制度について

情報処理安全確保支援士は「情報処理の促進に関する法律」に基づく国家資格制度です。正式名称、略称は次の通りです。
　・法律名：情報処理安全確保支援士
　・通称名：登録セキスペ（登録情報セキュリティスペシャリスト）
　・英語名：RISS（Registered Information Security Specialist）

登録セキスペ本人、またはその所属組織・企業のみが使えるロゴマークがあります。ロゴマークには次の意味があります。
　フレーム：盾（シールド）を意味し、様々な脅威から情報組織や社会を守る存在であること、
　　　　　　深みのある青は誠実と冷静さを意味する。
　地　　球：国際社会とデジタル社会を現す。
　羽　　　：ITによる人々の生活と拡がりと飛翔を意味する。
　4つの星 ：技術水準レベル4という重要性の高い資格として目指す存在となることをイメージ。

次の3つのしくみにより、サイバーセキュリティ対策を推進する人材の育成と確保を目指します。

1. 人材の質の担保

• "他の専門家と協力しながらセキュアな情報システムを企画・要件定義・開発・運用・保守できる"知識・スキルを試験で確認
• 継続的な講習受講により、最新の知識・技能を維持
• 登録セキスペ間の交流などによる気づき・意識の醸成

2. 人材の見える化

• 資格保持者のみ資格名称を使用可能（名称独占資格）
• 登録簿の整備、登録情報の公開

3. 人材活用の安心感

• 人物として問題ない人材のみを登録・資格継続する規定※
   　- 厳格な秘密保持義務
   　- 信用失墜行為の禁止義務
   　- 禁錮以上の刑、またはサイバー犯罪関連 の刑に処せられていない方を登録

※ 次の方は登録セキスペに登録できません。
• 一 禁錮以上の刑に処せられ、その執行を終わり、又は執行を受けることがなくなつた日から起算して二年を経過しない者
• 二 次のいずれかの罰金の刑に処せられ、その執行を終わり、又は執行を受けることがなくなつた日から起算して二年を経過しない者
  • （一）情報処理の促進に関する法律（昭和四十五年法律第九十号）第五十九条、第六十条又は第六十一条
  • （二）刑法（明治四十年法律第四十五号）第百六十八条の二又は第百六十八条の三
  • （三）不正アクセス行為の禁止等に関する法律（平成十一年法律第百二十八号）第十一条、第十二条又は第十三条
• 三 情報処理の促進に関する法律（昭和四十五年法律第九十号）第十九条第一項第二号又は第二項の規定により登録を取り消され、その取消しの日から起算して二年を経過しない者
• 四 精神の機能の障害により情報処理安全確保支援士の業務を適正に行うに当たって必要な認知、判断及び意思疎通を適切に行うことができない者

法律上の定義

「情報処理の促進に関する法律」の第六条に定める「情報処理安全確保支援士の業務」（一部抜粋）

期待される役割

法律上の定義をより具体化すると、登録セキスペは次のような役割を担う人材と考えられます。

この「期待される役割」について、具体的な活躍イメージを図で示します。

この役割の人材がいない現場では・・・

・事業リスクとしてのセキュリティリスクを説明できない
・正常時、事故発生時ともにセキュリティリスクに応じた対策の要否を
　説明できない、対策導入の協力を得られない
・事業成長を法規制等に準拠しつつ、新たな技術を安全に利用できず、
　競争に乗り遅れる





登録セキスペがいる現場では・・・

・登録セキスペとは技術を安全に事業に活かすという
　新たな視点を持った専門家
・ユーザ企業、ITベンダー双方に配置することで、事業
　リスクの中の情報セキュリティリスクを経営層、事業
　部門にも平易に説明し、必要な支援、協力、連携を
　取り付ける
・セキュリティ事故発生時も必要な専門家と連携しな
　がら、早期に回復できるよう、経営層、事業部門、
　情シス部門の橋渡しを推進

IT技術者としてのレベル

登録セキスペは、セキュリティに関わる業務をITスキル標準のレベル4として実践することが出来る人材です。

登録セキスペの活躍の場

上述の役割を担える知識・スキル・意識を身につけた登録セキスペはその後、セキュリティをさらに極めてセキュリティの専門家となる道も、セキュリティ以外の専門家としての活躍する道も開かれている。

登録セキスペに登録することは、登録者本人にとってのメリット、その所属組織にとってのメリット（ITベンダーまたはユーザ企業・組織）があります。

登録者本人のメリット

登録セキスペ本人は、毎年の講習による知識の最新化や、実践講習などの場での登録セキスペ同士のつながりなどで、継続的に知識・スキルを身に付けられるというメリットがあります。

「経済産業省が策定した「情報セキュリティサービス基準」の専門性を満たす資格
「情報セキュリティサービス基準>」は、情報セキュリティサービスに関する一定の技術要件及び品質管理要件を示すものです。
情報セキュリティサービスの提供にあたり、専門性を有する者の在籍状況を技術要件としていますが、「脆弱性診断サービス」、「デジタルフォレンジックサービス」及び「セキュリティ監視・運用サービス」の提供に必要な専門性を満たす資格として、登録セキスペが挙げられてます。

「「PCI DSS」の監査人に対する資格要件に登録セキスペが追加
「PCI DSS>」は、加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。2020年2月に PCI DSSの監査人に対する資格要件の一つに、登録セキスペが追加されました。詳細はこちら>をご覧ください。

「情報セキュリティ監査人の業務に携わるための優遇制度
登録セキスペは、情報セキュリティ監査人の業務に携わるための資格取得の優遇制度があります。詳細は日本セキュリティ監査協会のページ（高度情報セキュリティ資格特例制度）をご覧ください。

さらに、登録セキスペは国家資格であるため、取得することで専門家としての信頼を客観的に示すことができ、これにより活躍の場が広がることが期待できます。

もちろん、セキュアな社会実現に貢献しているという社会的評価が得られることもメリットと考えられるでしょう。

所属組織のメリット（ITベンダー）

ITベンダー企業では、登録セキスペが社員にいることで、顧客視点でのセキュリティ要求事項の理解が進むことなどにより、提供するシステム・サービスの信頼性が向上していきます。

また自組織における登録セキスペの保有人数の公表や、プロジェクトに係る登録セキスペの明示などによって、安心・安全なシステム・サービスの提供ができることを客観的に示すことができます。

「入札要件の充足」について
政府CIOポータル内の標準ガイドライン群に掲載されている「デジタル・ガバメント推進標準ガイドライン実 践ガイドブック」別紙6章「調達仕様書テンプレート例」5、作業の実施体制・方法(2)作業要員に求める資格 等の要件 P19～20において、「調達する作業内容」の「設計・開発」、「運用」、「保守」に「情報処理安全 確保支援士」が例示されています。なお、官公需情報ポータルサイトにも登録セキスペの配備が入札要件となる案件が掲載されており、今後増えていくことが予想されます。

• 活用企業インタビューはこちら

所属組織のメリット（ユーザ企業・組織）

ITを利活用する企業・組織では、登録セキスペを社員として配置することで、「事業リスク」と「セキュリティ（技術）」がつながり、経営とITが一体となったセキュリティ対策が推進できます。また、システムの調達先やセキュリティベンダーとも密に連携ができるようになり、よりポイントを押さえた、且つスピーディな対策が可能となります。

「信頼性や社会的評価の向上」について
登録セキスペの関与が進むことで、緊急対応（インシデント）のみならず、組織としてのサイバーセキュリティ確保への取り組みが可能になり、事業継続・機能保障などの総合的な観点から、企業活動の多岐にわたって、提供する機能やサービスの信頼性が向上し、社会的評価につながります。

関連情報

• 活用企業インタビューはこちら