【プライバシー新資格】CDPSE(Certified Data Privacy Solutions Engineer)-徹底解説-
CDPSEとは?
CDPSE(Certified Data Privacy Solutions Engineer)とは、情報システムコントロール協会(ISACA)が新たに認定する、プライバシーに関するテクニカルスキルを証明する資格です。
公認情報システム監査人 (Certified Information Systems Auditor/CISA)のように、日本語での資格名が正式に公示されていないようですが、他に倣うと「公認データプライバシー ソリューションエンジニア」という名前になるでしょうか。
なぜこの資格が作られたかについて、ISACAは次のように説明しています。
Modern privacy laws and regulations require organizations to implement privacy by design and by default into IT systems, networks, and applications. To do so, privacy professionals must partner with software developers, system and network engineers, application and database administrators, and project managers to build data privacy and protection measures into new and existing data processing environments.
This certification is designed to assess a privacy professional’s ability to implement privacy by design to enable organizations to enhance privacy technology platforms and products that provide benefit to consumers, build trust, and advance data privacy.(後略)
・ISACA Support Center “Why is ISACA doing this?”
https://support.isaca.org/app/answers/detail_trending_topics/a_id/993
大まかな趣旨としては、法規制を背景にITシステム等へのプライバシー・データ保護対策のシステム的な実装の必要性が高まっており、こうしたプライバシーに掛かる技術的な設計・実装能力の評価が目的のようです。
単に法的な規制要件の理解だけでなく、その要件を充足する設計・実装等の技術的な能力を評価する、という点に特徴があるようです。資格名に”Engineer”とあるのはそれを強調したということでしょうか。
認定資格の趣旨・目的は下記にも詳しく説明されています。
誰に向けた資格か?
上記のサポートページには、資格の主な対象者を下記としています。
・IS/IT operations roles
・IS/IT application development roles
・Infrastructure architects
・System and network engineers
・Database administrators
・Project management roles
見てのとおりシステム運用・開発等のエンジニアやインフラ設計者やデータベース管理者等の技術者向けであることを明らかにしています。
上記の対象者には続きがあり、従来の統制評価等の業務にあたる専門家は「Secondary and tertiary audiences」、二次的・三次的な対象者であるとされています。
認定要件は?
現在の認定要件は、サポートページ“What are the requirements to apply for the certification during the Early Adoption period?”に纏められていますが、2020年5月27日現在は早期導入プログラムの適用中であり、「試験要件がない」(試験を受けずに認定可能)という点が大きな特徴です。
それ以外の要件は以下に記載します。
実務経験
「実務経験」の要件は、過去10年以内に3つのCDPSE実務ドメインから合計5年以上の実務経験が必要になります。また2つ以上のドメインでの経験が求められます。
つまり1つのドメインのみで5年以上経験があっても要件を満たさないということになります。CDPSEのドメインは下記の3つです。
・Domain 1: Privacy Governance
・Domain 2: Privacy Architecture
・Domain 3: Data Cycle
・ISACA “CDPSE EXAM CONTENT OUTLINE”より
https://www.isaca.org/credentialing/certified-data-privacy-solutions-engineer/cdpse-exam-content-outline
Domain 1: Privacy Governance
ドメイン1はプライバシーに関する法対応や事故管理、監査、教育、リスク管理等に関わる経験が記載されています。
日本ではプライバシーポリシー等に係る法務部門、内部監査部門、セキュリティ管理部門や危機対応を行うリスクマネジメント部門等での業務経験が該当するのではないでしょうか。以下は前述の”CDPSE EXAM CONTENT OUTLINE“に記載されている詳細です。
※”カテゴリ””内容”は筆者が表に纏める関係上便宜的に付けたものです。和訳も同様です。
| カテゴリ | 内容 |
|---|---|
| A.Governance | 1.Personal Data and Information 2.Privacy Laws and Standards across Jurisdictions 3.Privacy Documentation (e.g., Policies, Guidelines) 4.Legal Purpose, Consent, and Legitimate Interest 5.Data Subject Rights |
| B.Management | 1.Roles and Responsibilities related to Data 2.Privacy Training and Awareness 3.Vendor and Third-Party Management 4.Audit Process 5.Privacy Incident Management |
| C.Risk Management | 1.Risk Management Process 2.Privacy Impact Assessment (PIA) 3.Threats, Attacks, and Vulnerabilities related to Privacy |
| カテゴリの筆者仮訳 | 内容の筆者仮訳 |
|---|---|
| A.ガバナンス | 1.個人データと個人情報 2.各国のプライバシー法令・基準 3.プライバシー関連文書(例:ポリシー、ガイドライン) 4.法的目的、同意及び正当な利益 5.データ主体の権利 |
| B.マネジメント | 1.データに関連する役割と責任 2.プライバシー教育・啓発 3.ベンダーとサードパーティの管理 4.監査プロセス 5.プライバシーインシデント管理 |
| C.リスクマネジメント | 1.リスク管理プロセス 2.プライバシー影響評価(PIA) 3.プライバシーに関連する脅威、攻撃手法、及び脆弱性 |
Domain 2: Privacy Architecture
ドメイン2はインフラ・アプリケーション・ソフトウェア・技術的なセキュリティ対策の経験が規定され、開発エンジニアやシステム・ネットワーク運用者、セキュリティエンジニア等の技術者が想定されているようです。
| カテゴリ | 内容 |
|---|---|
| A.Infrastructure | 1.Technology Stacks 2.Cloud-based Services 3.Endpoints 4.Remote Access 5.System Hardening |
| B.Applications and Software | 1.Secure Development Lifecycle (e.g., Privacy by Design) 2.Applications and Software Hardening 3.APIs and Services 4.Tracking Technologies |
| C.Technical Privacy Controls | 1.Communication and Transport Protocols 2.Encryption, Hashing, and De-identification 3.Key Management 4.Monitoring and Logging 5.Identity and Access Management |
| カテゴリの筆者仮訳 | 内容の筆者仮訳 |
|---|---|
| A.インフラストラクチャー | 1.技術スタック 2.クラウド型サービス 3.エンドポイント 4.リモートアクセス 5.システムの堅牢化 |
| B.アプリケーションとソフトウェア | 1.セキュア開発ライフサイクル(例:プライバシーバイデザイン) 2.アプリケーションとソフトウェアの堅牢化 3.APIとサービス 4.トラッキング技術 |
| C.技術的なプライバシー統制 | 1.通信と転送プロトコル 2.暗号化、ハッシュ化、及び識別情報の削除 3.鍵管理 4.監視とロギング 5.アイデンティティとアクセス管理 |
Domain 3: Data Cycle
ドメイン3はデータの整形・分析、データの移行や管理等が規定されており、データサイエンティストやデータソリューションエンジニア等の経験が求められています。
| カテゴリ | 内容 |
|---|---|
| A.Data Purpose | 1.Data Inventory and Classification (e.g., Tagging, Tracking, SOR) 2.Data Quality and Accuracy 3.Dataflow and Usage Diagrams 4.Data Use Limitation 5.Data Analytics (e.g., Aggregation, AI, Machine Learning, Big Data) |
| B.Data Persistence | 1.Data Minimization (e.g., De-identification, Anonymization) 2.Data Migration 3.Data Storage 4.Data Warehousing (e.g., Data Lake) 5.Data Retention and Archiving 6.Data Destruction |
| カテゴリの筆者仮訳 | 内容の筆者仮訳 |
|---|---|
| A.データ目的 | 1.データインベントリと分類(例:タグ付け、トラッキング、SOR) 2.データ品質と精度 3.データフローと利用図 4.データ使用制限 5.データ分析(例:アグリゲーション、AI、機械学習、ビッグデータ) |
| B.データ永続性 | 1.データの最小化(例:識別情報の削除、匿名化) 2.データ移行 3.データストレージ 4.データウェアハウジング(例:Data Lake) 5.データの保存とアーカイブ 6.データ破壊 |
2つ以上のドメインでの経験が必要ということは、少なくともドメイン2か3どちらかの技術的な業務経験が求められるので、本資格がテクニカルなスキルの評価を重視していることを改めて感じさせされます。
なお、CISA、CISM、CGEIT、CRISC等のISACA認定資格を取得している場合2年分の免除期間が与えられ、実務経験の要件が3年に短縮されます。
その他要件
実務経験以外の要件は、下記のとおりです。
倫理要件
倫理規定の順守やISACAが制定するルールに関する同意が求められます。後述の申請書に自筆で署名することになります。
料金の支払い
現状規定された料金をISACAに支払います。金額はISACA会員か非会員かで異なります。括弧内は5月27日時点のレート(1ドル = ¥ 107.80)に基づく円換算です。
- ISACA会員:695ドル(≒74,918円)
- ISACA非会員:880ドル(≒94,860円)
費用はクレジットカード決済等でISACAサイトからオンライン上で支払うことができます。(クレジットカード決済等)
ちなみにCISA試験の受験料は、ISACA会員575ドル/非会員760ドルです。これに加え実務経験の認定申請時に50ドル費用が掛かります。これと比べてCDPSEの方が高額になっています。
今後試験が実施された際にどのように費用が変わるのかは明らかではないですが、費用が下がる可能性は低いのではと個人的には思います。
申請書の提出
所定フォームに基づき申請書を記入して提出します。申請書の入手と提出、記載例の確認はこちらのページから実施できます。
申請書の提出後は認定のための審査がなされ、最大で4~5週間ほど要するとされています。
また審査の結果申請が承認されない(資格認定を受けられない)場合は料金から50ドルの手数料を差し引いた額が返金されます。
認定審査にかかる期間は?
認定審査は申請から4〜5週間ほどかかるとされます。
筆者がCDPSE認定を受けた際は、3週間程で認定を知らせるメールが来ました。またこの間も審査の進捗を知らせるメールも届きました。
- 申請の受付を知らせるメール
- 申請をレビュー中であると知らせるメール
- 認定資格を満たしていることを伝えるメール
- 認定完了を伝えるメール
筆者がISACAの他資格を受けた際は申請受付と認定完了メールの2つでした。このように数度状況を伝えるのはCDPSEの早期導入プログラム固有のものか、連絡ポリシーの全体的な変更によるものかは分かりません。
いずれにしてもステータスを細かく伝えてくれるのは、ユーザーからすると有り難いと思います。
早期導入ブログラムはいつまでか?今後の試験制度は?
早期導入プログラムの期間は2020年5月から2021年3月までです。またCDPSEの試験は2021年4月から開始されます。
試験対策用のプログラムやトレーニングは2021年の初め(1月頃?)に公開される予定となっています。試験の詳細は現時点では不明です。
またCPE制度は本資格においても存在しており、認日付の翌年からCPE報告が必要になります。他資格と同様3年で120CPE、1年で最低20CPEが必要です。具体的なCPEポリシーは5月27日現在は未公開です。また資格の維持手数料も毎年発生します。
※2020/12/28追記:CDPSEのCPEポリシーが開示されています。確認した範囲では英語版のみのようです。
資格取得の価値は?
リリースされたばかりの資格であり、その評価は難しい面がありますが、時代の要請に応える資格であることは間違いないと思います。
プライバシー対応の重要性・スキルのバリューは増加
欧州での一般データ保護規則(GDPR)に代表されるように個人のプライバシーと情報の管理・帰属に関する権利はグローバルで重視されています。
個人の保護より情報の統制に重きを置いていた傾向のある中国においても、個人のプライバシーと情報に対する権利について法整備を行うと報じられています。
また日本でも2020年中に個人情報保護法の改正が見込まれており、今回はGDPRに近しく、より個人の情報に関する権利が認められる規定が増えるとされています。
このような法規制背景の下でDXが進む社会の中で、個人情報とプライバシーの保護・管理と利用・活用を同時に進めるためには、サーバやネットワーク、アプリケーション含むシステム管理においてプライバシー対応の技術的な設計・実装ができる高度なテクニカルスキルを持つ人材が不可欠です。
こうしたスキルの証明に直接光を当て、かつ権威ある団体が認定する資格はあまり存在しないので、今後人気が出る可能性はあると思います。
実態としての価値、真の能力向上に資するか
ただし現状は他者推薦はあるとはいっても実態として自己申告の実務経験で資格認定されるため、こうしたスキルを備えていることの客観的な証明にはなりにくいでしょう。
また本来資格は体系的な知識を獲得することと実務的な経験を合わせることで、始めて仕事に対しても価値を提供できるようになります。名ばかりの資格だけ持つことは、消極的な意味しか持ちえないのではないでしょうか。
とはいえ、今後社会的な人気や評価が高まりそうな資格を、比較的容易に獲得できる機会ではあるので、今後のトレーニングも見据えて取得を検討してみてもよいかもしれません。
Follow me!
投稿者プロフィール
- ネット系事業会社 内部監査室 室長
- J-SOXバブル時に内部統制コンサルに。以来通算13年間内部監査・内部統制・リスクマネジメント・セキュリティ業務に従事しています。
自身の学びも兼ねて、縁があって内部監査を始めよう/既にしている方達に少しでも役に立つ、現場の情報をお伝えしたいと思います。
【保有資格】
・公認内部監査人(CIA)
・公認情報システム監査人(CISA)
・内部統制評価指導士(CCSA)
・公認情報セキュリティマネージャー(CISM)
・Certified Data Privacy Solutions Engineer(CDPSE)
【所属】
・日本内部監査協会会員
・ISACA東京支部会員
