見出し画像

CIPP/US, CIPP/E, CIPMを受験しました。#プライバシー関連の国際資格

三浦 修平/MIURA Shuhei

2022年7月以降、iappが設けたcertification programであるCIPP/US、CIPP/E、CIPMの3つを受験し、無事3つとも合格できました。ネットで検索するといくつかの受験体験記は見つかるものの、まだそこまで数は無いようですので、この資格に興味をお持ちの方向けの参考情報として、私の勉強方法等をお伝えできればと思います。
(なお、試験内容の詳細については秘密保持のため詳細省かせていただきます。)


iappとcertification programについて

iappとは、International Association of Privacy Professionalsの略称であり、プライバシーに関する国際的な非営利組織です。プライバシー関連の最新動向の発信、トレーニングプログラムの作成・展開などプライバシーの実務に資する様々な取組を実施しています。

その取組の1つにCIPP/US、CIPP/E、CIPMといったcertification programの運営が含まれています。これらの資格の取得を通じて、専門知識の獲得をはもちろんのこと、自身のキャリアアップにもつなげることが期待できます。(日本企業のプライバシー系職種の採用において、これらの資格に言及しているところはまだ少ないですが、「あると望ましい」とされる条件の1つとして、CIPP/Eなどを記載している企業もあるようです。)

CIPPは、Certified Information Privacy Professionalの略で、特定の地域におけるプライバシー関連法令の知識に関する資格であり、本記事作成時点では、Asia(/A)、Canada(/C)、Europe(/E)、U.S. private-sector(/US)の4種類があります。個人的な感覚値でしかありませんが、やはり学ぶべきはGDPRということでCIPP/Eが一番人気なのだろうと思います。

CIPMは、Certified Information Privacy Managerの略で、プライバシーに関する企業のVision作成、プライバシー関連組織の立ち上げ、フレームワークの作成といった日々の業務を実行するために必要な知識に関する資格です。

CIPPとCIPMともに共通の情報として、試験の概要を載せておきます。詳しくは、CERTIFICATION CANDIDATE HANDBOOKをご覧ください。

  • どちらもテストセンターあるいは自宅PCからリモートで受験可能

  • 全90問(多肢選択式)を150分の制限時間内に回答

  • 試験は全て英語(厳密には英語以外の言語もあるが日本語は無い)

  • 出題範囲についてはbody of knowledgeやexam blueprintがiapp公式サイトで確認可能

受験目的と経緯

私は2022年1月から企業のプライバシーの専門部署で働いているのですが、プライバシーの専門家としてのキャリアを築いていく上でのわかりやすいアピール材料として、また知識習得のモチベーション装置として、資格を取得しようと考えたのがきっかけです。今となっては、日本DPO協会主催の資格認定制度が始まっていますが、2022年1月当時はまだなかったので、プライバシー関連の資格というとiappのcertification programくらいしか候補がありませんでした。
受験した順番は、CIPP/US(2022年7月)⇒CIPP/E(2023年11月)⇒CIPM(2024年4月)でした。なお、CIPP/USをまず受けた理由としては、過去にCCPAを業務で取り扱った経験があったことから、知識がまだ頭に残っているうちに受験しようと思ったためです。

CIPP/US

(1)勉強開始時の事前知識

上述のとおり、CCPAについては業務で取り扱った経験があったため、全体的な条文内容や構成は元々頭に入っていたと思います。逆にCCPA以外の連邦法・州法に関する知識はほとんどありませんでした。

(2)勉強方法

主に使用した参考書等は以下の5つでした。

1.U.S. Private-Sector Privacy(iapp公式テキスト)
iapp公式テキストであるため、これを一番読み込みました。どの章も情報がわかりやすく綺麗にまとまっており、資格試験を受ける受けないにかかわらず、USにおけるプライバシー法に興味がある方は読む価値がある1冊だと思います。
ただ、全て英語です。私はそこまで英語が得意でないため、1週目に全編通して速読した後、2週目ではほぼ全編手元に逐語訳を作成しながら再読しました(その結果、勉強時間がかなりかかってしまいました)。試験直前は、その逐語訳を読み直す形でインプットを行いました。

2.いますぐわかるCCPAの実務対応(中央経済社)
業務でCCPAを取り扱った際も横に置いていた一冊であり、CCPA関連で再インプットをしたいときに該当部分を読み直しました。

3.アメリカプライバシー法(勁草書房)
FTC法についてiapp公式テキストの内容を理解するための補助資料として読みました。

4.その他法律事務所のニュースレター
当時、iapp公式テキストでカバーしきれていなかったCPRAやVCDPAといった最新の州法に関する知識をインプットするために、ニュースレターを読みました。

5.CIPP/US Practice Exam Digital(iapp公式模擬試験)
どのような粒度で知識を問われるのかを把握するために1回全て解いたのち、間違った問題だけ試験直前に見直しました。

(3)勉強時間

合計で112時間でした。
後述する他の2つの試験と比較すると圧倒的に時間がかかっていますが、iapp公式テキストを全訳するという作業を行ったことが大きな要因です。個人的にはいいトレーニングになったので後悔はないですが、英語が得意な方はもう少し勉強時間を短くできるとは思います。

(4)結果と感想

個人的な感覚ですが、最初に受験したことを抜きにしても、受験した3つの資格の中で一番難しかったです。1回目はギリギリ合格点に届かず落ちてしまい、1か月後に再受験して無事合格しました。USはプライバシー法の体系がセクトラル方式であるため、連邦法の時点で医療、金融、教育といった分野ごとに法令が存在しており、加えて州ごとに州法も存在しているため、覚える必要がある知識量がとにかく多いです。

CIPP/E

(1)勉強開始時の事前知識

GDPRも業務で少し取り扱った経験があったため、大まかな条文内容や構成は元々頭に入っていたと思います。ただ、CCPAほどではなかったので、1から知識をインプットする気概で始めました。

(2)勉強方法

主に使用した参考書等は以下の5つでした。

1.European Data Protection(iapp公式テキスト)
CIPP/USのときと同様、iapp公式テキストを一番読み込みました。こちらのテキストも素晴らしかったです。
全編通して2周しました。GDPRの場合、USと比較して日本語の基本書が充実しているため、GDPRの内容に関する知識は2の個人情報保護法制大全で概ねカバーできます。ただ、EUの法体系や機関に関する知識など同書ではカバーできない部分はiapp公式テキストに頼らざるを得ないです。

2.個人情報保護法制大全(商事法務)
本書の第Ⅳ編第2章EUで基本的なGDPRの内容が網羅されているので、iapp公式テキストと並行して読みました。

3.GDPRの仕組みと対策がよ~くわかる本(秀和システム)
iapp公式テキストを読み始める前の事前インプットとしてざっと1回読みました。粒度はそれほど細かくないですが、GDPRの概要をまず把握するにはちょうどいい1冊でした。

4.GDPRの前文・条文の仮日本語訳(個人情報保護委員会)
iapp公式テキストと個人情報保護法制大全を読む中で条文を参照する際に利用しました。条文だけの精読も1回行いました。

5.CIPP/E Practice Exam(iapp公式模擬試験)
CIPP/USのときと同様です。

(3)勉強時間

合計で68時間でした。
GDPRはUSより日本語の情報が充実しているため、それをうまく活用すれば英語が苦手な人でも勉強が進めやすいと思います。

(4)結果と感想

1回目の受験で無事合格できました。
CIPP/USと異なり、基本的にはGDPRを軸としてEUの法体系や機関、e-privacy規則などの周辺知識を少し身に付けることで足りることや、日本語の基本書も利用できることからも、とても勉強しやすかったです。

CIPM

(1)勉強開始時の事前知識

CIPP/USとCIPP/Eは合格済みだったので、それら資格に合格する程度のUS法やGDPRの知識はありました。また、プライバシー関連業務に5年程度従事した経験がありました。

(2)勉強方法

主に使用した参考書等は以下の3つでした。

1.Privacy Program Management(iapp公式テキスト)
やはり今回もiapp公式テキストを一番読み込みました。こちらのテキストも素晴らしかったです。
全編1周した上で、個人的に再度読み直したかった章のみ再読しました。

2.NIST Privacy Framework(NIST)
NISTが2020年1月に公開した、組織がプライバシーリスクを管理するためのツールです。1回ざっと全体を通して読みました。

3.CIPM Practice Exam(iapp公式模擬試験)
CIPP/US、CIPP/Eのときと同様です。

(3)勉強時間

合計で25時間でした。
法令に関する事前知識は十分にある状態での受験だったので、プライバシーマネジメントの技術的な知識のインプットを重点的に行えば足り、そこまでの勉強時間は不要でした。

(4)結果と感想

1回目の受験で無事合格できました。
個人的な感覚ですが、実務にフォーカスした資格である分、逆にこれまでの実務経験がかなり活きたと感じました。プライバシーマネジメントの技術的な知識については、法令に関する知識を学ぶだけでは触れられない領域なので、個人的にとても新鮮で楽しく勉強できました。

結び

いずれの資格も受験を通じて実務に役立つ多くの知識について学ぶことができたため、受験して良かったと思います。私と同じように、プライバシーの専門性を高めていきたいと考えている方には心からおすすめしたい資格です。

ただ、公式テキストも試験も全て英語なので、英語が苦手な方は手が出しづらいかもしれません。また、最近は円安の影響で受験費用が高くなっており、手軽に受けづらくなっているなとは思います。再受験(retake)だと多少の割引はありますが、それでもそれなりの金額になるので・・・

もし、iappのcertification programに挑戦してみよう!と思った方がいらっしゃるようであれば、個人的にはCIPP/E⇒CIPMと受けていただくのが良いのではないかと思います。(私のように、CIPP/USを最初に受けることはおすすめしません・・・笑)

この記事が少しでも多くの方の参考になったら嬉しいです。

この記事が気に入ったらサポートをしてみませんか?