経済産業省
文字サイズ変更

産業構造審議会 商務流通情報分科会 情報経済小委員会 試験ワーキンググループ(第3回)‐議事要旨

日時:平成28年3月30日(水曜日)15時00分~16時30分
場所:経済産業省本館17階第5共用会議室

出席者

有賀委員、岩丸委員、富永委員、浜田委員、原田委員、三谷委員(座長)、宮武委員

議題

  1. 情報処理安全確保支援士制度
  2. 討議

議事概要

以下、委員等からの主な意見

1)普及策について

  • 情報処理安全確保支援士の必置化に関する説明があったが、必置化について、経済産業省として検討を進めるのか。
  • これから創設する資格について、現時点で国内に何名いるか不明な段階でいきなり必置を義務化すると、企業等も混乱してしまう。また、意識が高い企業ほど、既に自ら育成しているという状況もある。一方で、情報処理安全確保支援士のような情報セキュリティのスキルを持った人材が必要であることは間違いないので、まずはガイドライン等で活用を推奨するといった活動を考えていきたい。今後見直しを行うタイミングでフォローアップを行い、普及状況等を見ながら必置化も検討することになると思うが、その場合でも一律にということはないと考えている。
  • 調達ガイドラインについては、政府を始め、各種業界で策定しているガイドラインなど、様々な方面で取組を進めてほしい。
  • 情報処理安全確保支援士については、調達先だけではなく、政府も含め、調達する側にいないとならないという形にしてほしい。
  • 政府として自ら置くことということはもちろんある。なんらかの発注をする際には、情報処理安全確保支援士もしくは同等の能力を有する者がいる企業を選定するといった働きかけはしていきたいと考えている。
  • 現在の政府調達ガイドラインでは情報セキュリティスペシャリストまでは書き込まれているので、情報処理安全確保支援士についてもそのようにして欲しい。
  • 普及策(13)の中に「支援士保有割合の報告」とあるが、「保有人員の公表を推奨する」とした方が、ベンダ側にとっても、ユーザ側にとってもモチベーションにつながるのではないか。
  • 普及策(12)の「マーク制度」であるが、最近は同様の制度が多くなっており、ベンダ側としては、あまり普及にはつながらないかもしれない。
  • 情報処理安全確保支援士個人が使えるロゴマークの他に、情報処理安全確保支援士を活用している企業がWebサイトやパンフレット等で使えるマークもあったほうがよいのではないかと考えている。ただし、ご指摘のとおり、同じようなマークがたくさんあると、一つ一つのステータスが下がるということも考えられるので、例えばPマークとの連携等も含めて検討していきたい。
  • 普及策(16)の「保険制度」については、資料にある個人の賠償保険の他にも、サイバーセキュリティ保険との連携には意味がある。経営者にとって、情報処理安全確保支援士を雇っていると保険料率算定が低くなるといったことができれば非常に効果があるのではないか。
  • Pマークをとっていると保険料が安くなるなどの例はあるので、参考にしながら取組を進めてはどうか。
  • 経営ガイドランで情報処理安全確保支援士を置くように書くというのは良いと思う。ただし、情報処理安全確保支援士制度に対しては、業界によって温度差がある。例えば、金融業界であれば、もっと厳しい制度のほうがよいのではないかと言っており、社会インフラ業界等では、経営層としては、人を確保する必要があるので、こうした制度はあったほうがよいと言っている。一方で、製造業等になると即座に対応できるかというと少し難しいのではないか。このような状況を見ながら普及を進めていく必要がある。さらには、企業規模によっても対応に大きな違いがあるので、大企業は問題ないかもしれないが、中堅・中小企業に対しては、経営層の認識を高めるためのプレッシャーをかけていく必要があるのではないか。
  • 年金機構やマイナンバー関連で事故が起きたこともあり、最近、アウトソーシングの調達要件にPマーク取得を入れている企業が増えてきており、結果としてPマーク取得のために、企業のマネジメントシステム全体の見直し等を行うという動きにつながっている。調達ガイドラインに情報処理安全確保支援士のことを入れるのは良いと思う。
  • 弱いところから攻撃するというのが常套手段なので、中小企業や地方の企業に効果のある施策の検討が必要である。
  • 地方ではどうしても人材が薄くなってしまうので、経営者に対して適切な情報セキュリティを指導できる人材が少ない中で、どのように対策を進めていくかがポイントである。
  • 地方で仕事ができる素地を作っていくことが重要である。例えば、中小企業診断士は地方で根付いているので、参考になるのではないか。経産省であれば地方局もあるので、これらを活用するなど、地方の人材層を厚くする施策が必要である。
  • 経営ガイドラインや調達ガイドラインに要件として入れるのは賛成である。調達については、入札しようとしている企業が、自社に情報処理安全確保支援士がいない場合は(情報処理安全確保支援士に)委託するということになってくると思うので、そうしたことも含めて書かれていたほうが良い。会社に広めていく意味でも必要である。
  • 法律上、必置要件はどうやって定義するのか。
  • やり方としては二つある。一つにはそれぞれの業法に横串を刺すような法律を作る方法であるが、かなり大きな作業となる。別な方法としては、サイバーセキュリティ基本法のように、現在の業法とは関係なく定義をする方法が考えられる。
  • 必置になった場合は、個人ごとに登録番号があるので、本人が関与してチェックしたものについては、署名なり登録番号の表示を必須にするということになるのだろう。氏名や登録番号が記載されていることが非常に意味を持ってくる。
  • 公認会計士と同じような仕組みになるのではないかと考えている。ただ、会社の規模なのか、保有しているデータの量なのか、質なのか、何をもって義務付けるかというのは非常に難しい問題である。
  • 普及策(12)の「支援士マーク制度」とも非常に関連してくるのではないか。
  • ガイドライン等はどうしても大企業が対象の中心となってしまうが、中小企業に対しては、必ず自社で情報処理安全確保支援士を確保しろというのは難しいものの、依頼すると指導・助言を受けられる仕組みがあるということを知らせるということに意味があると考えている。
  • 中堅・中小企業が支援してほしいときに、具体的にどうしたら良いのかが分かっているというのは重要である。
  • 普及策(9)の「ビジネスマッチング」というのが、その答えに近いものがあると思う。システム監査人協会でも、依頼に応じて人を推薦するということを行っている。こうした取組は、コミュニティができるとやりやすい。
  • 「弁護士会」のような仕組みがあったほうがよいとの意見がある。コミュニティについては、資格制度を運営している国やIPA が直接事務局を担うよりは、ビジネスマッチングという話も考えると、第三者性のある組織であったほうがよいと考えている。
  • コミュニティが動き出してからは民間主体でよいが、最初の立ち上げに関しては、国に主導してもらわないと、人が集まってこないのではないか。日本セキュリティ監査協会を設立する際にも同様の話があり、報告書にコミュニティの必要性が記載され、それを担保として、国の支援のもとでNPO法人を設立した。
  • IT部門のコミュニティを担当しており、研究会や分科会、セミナーといった活動を行っている。現在は活動が活発で、年々会員が増えているという状況だが、少し前までは非常に厳しかった。このコミュニティも設立当時は国に主導してもらい、ベースを作った。IT部門では研究や情報交換が非常に活発で、こうした活動を通じて、気づきや刺激を受けて、自社にフィードバックするということが行われている。情報セキュリティの分野でもそのようなコミュニティができればよいと思う。
  • 報告書にはコミュニティの必要性を盛り込みたい。日本はスペシャリストのコミュニティは弱いが、知っている人がいれば入りやすいということもある。
  • 情報を提供したいという人もいるだろうし、本制度の目的である自己研鑽に役立つ仕掛けとして、是非実現してほしい。
  • 普及策(3)も重要なポイントで、いかに情報セキュリティ専門以外の分野に広げていくかというストラテジが重要である。どの資格、分野というのは議論があると思うが、(10)の他資格との連携と併せて検討していくべきだろう。
  • 新しく開始した情報セキュリティマネジメント試験の受験者が2万数千人、一方で情報セキュリティスペシャリスト試験も減っていないので、合計で5万人程度が情報セキュリティスペシャリスト試験を受けることになる。やはり社会の関心は高まっており、非常に良いタイミングである。

2)中間取りまとめ案(主に再受験と講習免除)について

  • 実務をされている人が試験を再受験するというのは現実的ではないので、別の形での何らかの講習免除の仕組みが必要だと思う。コストの問題で何度も試験を受けてしまうという人がいるかもしれないが、年数が加算されるとレベルが上がるような仕組みが考えられないか。
  • 国が発行する登録証自体は法律により様式等が決まっているので難しいが、マークや登録カードが発行されるのであれば、継続年数で色を変えたり、例えばゴールド免許のようにしたりするなどの工夫は考えられると思う。
  • もう一度試験を受けて再度登録するというのは良いのか。
  • ありえると思うが、その場合には、番号や継続年数は新しくなる。
  • 2006年の産業構造審議会のWGで現試験の構造を作ったが、その際、初めて試験とITSSをリンクさせる形とした。その時に議論になったのは、試験はあるレベルに対して入り口なのか出口なのかということであったが、結論としては、出口を制御するのは難しいこともあり、入り口であるとした。試験合格後は自己研鑚、教育訓練等を積み重ねることがそのレベルを維持するための条件であると明確に書いてある。例えば、基本情報技術者試験を何度も受けて合格している人がいるが、その人が応用情報技術者試験合格者と同じレベルかというと、そういう仕組みにはなっていない。情報処理安全確保支援士も再度試験を受験して登録するのは良いが、少なくともこれまでの試験の検討経緯からすると、番号が新しくなるので、進化していないと見えても仕方ないのではないか。
  • 講習により資格を維持していくというのが基本ということだろう。
  • 理想はそのとおりだが、現実として、3年たって内容が進化していく試験を再受験して合格できる人というのは、必ずしも多くはないのではないか。合格できる人というのは、現場で働きながら、相当の努力をしている人である。このような人たちに対し、それだけでは足りないと結論付けるのは適切ではない。倫理面の確認が難しいといった問題や講習受講が有用であるという意見があるのは、そのとおりだと思うが、その点をどう工夫するのかが課題なのではないか。別の言い方をすれば、それだけの講習が実際に実施できるかということが課題かもしれない。
  • 大企業に勤めている人であれば講習費用を会社が負担してくれることもありえるが、個人や中小企業に勤めている人にとっては負担が大きい。高度試験をもう一度受けて合格するというのは、相当なモチベーションや覚悟がないとできないことなので、再受験合格で資格を維持するのは認めてもよいのではないか。
  • 法律上では「受講義務」としているので、再試験との関係をどう整理するかの検討が必要である。
  • 再試験で全てを免除するということではなくて、倫理面の確認が課題なのであれば、その部分の講習を受けるということは当然ありえる。ただし、最初は試験に合格した人を有資格者として認めているという事実は重いことである。
  • 新規の番号になることを条件として、再試験も一つの方法として認めればよいのではないか。事務手続き上のことを考えると、そのほうがはるかに容易である。3年間の間に試験に合格して新しい番号で登録しても良いし、講習を受けても良い。ただし、試験に受かったら講習を一切受けなくてよいという仕組みにすることには賛成できない。
  • 毎年の講習を最初から受けないということはないので、なんらかの理由により講習を受けられなかった場合の代替措置としてということも考えられる。
  • 再試験や実務経験など、講習の一部免除については、いろいろなパターンが考えられるので、今後、十分に検討する必要がある。
  • 現在の報告書案では、再試験に対する否定的なトーンが強すぎるのではないか。様々な意見やパターンがありうるので、今後検討するというようにして欲しい。
  • いずれにしても制度的に再試験を妨げることはできないのではないか。
  • 制度という意味では、従来のSC試験をベースに資格試験を実施するわけだが、高度試験で知識・技術レベルを保ちなさいというのは今回が初めてなので、制度設計そのものを見直さないといけないところも出てくるだろう。当面これでスタートするのは良いが、早急に色々なことを検討しなくてはならない。スキルスタンダードに対応した試験を実施するということになっているが、スキルスタンダードは毎年更新されているわけではない。試験委員が工夫して最新の出題をしているのは事実であるが、その辺りの在り方も見直さなければならないのではないかと考えている。
  • 法律上の資格の考え方は、試験で選んで、その人達に講習を受講させてレベルを維持・向上していくという仕組みとなっており、再受験で繰り返し合格してもそれはあくまで試験となってしまうので、資格としては講習が義務となる。しかし、講習の中のひとつの形態として、座学の代わりに試験を受験して、合格した人は講習を免除するという仕組みにすることは考えられる。
  • 新しい環境に合わせたスキルが維持されているということがそもそもの目的なので、それが果たされるパターンは色々あるのではないか。
  • 実務経験による講習免除というのもありえるとは思うが、何をもって免除とするかは非常に難しい。
  • 情報セキュリティと一言でいっても、分野としての範囲は非常に広く、実務の内容によって必要なスキルも変わってくる。最初の入り口としては幅広い知識でよいが、その後は専門的になってくるので、実施するならば、実務経験報告を審査・認定する人が必要になるだろう。
  • 色々と難しい問題もあるが、実務経験をもって何かに替える、または、IPAが実施する講習以外のものでも継続講習とみなすといった仕組みも考えられるのではないか。
  • レベルの差をどのように判定するかがはっきりしていない現状では、将来的にはありえる程度の可能性に留めておいたほうが良いのではないか。実務にも色々あり、その判定は本当に難しい。
  • こうした仕組みがないと、本当に実務能力の高い人が登録しなくなってしまい、制度の普及やブランド価値という点で問題が生じてしまうのではないか。
  • 自分たちから見えないところで仕事をしている人をどう判定するかというのが課題である。法律上の認定ではないが、医師会が認定する「認定医」という制度があるので、情報処理安全確保支援士でも同じような組織ができて、その中で認定するというのはありえるかもしれない。
  • 情報セキュリティに関しては、今後、データベースのセキュリティ、ネットワークのセキュリティ、コードを書く場合のセキュリティ、運用のセキュリティなど、専門特化していく可能性はある。
  • 別の資格制度でも同様の検討をしたことがあるが、その際にも、それぞれのジャンルで誰が審査するのかというのが一番の問題となった。
  • 情報処理安全確保支援士については、任意ではあるものの、専門分野を登録させるようにしているので、人を探す時にはこれを参照してもらう形になる。認定の仕組みに専門分野を入れるというのは、理論的には可能だが、運用が非常に大変である。また、どうしても最後には情実が入ってしまうこともある。公的な資格の中でそれを実施するのは、コストが非常にかかる割には、それに見合う効果がでないのではないか。
  • 弁護士などでも同様で、民法の専門、刑法の専門と全然違うが、どこが専門かについては、実績と実際の仕事で判断するしかない。

3)今後のスケジュール等について

  • 政省令整備等を含め、今後のスケジュールはどうなるのか。
  • 法律が成立したら半年以内に施行となることを想定しているので、仮に4月に成立すれば10月に施行となる。このため、来年の春試験から1回目の試験を実施するということになる。政省令は10月には整備されていなければならないため、6月頃から関係省庁と協議を始める。また、少なくとも最初の試験の半年前からPRを開始できるようにしたい。
  • 潜在的な登録可能者として、情報処理安全確保支援士試験となる前のSC試験合格者等がいるが、これらの人を先に登録するということはあるのか。
  • 今年の秋までのSC試験合格者について、来春から登録していくというのはありえる。あまり時間がないが、来年の4月以降、登録を開始できるように準備を進めていきたい。
  • お配りした報告書案については、本日のご意見に加え、国会での審議の結果も踏まえ、修正した後に公開する予定である。
  • 大学等の教育機関における過程修了者の試験一部免除はいつから開始されるのか。
  • これから審査認定スキームを作り、それに申請していただいたものを認定し、そのコースを受講された方が対象になるということなので、来年の4月からというのは難しい。
  • 認定基準等ができたら関係機関等へ情報提供をお願いしたい。審査認定については、おそらくITSSにコースが適応しているかのエビデンスを出して、審査後、合格という流れとなると思うが、その一連のプロセスにも時間もかかると思うので、早めの情報提供が必要である。
  • 文部科学省では、将来、情報処理安全確保支援士となっていく人を育成するためのカリキュラムを検討するよう、冨岡文部科学副大臣から指示があり、検討を進めているところである。その中で、大学における情報セキュリティ人材の育成に資するモデルコアカリキュラムが作れないかという方向性が出つつある。モデルコアカリキュラムの作成については、過去にも、医学・歯学等で例がある。来年度1年間掛けて、大学側の意見を伺いながら、取りまとめていくことを検討している。その作業と経産省・IPAの作業を上手く連携させながら、できるだけ無駄のない様に進めていけるよう事務的にもしっかり詰めて行きたいと考えている。
  • 普及策の中に、シンポジウムやカンファレンスの開催というものがあったが、例えば、情報処理安全確保支援士であれば、既に実施されているシンポジウム等の参加費用が安くなるといったことはできないか。
  • IPAが主催するシンポジウムは基本的に無料であったり、資料代相当のみとしていたりしていることが多い。ただし、普及策としてお示ししたシンポジウム等は、現時点ではアイディアベースであり、これらとは性質が異なるかもしれないので、今後検討する。
  • 先程の普及策の中に、他の資格との連携があったが、情報処理安全確保支援士でもコミュニティができてくれば、コミュニティ同士の連携の中で、このような話ができるかもしれない。

4)報告書について

  • 本日の議論の内容を踏まえ、座長と相談の上、報告書を修正する。修正内容等については、メール等にて各委員にご確認いただく形としたい。また、公表時期については、別途ご連絡させていただく。なお、パブリックコメントの実施は予定していないが、公表前に各委員にはご説明に伺う予定である。

以上

関連リンク

お問合せ先

商務情報政策局 情報処理振興課
電話:03-3501-2646
FAX:03-3580-6073

 
最終更新日:2016年4月28日
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.