プライバシーの国際資格、CIPP/Eを受けてきました。

資格

f:id:seko-law:20190127211942p:plain

今回iappという組織が運営しているCIPP/Eというプライバシーに関する資格を受験し、無事に合格できました。

受験に際しては日本語の情報が殆ど無く苦労したので、守秘義務に違反しない範囲で情報をまとめてみようと思います。この記事をきっかけに受験を考える人が増えてくれれば嬉しいです。(関連記事:cipm

 

1.iapp、CIPP/Eとは

CIPP/Eはiappというプライバシー系の国際団体が管理している、ヨーロッパにおけるプライバシーの専門資格です。CIPP/Eの作成に関与しているローファームも

Bird and Bird, Field Fisher, Wilson/Sonsini and Covington and Burling

とあって結構豪華ですよね。

iappはセキュリティでいう(ISC)2やISACA的な位置づけでしょうか。iappの重要性・存在感については私も少々測りかねていたのですが、昨年のGDPRバブルの影響もあってか「2.受験の経緯」で述べる通り今ではそれなりに高いという認識です。

2.受験の経緯

この団体や資格の存在自体は2〜3年前から認識していたのですが、

  • セキュリティ系の資格は既にいくつか持っており不便を感じなかった
  • 友人の間でもそこまで知名度が高くなかった
  • 勤務先における資格補助の対象にCIPP/Eが入っていなかった

ということから、あまり気にしていませんでした。

しかし昨年あたりから、特に海外の「プライバシー寄りのセキュリティの人」やヘッドハンターと話をする中で、CIPP持ってないのかと聞かれることがかなり増えてきました。うるさいなぁもうそこまで聞かれるなら取るか…と思い、ようやく受験に至ったというのが今回の経緯です。

3.受験結果

テストはBlue Printが公開されていて、以下の3部構成になっています。

  1. Introduction to European Data Protection
  2. European Data Protection Law and Regulation
  3. Compliance with European Data Protection Law and Regulation

合格ラインは公表されていないようですが、私は各構成部分とも7割オーバーで合格できました。出題される問題は素直で実務的な問題が多く、難易度的には

易 CISA < CIPP/E < CISSP 難

くらいのイメージかな。難問奇問の類は少なく好印象でした。

4.勉強法

(1)前提

勉強開始時の業務経験

もともとセキュリティ領域である程度のキャリアを積んでいました。合わせて近年はGDPRバブルに乗っていくつかGDPRのプロジェクト経験があります。

勉強開始時の保有資格

日本の弁護士資格、CISSP、CISAを持っています。これらの資格が今回の合格に直接活きたかというとそんなこともない気がしますが、ある程度の下地はあったかも知れません。

(2)取組内容

1日1時間の勉強を1ヶ月継続しました。具体的には以下の3段階に分けて勉強しました。

  1. Q&Aで学ぶGDPRのリスクと対応策」の復習:0.5週
    現在日本語で出版されているGDPR関連の書籍の中で一番、内容の充実度と読みやすさのバランスが取れている本だと思います。しばらくGDPRから離れていたので、記憶を喚起するためにざっと確認しました。
    なお現在だとこちらも良いと思います:「概説GDPR
  2. European Data Protection」を通読×2:2.5週
    iappが出しているヨーロッパのプライバシー法に関する教科書です。歴史や経緯、関連する判例なんかも触れられていて読んでいて単純に面白いです。と言っても冗長な部分もあるので、流し読み1回+精読1回で合計2週しました。
  3. GDPR条文」の読み込み:1週
    GDPRの条文pdfにマーカーを引きながら読み込みました。重要な条文は前半(1〜50条)に多いのでここは丁寧目に、それ以降は必要な所だけ読みました(制裁金とか)。参考になるかわかりませんが、マーカーで汚れたpdfを置いておきます。

5.まとめ

今回はEuropean Data Protectionでプライバシー周りの歴史・背景や判例の個別判断を読むのがすごく面白くて、なんだかロースクール時代を思い出しました。努力は報われやすい資格かと思うので、セキュリティクラスタの皆さん、ロークラの皆さんも宜しければ是非。

ちなみに資格の話をすると必ず出てくる「資格とか意味あんの」に対する自分なりの答えは、近々どこかでまとめて記事にしたいなとも思っています。

ただセキュリティに限って言えば、どんな役割・レベルであろうと「自分はセキュリティのことちょっとわかってるぜ」と思って組織の中で動いてくれる人を増やしていくことが何より重要だと考えているので、基本的に賛成・促進の立場です。

GDPRの制裁金

GDPR

1.今回のテーマ

年明けに「ポルトガルで初めて、GDPR違反の制裁金が課された」との趣旨の記事が流れてきました。本件については、昨年末の時点で

「ポルトガルの病院が400,000ユーロの制裁金を食らいそうだよ。でも病院側は争うみたいだよ」

という記事が別途出ていたので、それが確定したということなのだと思います。今回の記事では、判断過程の情報が色々と載っていて面白かったので、読んで考えたことを少し書いてみます。

f:id:seko-law:20190108143946p:plain

続きを読む

ルールメイキングと事業戦略

雑感

1.記事作成の経緯

マイクロソフト社の顔認識テクノロジの見解公表を受け、組織内弁護士のある先生がルールメイキングにおける法務の役割に関して大変興味深い記事を作成されていました。

その中で述べられている「4つのスペクトラム」という内容が面白く、私が以前コンサルティングファームで関与していたプロジェクト群での経験をまさに要約するような内容だったので、記事を書く意欲を掻き立てられました。

上手くいったプロジェクト・いかなかったプロジェクトがあり懐かしい気持ちになったことから、当時を振り返る意味で今の考えをまとめてみたいと思います。

f:id:seko-law:20181225104900p:plain

続きを読む

勉強会の運営を1年間担当して得た学びをまとめてみます

JAWS

【この記事は法務系 Advent Calendar 2018における6日目のエントリーです】

1.今回のテーマ

私は昨年から、友人たちと3ヶ月に1回ペースで勉強会を企画しているのですが、各回登録ベースで100~200人くらいの規模感を維持できるようになってきました。

今回は、私がその勉強会に運営として関わる中で得た学びを共有したいと思います。

f:id:seko-law:20181203192656p:plain

続きを読む

第5回 X-Tech JAWSの予習まとめ

JAWS

1.第5回X-Tech JAWSについて

本日開催予定のX-Tech JAWSですが、参加される皆さんはよろしくお願いします。おかげさまで多くの方に参加いただけそうで何よりです。

<現在の申込状況>

f:id:seko-law:20181022090508p:plain

2.登壇内容の予習について

今回も私は司会をするのですが、司会をするときは極力登壇内容の予習をするようにしています。これをしておくと、場を繋いだりQAコーナーで誰からも質問が出ない時に自分が質問して次の質問を促したりできて有用です。

で、今回X-Tech JAWSは

  • 対象をFinTech企業に限定しており、内容が普段より深い
  • 6セッション予定しており、登壇数が普段より多い

と言うことで、予習がちょっと大変でした。これは参加者の皆様も同じかなと考え、ちょっと予習した内容をベースに記事を書いてみます。

<注意事項>

  • 下記は登壇者の方とは無関係に、私が「登壇タイトル」を元に調べた内容です。当日の登壇内容とは異なるかもしれません。
  • 結構急いでリサーチしたこと、正確性を犠牲にして端的にまとめたことから、内容にやや不安は残ります。もしご指摘等あれば修正しますが、あくまで参考資料としてゆるく眺めてくれると助かります。
  • 埋め込んでいるリンクは、オフィシャルサイトを中心にしていますが、登壇者の方とは直接関係ないものもあります。
続きを読む