iappが運営しているCIPM(Certified Information Privacy Manager)というプライバシーに関する資格を受験し、今回無事に合格できました。記憶が新しいうちに、守秘義務に違反しない範囲で情報をまとめてみようと思います。
受験記エントリーはいつも安定してアクセスが多いので(過去記事:CISSP、CIPP/E)、皆さんのお役に立てているようで嬉しいです。
1.iapp、CIMPとは
iappはプライバシー系の国際団体です。プライバシー系のニュースを発信してくれたりカンファレンスを開いてくれたりと、情報収集のために活用しています。
CIMPはiappが管理している資格のうち、Privacy Manager向けの資格になります。EUのどこかの国では、DPOになるためにCIPP/E(ヨーロッパのプライバシー法の資格)とCIPM(プライバシーマネージャ向けの資格)の取得を推奨していた記憶です。
2.受験の経緯
2020年の2月から、コンサルティングファームを辞めて事業会社にお世話になることになりました。これからは外部専門家ではなく当事者として関与することから、プライバシーのマネジメントに関する資格だし受けてみても良いかな…と思っていた所、入社予定の会社の先輩と「一緒に受けよう!」という話になり受験に至りました。
また、受験の動機になったというほどではありませんが、海外のプライバシー系求人では、最近明確にCIMPを求めてくるケースが増えてきていますね。
3.受験結果
テストはBlue Printが公開されていて、以下の2部構成になっています。
- Privacy Program Governance
- Privacy Operational Lifecycle
合格ラインは公表されていないようですが、私は各構成部分とも7割オーバーで合格できました。出題される問題は素直で実務的な問題が多く、難易度的には
易 CISA < CIPP/E ≦ CIPM < CISSP 難
くらいのイメージです。具体的な法律を出題範囲に含む試験(CIPP/E)に比べ、テーマがやや抽象的になることから少し難易度は上がると思います。自身が置かれた状況下で、最適な行動を総合的に判断する能力が求められていると感じました。
4.勉強法
(1)前提
業務経験
セキュリティとプライバシーのコンサルティング業務に従事してきました。もっとも、具体的な業務経験がないと困るような問題は無いと思います。
保有資格
日本の弁護士資格、CISSP、CISA、CIPP/Eを持っています。この中では、CIPP/Eの勉強をしていたことが有利に働いたと思います。
今日のプライバシーマネージャはUSとEUのプライバシー法を深く理解しつつ、業務特性に応じてアジア等各国法を補完するという形が多いのかな…と(個人的に)感じています。試験もそのような実態に沿っているように感じられ、US,EUの法制度については知識として理解しておくべきものと思います。
(2)取組内容
年末の休みから勉強を開始し、1日1時間程度の勉強を3週間継続しました。具体的には以下の3段階に分けて勉強しました。
- 「U.S. Private-Sector Privacy」を通読:1週
iapp発行のアメリカプライバシー法に関する教科書です。世間的にはCCPAが話題ですが、アメリカのプライバシー法で抑えておくべき範囲はもっと広いです。私自身、アメリカ法については知識が虫食い状態だったので本書で理解を深めました。
資格云々は別にして、アメリカのプライバシー法の教科書としてとても良い本だと思います。 - 「Privacy Program Management」を通読×2:1.5週
iappが出している教科書です。改定が2019年であり「GDPR後」の世界におけるプライバシーマネジメントが書いてあります。流し読み1回+精読1回で合計2週しました。 - 「GDPR条文」の読み込み:0.5週
GDPRの記憶がやや薄れている気がしたので、条文を再度読み込みました。他国のプライバシー法を見てからGDPRに帰ってくると、やっぱりGDPRはちゃんとしてるなという気持ちになりますね。
5.まとめ
以上です。セキュリティやプライバシーは、組織の中に率先して動ける意識の高い人をどれだけ作れるかが大事だと思っています。プライバシー領域に興味がある方、ぜひ挑戦してみてください!