背景
2009年の12月に、情報セキュリティスペシャリストの試験に合格し、2018年に現在の会社で「会社の指示により」情報処理安全確保支援士の資格取得費用を出してもらって資格を維持していましたが、以下の理由で資格の維持をやめさせてもらうことにしました。
- そもそもこの資格を活かした仕事が無い(会社の開発案件取得などに役立つかと思ったが、一向にそういう気配がない)。
- 自社自体がそもそもこの資格を持っている自分に社内のセキュリティ関連作業すらやらせる気配がない(もうすこし上手く使ってもらえるのかと期待したのですが)。
- 資格を持っていることで、自社の関係者が自社や顧客にセキュリティ面での事故を起こしてしまった際、事前にそれを知っていたりすると「善管注意義務」を怠ったということで責任を問われかねない。
ある程度の責任と権限を与えられるのであれば頑張ろうという気にもなりますが、最悪、事故時のスケープゴートにされかねないと感じる出来事ややりとりがここ数年でいくつかありました。そのため、社内で本資格に関するやりとりを交わしていた役員の方々に上記のことを告げ、資格維持更新のための講義受講等をとりやめさせてもらうことにしました。
資格削除手続き
資格維持の手続きや講義を行わなければ自動的に剥奪されるとは思いますが、剥奪されるのと自分から辞退するのでは多分何か違うとおもうので、資格登録を削除する正規の手続きを踏みます。
まず、IPAの情報処理安全確保支援士に関する申請書類一覧ページ(https://www.ipa.go.jp/siensi/formlist.html)を見ましょう。
www.ipa.go.jp
中段の「変更等の各種申請」の中に「登録削除届」のフォーマットがWord版、PDF版の二種類用意されています。フォーマット崩れなどがあると嫌なので、PDF版をダウンロードしてみましょう。
情報処理安全確保支援士 登録削除申請書これに氏名、登録番号、理由を記載して、別途送付されて受け取っている登録証(クレジットカードサイズの樹脂製カード)を添えて提出するだけのようです。送付手段等について記載がないのでWebサイトの説明を見てみると、「前項の「登録の手引き」をご参照ください」となっているので、新規登録の項にあるリンクから登録の手引きなる資料も見てみます。
登録の手引き、削除に関する説明なるほど、送付は簡易書留で、とのこと。というわけで、フォーマットを印刷して記入。近々通院でお休みする日があるので、その時にでも郵便局から簡易書留で発送するとしましょう。
なにがあったのか
正直、初めて資格らしい資格をとったので嬉しかったのですが、会社から「せっかくなので」と資格取得手続きの指示を受けて正式に資格をとりながらも、ここまで利用されることがないとは思わなかったので大変残念に思います。
資格維持を辞退しようとおもった理由は、簡単に言うと「会社が何を期待しているのか全く判らない」ためです。
自社内では既に役員の1名がセキュリティ教育などをされていたのですが、片手間での作業になることもあり、新人研修なども担当していた自分がそこを引き受けていくことになるのか……と思っていました。しかし、全くそういう雰囲気も話も無し。別の役員からは「お金も出してるしせっかくの資格なんだから上手く使ってよね」と言われるも、他の役職者からは、他の仕事や若手育成の件などで「他部署のやり方に口を出すな」と釘を刺されるような社風の中、勝手に自分が動くわけにもいかないという状況が続いていました。
そこへ来て、昨年から職場がコロナウイルス対策の流れで在宅勤務に。リモートワークにまつわるあれこれでセキュリティ面の検討事項などは沢山あったはずなのが、全く相談も声もかからず。流石に何も言わないのはどうかと考えたので、簡単に導入されつつあったZoomについて「パッチ適用など注意事項や問題点を調べて段取りを踏まないと危ない」という話を関係者につたえたところ、「あなたはZoom利用に反対なのですね」という返事が返ってくる始末。しかし、さすがに何もさせないのは無駄と感じたのか「定期的にセキュリティ関連の情報を社内発信してほしい」と言われたのですが、そこに対しても「しかし、あまり『~するな』『~するとこうなってしまう』といったネガティブな事例や話はしないでほしい」と釘を刺されるという。セキュリティの話はどうしても危険回避の話と密接に繋がるので、そういう事例をゼロにして語るのは難しいし、聞いている側も興味をもてなくなる。しかし、そういう雰囲気、扱いなんだな……というのを感じつつ、無難な情報を月に2~3回社内の掲示版に書きながら、1年2年と様子を見てきました。
結局の所、「関わらないでくれ、口を出さないでくれ」というのが役員を初めとした既存社員の考えであることがヒシヒシと伝わってきました。まぁそれならそれで、自分の学習兼ねて資格は維持しようかとそのまま見過ごしましたが。ですが、何年経ってもネットワークの基礎知識などについて学ぶ様子もなく、そもそもコンピューターウイルスがどういうものなのか、といった教育や知見も足りていない人達が業務を回していくのを見るうちに「これはいつか事故が起きる」と感じ、前述の「資格所持を辞めさせてください」という流れに至りました。
結局、そういう人員が居るということをアピールできるように準備しておく、という以上の理由はなかったようです。
自分がセキュリティ関連やIT知識にもの凄く長けているということは無いと思いますが、そういう自分ですら「これはヤバイ」と思うような感覚で回っている組織においては、対価も権限も無い状態で責任だけ取ることになりそうな立場にあり続けることは避けるのが正解だと思います。残念ですけれど、間違った選択では無いと思います。
セキスペの資格、結果的にどうだったか
個人的には勉強になりました。小手先のセキュリティ関連技術や知識というよりは、企業や組織といった観点からの考え方、指針といった面、また、世の中に構築されつつある情報セキュリティに関するコミュニティや連携体制について、概要とはいえオンライン研修で定期的に知ることができるのは悪い事ではないと思います。また、物事の見方をセキュリティ確保という視点に寄せて見ることが出来るようになるのは、日常的なコンピューター利用等においても有益です。世の中的には役に立たない資格だ、無意味な講習だという意見も結構あるようですが、何もしていない人達よりはよほど一歩先に行けますし、そんなに無駄ではないかと。
ただ、維持費用が3年間で約14万円と高いのが難点ですね。
私は今の情報処理安全確保支援士試験ではない、前の試験からの過渡期の措置で取得資格を得たので、再度資格を取るには試験を受け直さないといけません。しかし、情報セキュリティ系の情報処理試験は高度情報処理試験の中でも比較的合格しやすい部類だとおもうので、必要とあらば半年も復習すれば取れると思います。
今の組織ではもう無いでしょうし、請われても断りますが。
