経済産業省
文字サイズ変更

産業構造審議会 商務流通情報分科会 情報経済小委員会 試験ワーキンググループ(第2回)‐議事要旨

日時:平成28年2月25日(木曜日)14時00分~16時00分
場所:経済産業省本館17階第4共用会議室

出席者

有賀委員、岩丸委員、木内委員、富永委員、浜田委員、原田委員、三谷委員(座長)、宮武委員

議題

  1. 情報処理安全確保支援士制度
  2. 討議

議事概要

以下、委員等からの主な意見

1)試験制度について

  • 新しい制度になった場合、試験の合格者は今までどおり「情報セキュリティスペシャリスト試験合格者」を名乗れるのか。
  • 制度の枠組みは「情報処理技術者試験」から「情報処理安全確保支援士試験」に変更となるが、「情報セキュリティスペシャリスト試験」という名称はそのまま使用する予定であり、試験合格者の取り扱いはこれまでと変わらない。そこからさらに登録した人が「情報処理安全確保支援士」となる仕組みになる。
  • 「情報処理安全確保支援士」については、別途、愛称などを検討したいと考えている。

2)その他経過措置について

  • 資料では、(1)過去のSC試験等合格者、(2)高度な実務従事者、(3)他の試験・資格合格者、(4)情報セキュリティに関する教育課程修了者を「その他経過措置」として整理しているが、厳密に言えば、経過措置的な取り扱いをするのは(1)のみであり、(2)~(4)については、試験の免除対象者として、今後制度設計を行っていくものである。
  • 経過措置については、期限を設けるべきではないか。
  • 試験の免除については、対象者の品質が確保できているかが重要。情報処理技術者試験でも一部免除の制度があるが、免除者について色々な状況があると認識している。例えば大学のカリキュラムについて、最初に認定して終わりということではなく、成果が伴っていない場合は認定を取り消す仕組みも検討してほしい。また、既存の免除制度では修了試験を実施しており、同様の仕組みを導入することも一案ではないか。
  • 試験のどの部分を対象とするかも重要。既存の仕組みという意味では「午前I」免除が考えられるが、それはすなわち「応用技術者試験(AP)」合格相当であるということである。カリキュラムを認定するにしても、その水準であることを確認しなければならない。
  • (2)高度な実務従事者については、国もしくは政府関係機関のポストを想定しているとのことだが、民間は対象に含まれないのか。
  • 民間での業務内容が保証できないことから、他の資格でも、国や行政機関の業務に限定している例がある。当然、一定期間以上の経験は必要であるが、こうした業務を実施している人が陰に隠れないようにする意味でもよい仕組みではないか。
  • (3)他の試験・資格合格者については「全部又は一部免除」となっているのに対し、(4)情報セキュリティに関する教育課程修了者は「一部免除」のみとなっているが、(4)で全部免除は考えていないのか。
  • 情報セキュリティスペシャリスト試験については、午後試験において、実務能力を問うていることから、教育課程修了のみをもって全部免除は考えていない。
  • 弁護士や公認会計士も、どこかの大学を卒業しただけですぐになれるわけではない。
  • 今後、試験全てに対応する水準のカリキュラムを作ることができればあり得るかもしれないが、現時点では、合致する大学は見当たらないというところ。
  • システム監査人制度では(3)に相当する仕組みを設けているが、ハードルやブランドの高さとどこまで普及させるのかのバランスが非常に難しい。制度としては設けておいて、状況をみながら実施していくということではないか。

3)登録について

  • 登録の取消しや名称使用停止期間となった人はどのように取り扱うのか。
  • 公開情報からは消除するので、外部からは見えなくなる。
  • 本人の意向で公開を任意にできる項目と、資格試験合格証書番号のように持っている人とそうでない人がいることによる任意があるのではないか。同じ任意でも項目により意味合いが異なるので、整理してほしい。
  • 氏名が任意となっているが、情報処理安全確保支援士に仕事を頼みたいという時や資格を持っているかを確認したい時に、番号だけしか分からないと役に立たないのではないか。
  • 情報セキュリティ分野ということを考えると、名前を公表したくないという人もおり、本人の意向と反する際に勝手に公表することはできないが、確認のための仕組みは必要。登録証の写し以外にも、登録カードやバッチなど、情報処理安全確保支援士としての身分を証明するものを用意するというのも一案ではないか。
  • 登録証の写しの提出を求めれば解決できるかもしれない。

4)講習について

  • 案2と同じような仕組みにしている別の資格制度では、関連する業務から外れたので更新をしないこととしたが、翌年になってやっぱり必要になったので、なんとかならないかという声も聞く。継続学習という意味で3年に1回よりも毎年受講させるという方がよいとは思うが、そういう人のために案1との並存は考えられないか。
  • 違う業務を行っているからというのは、情報処理安全確保支援士としての資格を有することとの関係で言えば理由にならないが、特別な事情がある場合には考慮する必要があると考えている。
  • 受講の機会という意味では、3年に一度しかない案1の方がシビアである。講習の意味は、継続学習と品質保証である。そういう意味で、毎年1回は何らかの形で受講させる方が適切であると考える。
  • 最新の知識の継続的な維持という趣旨からすると、3年に一度で本当にそれが可能かは疑問であり、毎年受講させる方が妥当であろう。そんなに多くの人が、病気や海外勤務などの特別な事情で受講できない状況になるということは考えられないが、必要であれば特例措置を設ければよい。
  • 講習の内容に「倫理」を追加いただいたのはよい考えである。これについては、登録後、早い段階で受講してもらうようにするなり、登録時にガイドライン等の資料を配布して読んでもらうようにするなり、工夫も検討してほしい。
  • 品質保証という意味では、講習に参加すればよいということではなく、講習の最後に実施することになっているテストでレベルに達していなければ厳正に判断していくことが重要である。資格を取り消すということではなく、再受講ということになると思うが、このテストで品質保証をきちんと行う仕組みにするべきである。
  • 試験の合格者が有資格者になることを考えると、再受験して合格した者については、それをもって講習受講義務を代替できる仕組みを検討していただきたい。「倫理」については別途受講してもらう必要はあると思うが、先程お話のあった講習を受講できない人への対応策にもなるのではないか。
  • 案2の場合、1年目のオンライン講習を受講しなかった段階で義務違反となり、資格が取り消されてしまうのか。
  • 講習の確認テストで不合格の場合の取り扱いを含め、細かい運用はこれから検討する。受講義務違反という扱いの場合、資格の取り消しや名称使用停止となるが、一旦資格を停止した上で次回の講習を再度受講させるということは考えられる。また、オンラインについても、1年に1回か3年で3回という考え方もある。
  • いずれにしても、受講タイミングを逃した人の救済措置は考える必要はある。
  • 実際の運営を考えると、集合研修は毎年実施することになる。オンラインも集合研修も複数回の開催があるので、集合研修はどの回に参加するかは自由とし、不合格の場合は、もう一度集合研修を受講させるというやり方もあるのではないか。最後に集合講習というのが基本サイクルというのは理解するが、オンラインの内容によっては工夫の余地があるのではないか。
  • 6時間のオンライン講習というのは、かなりの負荷ではないか。
  • 1本6時間ではなく、複数のテーマで1年間トータル6時間と考えている。
  • オンラインはかなりの情報量を盛り込めるので、かなり充実した内容にできる。
  • オンラインであれば、合格するまで何度でもやり直すことができるが、集合講習のテストで不合格になってしまった場合に、それですぐに資格取消しとしてしまうかは検討が必要。
  • 3万人という規模を想定した場合、年に一度、全国で同日開催という運用はありえず、東京だけでも複数回実施することになるだろう。1回不合格になったとしても別の日に再度受講してもらえばよい。それでも結果的に最後の一発勝負で不合格の場合は、再登録になってしまうのもやむを得ないのではないか。
  • 最新の知識と品質確保という両面から考えれば、落ちる人が出てくるのも当然であろう。
  • 再受講となった場合に、また同じだけ費用負担が必要となると、更新をやめるという判断をする人も出てきてしまうため、何か工夫ができないか。
  • 更新しなくてもよいと考える人はいるだろう。ただ、今後、経済産業省として、必置の義務化なりリコメンドを進めていこうとしている中、仮に義務となった場合であれば、「情報処理安全確保支援士がいなければ業務をしてはならない。」という話になってくるので、組織としては不合格にするわけにはいかなくなる。業界も頭を切り替えなければならない。
  • この資格には登録証がある。現在のIT関連の入札条件では必ずしもそこまで厳格には実施していないが、建築関係で言えば、品質管理や設計の技術者に関しては登録証の写しを提出させるということは実施しているので、類似の仕組みは考えられるのではないか。
  • この制度は、ITベンダ側というよりはユーザ企業側にきちんと情報処理安全確保支援士を置いてもらうことが狙いであり、その補完としてITベンダ側が保有するというのが基本スキームであると考えている。ユーザ側から見て、この講習が受けやすいかどうかがポイントではないか。
  • 講習のやり方に関しては、情報セキュリティに関しては、Up To Dateな状態にしておくことが重要なので、年に一度集まっての講習や継続学習としてのオンライン講習というのはよいと思う。また、品質確保という意味で、不合格となる人がでるのも当然だと思うが、オンラインを受講していないと集合講習で落ちるという仕組みのほうがよい。
  • ユーザ企業に話を聞いてみると、制度ができたというだけでは、積極的に取り組もうとはならない。経営層に対し、この資格の必要性をどのように理解、認識してもらうかがユーザ側での制度活用のポイントになる。
  • 例えば一定規模のシステム設計においては、セキュアなシステムライフサイクルプロセスを回すために、その初期段階から情報処理安全確保支援士を活用するよう、国としてリコメンドしていくということはできるのではないか。必ずしもユーザ側に揃えろということではないが、依頼を受けたITベンダ側も含めて活用されるようになる。現在は、事故が起きてからその対応をするというやり方しかできていないのが一番の問題であり、システムライフサイクルプロセスの中にセキュアな設計を確認する仕組みを盛り込むということも別途必要。
  • ベンダ側としては、情報セキュリティに対する危機意識は高いので、ある程度資格活用は進むのではないかと思う。講習内容としては、例えば、事故が起きた時の第三者委員会のメンバーとなっていた人からその時の話が聞けたら魅力的だと思う。
  • 今後、有資格者が集まる会議のようなものができてくれば、そのようなことも可能ではないか。
  • 講習受講にかかる金額を考えると、再度同じ試験を受験した方が安いため、講習を受けるモチベーションを保つのが難しいのではないか。企業側にしても、講習で維持させるよりも、試験に合格させればよいと考えるのではないか。
  • 試験の合格者が登録対象者であることを考えれば、再度合格した人を排除する必要はない。
  • 再度試験を受けて合格できる人は、それで問題ないだろう。ただし、試験問題には出せないが、特定のメーカーの仕様を知っていないと困ることがあることも事実としてある。また、情報セキュリティ専門企業に勤務している人であれば、試験に合格できないというのは問題かもしれないが、合格者全員がそのような業務に従事しているわけではないことを考えると、試験以外の方法も必要ではないか。
  • 現状の法律案では、「講習の受講」が義務付けられているが、別途、講習の免除規定を作るということは考えられる。
  • コンテンツをいかに充実させるかが重要である。IPAだけでなく、業界も一緒に協力するような形ができればよいのではないか。
  • 土木学会や建築学会などでは、大きな事故がおきたときに、研究機関が分析した結果が民間にフィードバックされる仕組みがあるが、IT業界はできていないので、将来的には同じような仕組みができ、それがコンテンツの内容に反映できるようになればよい。
  • 情報処理安全確保支援士のコミュニティが形成され、相互にUPDATEされる仕組みを作ることが重要。
  • そういう意味でも、集合講習の中で「グループ討議」があることはよいと思う。これを通じて、コミュニティができることには大きな意義があるのではないか。
  • 他の事例でもコミュニティはかなり情報をもっている場合が多い。中小企業診断士の場合、実務補習の実習指導員を中小企業診断士が行うことが更新の方法の一つになっている。これに近い仕組みも考えられるのではないか。
  • オンライン講習のコンテンツはどの程度の頻度で更新するのか。
  • 少なくとも年に一度とは考えている。ただし、外部に委託した場合、契約上の制約等も考えられるため、現時点でははっきりとは言えない。
  • せっかくIT関連の資格なのだから、ITを活用した仕組みにしたい。
  • システムの作り方など、色々と工夫の余地はある。
  • 講習の細かい内容や運用については、枠組みが決定したのち、IPAと経済産業省にて検討を行う予定であるが、今後もぜひご協力をお願いしたい。
  • そもそもの制度の目的が人材の質の担保であるならば、再試験が最適な方法ではないか。
  • 講習のコンテンツを通じて、新しい情報、つまり今、何が起きているのかが入ってくることが重要である。こうした情報を技術面から解説をつけて公開してもらえるのであれば非常に有益である。また、コミュニティを通じたネットワークにも価値がある。ユーザ側の立場からすれば、試験勉強というのは通常業務とは異なるため、毎年試験を受験して合格しなければならないとすると厳しすぎる。大事なのは「気付き」である。単にコンサルタントから指摘されるのと、コミュニティに入って刺激を受けて、自ら気付くのとでは全然違う。新しい情報をもらいながら、何を勉強しなければならないかに気付くことが重要である。
  • 情報セキュリティという分野を考えると、情報を提供させ、講習で教えるというのは難しいのではないか。仲間の中で留まる仕組み、過去の例でいえば、プロフェッショナルコミュニティのような仕組みがよいのではないか。
  • 自分が以前所属していた会社では調査委員会のレポートを外部に公開するということを行っていた。そういった企業との連携も考えられるのではないか。
  • IPAでは「サイバー情報共有イニシアティブ(J-CSIP)」という取組みを行っており、NDAを締結の上、業界内でサイバー攻撃に関する情報共有を行う仕組みを運用している。情報の匿名化等を行い、情報提供元の承認を得られたものについては、異なる業界グループ等への共有も行っているので、こうしたものも活用できるのではないか。
  • メールアドレスを登録してもらえば、IPAからのメールマガジンを送ることもできる。また、中小企業向けの情報セキュリティのプロモーションを実施するプレゼンターの登録制度を始めており、そのコミュニティとの連携も考えられるのではないか。
  • IPA側は試験と資格の保証。情報処理安全確保支援士のコミュニティをいかにうまく動かすかについても検討が必要だろう。
  • 資格制度そのものよりも、これを通じてできたコミュニティの方が波及効果は高い。
  • 講習受講とは別に、意見交換のために集まる場も検討したらどうか。
  • 講習の実施方式については、詳細について色々と検討すべき事項はあるが、案2を中心に考えることとしたい。

5)次回の検討項目について

  • 次回のワーキンググループでは、最終回として本日までの制度に関する検討結果の取りまとめ案、また、情報処理安全確保支援士の普及施策などについてご意見を伺う。

以上

関連リンク

お問合せ先

商務情報政策局 情報処理振興課
電話:03-3501-2646
FAX:03-3580-6073

 
最終更新日:2016年4月28日
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.