラムに組み込むテクニカルコントロールとコンポーネントの導入を担当する人を対象にしています。データプライバシーとデータ保護に取り組むITプロフェッショナルにとっては、この資格が開始点となる可能性が最も高いでしょう。GDPRと完全に歩調を合わせることに関心があるなら、CIPP/Eと組み合わせると最適です。

CIPTでは、設計、開発、展開、メンテナンス、リタイアメント/リプレースといった、IT製品とITサービスのライフサイクルステージにおけるデータプライバシーの確保を目標としています。受験者は、IT運用、プライバシーへのコンシューマーの期待、付随する責務、などに影響を与える、プライバシーの概念と慣行の理解を求められます。また、プライバシーを、IT製品/サービス開発の初期段階で考慮する設計方法を知る必要があります。具体例として、データの収集と転送に適したプライバシー慣行の確立、IoTのプライバシー管理のほか、プライバシーを、データ分類、およびクラウドコンピューティング、バイオメトリクス、監視などの新たなテクノロジーの要因とすることが挙げられます。また、プライバシーの問題を組織の管理、開発、マーケティング、法務、運用部門に伝えることもそうした方法に含まれます。CIPTには、CIPPと同じ受験料と料金体系が適用されます。

 

GDPRの資格認定を行うその他の組織

現在、その他の3つの組織がGDPRのトレーニングと資格認定を行っていますが、それらのサービスでISO/IEC 17024への準拠を明確にしているものは1つもありません。主催者のWebサイトにアクセスしたり、ここで発行されているいくつかの記事を読んだりすることで、そうしたサービスの善し悪しを自分で判断できます。

  • ITGovernanceUSA.com: 「ITガバナンス、リスク管理、コンプライアンスソリューションの世界的大手プロバイダー」が、営利目的のサービスを提供しています。トレーニングが必須です。
  • EU GDPR Institute: 個人、プロフェッショナル、企業を対象としたトレーニングと資格認定に焦点を当てるシンクタンク。GDPRとData Privacy Officer (DPO) の資格認定を行います。トレーニングが必須です。
  • International Board for IT Governance Qualification (IBITGQ): 2011年からITプロフェッショナルの資格認定を行っている国際組織。2,139人のプロフェッショナルが資格認定を受けたことを誇っています (10種類の資格全体における個別の内訳は示されていませんが、GDPRではない6つの資格の資格取得者は1,700以上)。IBITGQには、EU GDPR Foundation (EU GDPR F) とEU GDPR Practitioner (EU GDPR P) の2つのEU GDPR資格認定があります。同組織は、17,024のコンプライアンス資格認定を公言していますが、このGDPR認定が基準を満たしているかどうかは明確ではありません。認定を受けるにはトレーニングが必要です。

 

求人掲示板の数字は信用できる

資格認定を受けようとする理由はさまざまです。指定された知識領域の修得を (少なくとも自分で) 認めることだけではありません。多くの人が、さらによい仕事に就くために認定資格を取得しようとします。昇給や昇進が目的の場合もあるでしょう。そのようなわけで、GDPRの資格認定が、雇用側の組織に影響を与えるかどうかを評価するのは意味のあることです。

100件以上の仕事を掲載する求人掲示板の分析において、求められるプライバシーの資格として確認できたのは、IAPPのみでした。それ以外では、EU GDPR DPOのみが0以外の値を示しています (具体的には36件)。こうした数字の情報を集めるために、特定の日に求職を投稿しているサイト、SimplyHired、Indeed、LinkedIn、LinkUpの画面をスクレイピングしました。

これらのサイト全体で、IAPPの資格を求めている、米国での仕事の件数は、次のとおりです。

  • CIPP (すべての地域バージョン): 3,059
  • CIPM: 749
  • CIPT: 783

皆さんは、求人の投稿に記載のない資格の知覚価値を自分で判断できます。

 

資格認定の真の品質とは

認定資格が仕事や昇給につながることもあります。ただし、そうした資格に信頼性がある場合に限ります。多くの組織がそのコンプライアンス体制の維持に役立つ、GDPRのトレーニングと資格認定を提供したがっています。

皆さんが、そうしたサービスに安易に投資したり時間と労力を費やしたりする前に、いくつか考察したいことがあります。私は、1980代の後半から資格認定プログラムに携わり、1990年代のなかばから、そうしたプログラムについて執筆してきました。Novellの先駆的な資格認証プログラムの1つである「Introduction to Local Area Networks」基礎コースのトレーニング開発者をしばらく務めたこともあります。

資格認定 (GDPRでもその他の分野でも) を行う組織の多くは、オンラインや教室でのトレーニングにサインアップさせるために、多少内容を変えたプログラムを提供しており、中には費用がきわめて高額になるものもあります。そうした組織は、そのトレーニングと試験をセットにして、簡単に認定証を授けることで、自身のサービスに顧客が押し寄せることを期待します。このサービスによって、トレーニングの参加者は十分な知識とスキルを修得できるため、3日間ほどのトレーニングで学んだ知識を資格取得後すぐに活用できるとも主張します。それで成果が出るとよいのですが。

私が、ITの資格認定の効率性と、キャリア向上の可能性を考察するときの判定基準を紹介します。

資格認定の方法論: 資格認定と試験の価値ある仕組みを構築して受験者をサポートする事業には、高額な費用がかかります。そうした事業はまず、職場で使用される一連の具体的な、知識、スキル、専門性に対する明確なニーズに応えることから始まります。これが、広範で時間のかかるジョブタスク分析へと続きます。その中で、該当の分野で活動する専門家にインタビューし、実際の業務に必要なスキルと知識の種類を判定します。

ジョブタスク分析の結果で得られた一連の知識を基に、試験の正式な目標を明確にします。こうした目標を重視して、必要なスキルと知識を与えるカリキュラムを開発し、各受験者の知識と理解を探る問題を作成します。問題は、広範なアルファテスト、ベータテスト、精神測定分析によって精査されます。教材を本当に理解している受験者と、そうでない受験者を実際に区別できる問題のみが承認済みの最終バージョンとなり、資格認定試験として公開されます。

資格認定の標準への準拠: 最も真剣に取り組む資格認定組織は、ISO/IEC標準17024の「個人に対する資格認定スキームを運用する組織に求められる一般的な要件」を遵守しています。このプロセスは、完了までに1~2年かかり、資格認定の厳密さ、継続的な教育と再認定の体制などさまざまな要件を伴います。コンプライアンスを維持する資格認定には、通常、最も高い知覚価値があるため、威信、力量の評価、キャリアアップといった観点からその保有者にインパクトを与えられます。

プログラムスポンサーの評判と評価: 主要な資格認定プログラムのスポンサーは大きく次の2つに分類されます。

  • 1つ目は、特定の市場、テクノロジー、スキルセットを中心としたプロフェッショナルコミュニティを支援する一流の協会や団体。ITの領域では、主要な団体の例を少し挙げるとCompTIA、ISC²、ISACAなど、広く認識されている組織がこれに含まれます。
  • 2番目は、ツール、テクノロジー、プラットフォームを世界的な顧客基盤に提供する大手の商業的企業。こうした企業は、資格認定を、自社製品のサポート費用の管理や分配を容易にするツールと見なしています。こうした資格認定事業における巨大企業の例として、ここでも3大組織を挙げると、Microsoft、Cisco、Dell/EMC/VMwareがあります。

当然ながら、これらの組織はすべて、真剣で正当化できる資格認定の方法論を実践に移し、17024に準拠した認定資格を、自社の従業員、パートナー、顧客、その他の関係者に提供しています。

知覚価値と報告済みの価値、評価、資格取得者数: 最も価値のあるIT認定資格とは、誰からも知られ、認識され、評価される資格を指します。それらはいつも、最も価値や人気がある、または高収入を得られるといった資格のリストに繰り返し登場します。きわめて難易度が高いとされていますが、非常に価値があるものです。優れた資格の例として、Cisco Certified Internetwork Expert (CCIE)、Certified Information Systems Security Professional (CISSP)、SANS GIAC Security Expert (GSE) が挙げられます。プログラムの知名度、資格保有者の数、存続期間も検討する際の重要な要因になります。また、認定資格のアフターマーケットの規模と活力も検討するに値します。たとえば、自習教材、演習テスト、シミュレーター、オンライントレーニング環境のほか、学習グループ、Q&Aサイトなどに関する活発なユーザーコミュニティなどが利用できるかどうかを確認しましょう。

GDPRは言うまでもなく、まだ初期の段階です。GDPRについて学びたい人は、自宅で学習し、サードパーティによる評価、ランキング、証言、以前の参加者の苦労話などを探す必要があります。そうすることで、トレーニングプロバイダーが自身のサービスの質や高価値について勢いよく主張する内容を違う視点で捉えられるようになります。自分で切り開く必要がある場合ほど「Caveat emptor (買い主の危険負担)」が重要になる状況はありません。こうした状況では、品質、評判、実績を測る基準を見分けるのは難しく、それを検証するのはさらに困難になるからです。

 

GDPR市場の今後

GDPRに詳しい管理者とプロフェッショナル向けのトレーニングと資格認定への殺到は始まったばかりです。私は、セキュリティとガバナンスの領域で強い存在感を示しているISC²とISACAが12~18か月のうちに、サービスの提供を開始するのではと見ています。といっても、そのように紹介する公式のコメントがあったり、予定されていたりするわけではありません。

GDPR関連の市場では、今後1~2年の間に、さらに多くの動きがあることは間違いありません。しかし、現時点では、本当に価値のあるGDPR関連の資格認定はIAPPから提供されると思われます。

この記事/コンテンツは、記載されている特定の著者によって書かれたものであり、必ずしもHewlett Packard Enterpriseの見解を反映しているとは限りません。

enterprise.nxt

ITプロフェッショナルの皆様へ価値あるインサイトをご提供する Enterprise.nxt へようこそ。

ハイブリッド IT、エッジコンピューティング、データセンター変革、新しいコンピューティングパラダイムに関する分析、リサーチ、実践的アドバイスを業界の第一人者からご提供します。