「未登録情報セキュリティスペシャリスト」

Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+

【これは約 14 分の記事です】

弊社まるおかディジタル株式会社社長、佐藤英治(このブログを書いている人物)は、平成29年(2017年)4月の情報処理安全確保支援士に合格しております。そして、現在登録待ちの状態で、特に問題がなければ10月1日には正式に情報処理安全確保支援士として登録され、名乗ることが出来るようになります。

合格しても、登録しなければ「情報処理安全確保支援士」を名乗ることはできません。私は試験に合格したことがわかった6月から9月30日までの間、さしずめ

未登録情報セキュリティスペシャリスト

になります。

・・・ん?

未登録情報セキュリティスペシャリストでよくね?

未登録情報セキュリティスペシャリスト

意外と「未登録情報セキュリティスペシャリスト」でよくね?

いや、私は既に登録手続きしたので、登録完了したら「登録情報セキュリティスペシャリスト」および「情報処理安全確保支援士」名乗ります。

が、情報処理安全確保支援士合格して、登録はしない、という選択肢を取る人は数多くいるでしょう。何故なら、「情報処理安全確保支援士」は登録するほうが不利な面もあるからです。

情報処理安全確保支援士とは

先に「未登録情報セキュリティスペシャリスト」について書いたので順序が逆になりますが、「情報処理安全確保支援士」とはどういう資格か、書きます。

情報処理安全確保支援士とは、情報処理関連の国家資格の一つで、

サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、サイバーセキュリティ対策の調査・分析・評価やその結果に基づく指導・助言を行う

専門家です。

法律では、「情報処理の促進に関する法律」で定義されている資格です。

情報処理の促進に関する法律
http://law.e-gov.go.jp/htmldata/S45/S45HO090.html

情報処理安全確保支援士は、独占名称の資格。なので、試験に合格して、かつ登録しないと「情報処理安全確保支援士」を名乗ることはできません。

なお、通称は

登録セキスペ(登録情報セキュリティスペシャリスト)

と呼ばれます。「情報セキュリティスペシャリスト」とは、「情報処理安全確保支援士」が設立される前に存在していた、前身となった資格です。「情報セキュリティスペシャリスト」の名称自体は独占名称ではありません。もちろん「登録」を名乗ると嘘になりますので、「登録情報セキュリティスペシャリスト」を名乗れるのは情報処理安全確保支援士だけです。

名称独占だが業務独占ではない資格

情報処理安全確保支援士を取得したからと言って、独占的に行える業務は、平成29年9月現在、ありません。現状では、情報処理安全確保支援士の名称は、その人物の技術力を裏付ける名称でしかありません。制度的な有利な点はありません。

が、制度的に不利な点は何点かあるのです。

資格維持のための講習受講料が3年で約14万円

14万円が高いか安いかは議論が分かれるところです。もう少し細かく書きます。出典は

よくあるご質問
http://www.ipa.go.jp/files/000061173.pdf

登録

登録免許税 9,000円
登録手数料 10,700円

一度登録すれば、更新のための手続きや手数料は必要ありません。が、定期的に講習を受ける必要があり、講習受講料がかかります

オンライン講習(1年に1回) 20,000円
集合講習(3年に1回) 80,000円

他の資格、たとえば中小企業診断士の場合には、協会に入らなければ更新は5年に一度、協会に入れば、年会費3万から5万円。

社労士も社会保険労務士会ことを考えると、県によって変わりますが年会費だいたい開業型で5万から8万円。

こう見ると、情報処理安全確保支援士の1年あたりにかかる維持費は他の資格と比べて高くはないです。

ただ、費用対効果で考えると、業務独占でない情報処理安全確保支援士がその維持費に見合うだけの出費と言えるかは判断がわかれるでしょう。

法的に課せられる責任と罰則が強い

一般的に、技術者のスキルアップのために、企業は従業員の資格取得を後押しします。しかし、情報処理安全確保支援士については、会社がこの資格の取得を後押ししない場合があります。理由は「法的に課せられる責任と罰則が強い」ため、会社の指示として個人に取得させるのをためらうのです。

法的な責任についても「情報処理の促進に関する法律」で規定されています。

情報処理安全確保支援士に課せられる法的責任は

  • 第二十四条 信用失墜行為の禁止
  • 第二十五条 秘密保持義務
    第五十一条で罰則が規定されており、違反した者は、一年以下の懲役又は五十万円以下の罰金
  • 第二十六条 受講義務

合格しても登録しなければ、情報処理安全確保支援士としての法的責任は課せられません。

国に反逆する情報セキュリティスペシャリストは存在しうる

弁護士や社労士が国の法律に反して活動する、ということは、まずありません。弁護士は国を相手に訴訟することはあっても、それは国が本来行うべき施策を行っていないからであって、国に反抗することが目的ではありません。漫画かドラマで弁護士バッチを外すシーンを見た記憶がありますが、そのときには、弁護士という立場を捨てているのです。

ところが、情報セキュリティスペシャリストは、その立場を捨てずに国家に反逆することがありえます。国が情報セキュリティに反することを合法なものとして行うことは十分ありうるからです。

PGPというフィル・ジマーマン(Philip R. Zimmermann)が生み出した公開暗号鍵技術があります。詳しくは、検索していただけると色々出てくると思います。

この暗号化技術、かつてアメリカでは輸出禁止対象でした。軍事技術として危険だと判断されたためです。そのため、日本などアメリカ外の国でPGPを入手することはできませんでした。(ただ、ジマーマンはある抜け道を使ってPGPをアメリカ国外にも拡散させることに成功します)。なお、この輸出禁止は1999年に解禁されます。

これは過去の事例ですが、現在でも国家が通信を傍受したりとセキュリティに反することをすることはあります。

また、そこまで大げさな例でなくても、国が情報セキュリティの観点から考えるとろくでもない法律(例えばマイナンバー法)を施行することは多々あります。

国の施策に反対し、情報処理安全確保支援士として登録しない、という選択肢を取る人も存在しえます。あるいは、一度情報処理安全確保支援士として登録したが、その制度に問題を感じてあえて更新を拒んで失効する人ももしかしたら出るかもしれません。

試験に合格する実力があることを言えれば十分なら

現状の情報処理安全確保支援士の名称独占は、能力への信頼を裏付けるという点のみで有利です。

つまり、それだけであれば試験に合格したことが言えれば十分。もちろん、登録には登録のメリットがありますが、それは例えるなら「起業するなら株式会社名乗ったほうが信頼高い」という性質のメリット。

単に技術力を裏付けたい、履歴書に資格を書きたいだけであれば

「未登録情報セキュリティスペシャリスト」

を名乗ったほうが以下の点で有利という考えもあります。情報処理安全確保支援士合格者が「未登録情報セキュリティスペシャリスト」を名乗っても嘘にはなりません。

  • 維持費用がかからない
  • 法的責任や義務が追加されない
  • 国に縛られないというイメージを与えることが出来る

未登録にして、定期的に受験しなおすほうが金額的にお得

情報処理安全確保支援士の名称を維持する条件として、

定期的な講習義務

があります。情報セキュリティの情報はどんどん更新されていくので、この義務自体は妥当です。

さて、情報処理安全確保支援士に義務付けられている講習を、未登録情報セキュリティスペシャリストが受講できるか。

申込みの案内は、講習運用事務局から登録セキスペに別途メールで連絡することになっています。

国家資格「情報処理安全確保支援士」講習のご案内
https://www.ipa.go.jp/siensi/koshu.html

未登録者には連絡が行かないので、受講できないと考えていいでしょう。

一度情報処理安全確保支援士の試験に合格し、登録しない場合、「未登録情報セキュリティスペシャリスト」を名乗ることはできます。登録しないことにより試験合格が無効になることはないからです。ただ、それでは知識のアップデートを証明できません。

自分の実力が最新のものであることを証明するにはどうするか。簡単な話です。

情報処理安全確保支援士をもう一度受けて合格する

だけのことです。

受験料は、平成29年秋で、5700円。

オンライン講習が1年で2万円であることを考えると、4分の一の費用です。

試験合格と登録セキスペのオンライン講習、質的に同じレベルと考えていいのか。

よくある質問にはこういう質問と回答があります。

Q3-11.既に登録を受けている人が、講習の受講に代えて、情報処理安全確保支援士試験に再度合格することで、資格を維持することはできますか?
A.既に登録を受けている情報処理安全確保支援士の方が、情報処理安全確保支援士試験に再度合格し、その合格をもって新たに登録手続きを行うことは可能です。(後略)

「登録を維持すること」はできませんが、「登録資格を維持すること」は可能です。(厳密に言うと、登録期限はないので、「集合講習の受講が不要な登録資格を維持する」というのが正しい)。また、仮に登録する場合には、新規扱いなので、試験合格後3年以上経過した人物に課せられるオンライン講習は免除されます。「未登録情報セキュリティスペシャリスト」にとっては、登録を維持する必要は全く無いので、能力のアップデートができていることだけが言えれば十分です。

試験再合格と、登録セキスペオンライン講習は質的に同じレベルと考えられるからこそ、こういう質問と回答が成立する、と言っていいでしょう。

現実として、未登録情報セキュリティスペシャリストでも仕事がいただけている

現実として、2017年9月5日(火)時点の私は「未登録情報セキュリティスペシャリスト」ですが、お仕事はいただけています。

資格としてはネットワークスペシャリストを有し、情報処理安全確保支援士に合格する前から情報セキュリティ研修講師などのお仕事をいただいています。

10月1日以降でさらにお声がかかりやすくなる可能性はありますが、それを待たなくても情報セキュリティの業務上、支障はありません。

わざわざ「未登録」「情報セキュリティスペシャリスト」を名乗る

「情報セキュリティスペシャリスト」は独占名称ではありません。情報処理安全確保支援士に合格した人間であれば、わざわざ「未登録」と言わなくても、「情報セキュリティスペシャリスト」と名乗れば十分です。

ですが、あえて「未登録」を強調したいということはありえます。「能力はあるが国家になびかない」というイメージを相手にもってもらうなら、「未登録情報セキュリティスペシャリスト」とわざわざ名乗るのもありかもしれません。

「情報処理安全確保支援士」を名乗る

これは一種のブランディングです。でも

「未登録情報セキュリティスペシャリスト」を名乗る

これもブランディングになりえます。

なお、「情報処理安全確保支援士」やその前身である「情報セキュリティスペシャリスト」の試験に合格していないものが「情報セキュリティスペシャリスト」を自称することを禁じる法律は現時点ではありません。ただ、業界の常識で考えて、「情報セキュリティスペシャリスト」を名乗るものは情報処理技術者試験の情報セキュリティスペシャリストもしくは情報処理安全確保支援士試験の合格者だと判断するのが普通でしょう。合格者でないものが「情報セキュリティスペシャリスト」を名乗るのは、経歴詐称、軽くて優良誤認を誘っていると判断されるでしょう。

中二心をくすぐるかもしれない

国家に対して反抗の姿勢を取るアンチヒーロー「未登録情報セキュリティスペシャリスト」、中二心をくすぐるかもしれない、そう思ってこの記事を書いてみました。

私は登録して「情報処理安全確保支援士」になる方を選択しますが、数年後に私が資格を更新していなかったら、

ああ、国に反抗してでも守りたいセキュリティがあるんだろうな

と温かい目で見ていただけると幸いです。

---最後までご覧いただき、ありがとうございます---

[PR] 今までの実績等を御覧ください。
弊社は情報セキュリティ教育・研修・コンサル業務を行う会社です。

まるおかディジタル株式会社

Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+