プライバシーの国際資格、CIPP/Eを受けてきました。

f:id:seko-law:20190127211942p:plain

今回iappという組織が運営しているCIPP/Eというプライバシーに関する資格を受験し、無事に合格できました。

受験に際しては日本語の情報が殆ど無く苦労したので、守秘義務に違反しない範囲で情報をまとめてみようと思います。この記事をきっかけに受験を考える人が増えてくれれば嬉しいです。(関連記事:cipm

 

1.iapp、CIPP/Eとは

CIPP/Eはiappというプライバシー系の国際団体が管理している、ヨーロッパにおけるプライバシーの専門資格です。CIPP/Eの作成に関与しているローファームも

Bird and Bird, Field Fisher, Wilson/Sonsini and Covington and Burling

とあって結構豪華ですよね。

iappはセキュリティでいう(ISC)2やISACA的な位置づけでしょうか。iappの重要性・存在感については私も少々測りかねていたのですが、昨年のGDPRバブルの影響もあってか「2.受験の経緯」で述べる通り今ではそれなりに高いという認識です。

2.受験の経緯

この団体や資格の存在自体は2〜3年前から認識していたのですが、

  • セキュリティ系の資格は既にいくつか持っており不便を感じなかった
  • 友人の間でもそこまで知名度が高くなかった
  • 勤務先における資格補助の対象にCIPP/Eが入っていなかった

ということから、あまり気にしていませんでした。

しかし昨年あたりから、特に海外の「プライバシー寄りのセキュリティの人」やヘッドハンターと話をする中で、CIPP持ってないのかと聞かれることがかなり増えてきました。うるさいなぁもうそこまで聞かれるなら取るか…と思い、ようやく受験に至ったというのが今回の経緯です。

3.受験結果

テストはBlue Printが公開されていて、以下の3部構成になっています。

  1. Introduction to European Data Protection
  2. European Data Protection Law and Regulation
  3. Compliance with European Data Protection Law and Regulation

合格ラインは公表されていないようですが、私は各構成部分とも7割オーバーで合格できました。出題される問題は素直で実務的な問題が多く、難易度的には

易 CISA < CIPP/E < CISSP 難

くらいのイメージかな。難問奇問の類は少なく好印象でした。

4.勉強法

(1)前提

勉強開始時の業務経験

もともとセキュリティ領域である程度のキャリアを積んでいました。合わせて近年はGDPRバブルに乗っていくつかGDPRのプロジェクト経験があります。

勉強開始時の保有資格

日本の弁護士資格、CISSP、CISAを持っています。これらの資格が今回の合格に直接活きたかというとそんなこともない気がしますが、ある程度の下地はあったかも知れません。

(2)取組内容

1日1時間の勉強を1ヶ月継続しました。具体的には以下の3段階に分けて勉強しました。

  1. Q&Aで学ぶGDPRのリスクと対応策」の復習:0.5週
    現在日本語で出版されているGDPR関連の書籍の中で一番、内容の充実度と読みやすさのバランスが取れている本だと思います。しばらくGDPRから離れていたので、記憶を喚起するためにざっと確認しました。
    なお現在だとこちらも良いと思います:「概説GDPR
  2. European Data Protection」を通読×2:2.5週
    iappが出しているヨーロッパのプライバシー法に関する教科書です。歴史や経緯、関連する判例なんかも触れられていて読んでいて単純に面白いです。と言っても冗長な部分もあるので、流し読み1回+精読1回で合計2週しました。
  3. GDPR条文」の読み込み:1週
    GDPRの条文pdfにマーカーを引きながら読み込みました。重要な条文は前半(1〜50条)に多いのでここは丁寧目に、それ以降は必要な所だけ読みました(制裁金とか)。参考になるかわかりませんが、マーカーで汚れたpdfを置いておきます。

5.まとめ

今回はEuropean Data Protectionでプライバシー周りの歴史・背景や判例の個別判断を読むのがすごく面白くて、なんだかロースクール時代を思い出しました。努力は報われやすい資格かと思うので、セキュリティクラスタの皆さん、ロークラの皆さんも宜しければ是非。

ちなみに資格の話をすると必ず出てくる「資格とか意味あんの」に対する自分なりの答えは、近々どこかでまとめて記事にしたいなとも思っています。

ただセキュリティに限って言えば、どんな役割・レベルであろうと「自分はセキュリティのことちょっとわかってるぜ」と思って組織の中で動いてくれる人を増やしていくことが何より重要だと考えているので、基本的に賛成・促進の立場です。