日本DPO協会「プライバシーゴールド」認定試験の受付開始、初試験は3/30に!
こんにちは!
去年、日本DPO協会のプライバシー保護の資格制度の「プライバシーホワイト」の受験体験記を書きました。1/26その上位資格である「プライバシーゴールド」がいよいよ始まるとのアナウンスがありました。(1/28追記: 14時、プレスリリースも出ました)
初の試験日は2025年3月30日ということで、受験資格、出題範囲などについて、このページの説明から紹介したいと思います。
日本DPO協会プライバシーゴールド?
正式名称は、J-CDPS:Certified Data Protection Specialist(日本DPO協会認定データ保護スペシャリスト)、日本DPO協会が主催する民間の認定試験です。
日本DPO協会とは?、認定資格の特徴・個人情報保護士との違いは?
日本DPO協会は、
初代個人情報保護委員会委員長を務められた堀部正男氏を代表理事とする民間団体(一般社団法人)で、理事は民間企業や弁護士、大学教授などで構成されています。
認定資格の特徴は、公式HPによると、
国際レベル、プライバシーガバナンス体制の構築・運用のために必要な人材育成に寄与し、Pマークの個人情報保護管理者の力量を証明できるとあります。
日本 DPO 協会認定資格について
⚫︎国際レベルのプライバシー保護の担当者や責任者のための資格です
⚫︎プライバシーマークの個人情報保護管理者や監査責任者、現場担当者の力量を証明できる資格です
⚫︎大企業や中小企業・個人事業のみならず、行政機関等や地方公共団体のプライバシーガバナンス体制の構築・運用に必要な人材を育成することができます
知名度が高い「個人情報保護士」との違いは、
受験する立場からすると、大きく3つ。
より本格的に勉強・実務に携わる本気な人向けという印象です。
・出題範囲の違いが広いこと
(例えば、プライバシーホワイトの場合、GDPRや中国個人情報保護法等海外の法の知識も求められる)
・公式テキストは販売(公式サイトのみ)されているが、問題集がないこと
・合格後の更新料が不要
詳しくは、こちらの記事の前半をご参照ください!
今回はじまるプライバシーゴールドとは?
日本DPO協会のプライバシー保護認定試験シリーズは、3段階の試験構成が想定されています。
プライバシーゴールドはその真ん中、
プライバシーの専門家として活動するスペシャリスト向けの試験の位置付け、すでに認定試験が始まっている実務担当者向けの「プライバシーホワイト」の上位です。
(なお、さらにその上位、グローバルプライバシーガバナンスをリードするCPO/DPOを目指す人向けの「プライバシーブラック」は来年度からの開始を予定しているそうです)
続いて、対象者・受験資格・試験対象範囲を見てみます。
■対象者
所属部門を問わず、プライバシー保護の専門家として活動する人で、
個人情報だけでなく、個人データ・非個人データを問わず海外のデータを取り扱う、という枕詞が特徴的!
■対象者
個人データ・非個人データを問わず海外のデータを取り扱う、事業部門やコンプライアンス・法務・総務・人事部門等においてプライバシー保護の専門家として活動される方
■受験資格
受験資格は2つの&条件。(いずれも移行措置あり)
①プライバシーホワイトに合格済みであること
&
②認定教育事業者による専門家教育1日を受講すること
上位資格なので①は想定内でしたが、②の専門家教育必須はプライバシーホワイトと異なるところ。受験料に加えて受講料がかかるとすると、会社で費用がでない場合、敷居が少しあがりますね…
■受験資格
以下のすべての条件を満たす者
・ プライバシーホワイト(民間部門又は公的部門)の資格を保有
(ただし、2025年3月30日に行われる資格認定試験に関しては、資格認定試験に合格した者がプライバシーホワイトの資格認定試験を2025年3月30日以降に受験し合格しプライバシーホワイト(民間部門又は公的部門)の資格を取得することにより、受験資格を追完することを認めます。2025年12月31日までに①の受験資格の追完が行われない場合には、当協会より連絡。)
・ 認定教育事業者による専門家教育
(1日。プライバシーホワイト(民間部門又は公的部門)の認定教育事業者によって提供されます。認定教育事業者によるプライバシーゴールドに関する専門家教育については、提供が開始され次第、当協会より受験申込者に対してメールにて通知します。)の受講
(ただし、2025年3月30日に行われる資格認定試験に関しては、プライバシーゴールドの認定試験に合格した者が上記専門家教育を試験の後で受講し、これにより受験資格を追完することを認めます。2025年12月31日までに②の受験資格の追完が行われない場合には、当協会より連絡。)
■対象分野
注目の試験の対象は、これまでHPで案内されていた専門選択式ではなく、一律5科目となりました!
EU関係の法令の比率が4割で、GDPRは想定内としても、EUデータ法・AI法が含まれており、プライバシーガバナンスだけでなく、データガバナンスへの広がりがあることに驚きました!
具体の出題範囲は、後述でじっくり見てみます。
以下の5科目を対象分野とする。
(1) 日本の個人情報保護法・マイナンバー法(20問)
(2) 欧州連合(EU: European Union)の一般データ保護規則(GDPR: General Data Protection Regulation)(10問)
(3) プライバシーガバナンス(10問)
(4) EUデータ法(EU Data Act)(5問)
(5) EU AI法(EU Artificial Intelligence (AI) Act)(5問)
■試験概要
試験方式について、プライバシーホワイトは選択式でしたが、ゴールドは筆記式・短答式で7割(但し、全体の正答率が低い場合には上位10%とのこと)
また、プライバシーホワイトの試験はCBT型提携会場で受験日はほぼ毎日から選べ、合否はリアルタイムしたが、プライバシーゴールドの試験日は指定された日のみで、申込者の人数に応じて後日場所指定で、合否も3週間後にメール連絡。2回目の試験がいつになるかは未定のようです。
(どれくらいニーズがあるか、様子見なのでしょうかね?)
教科書は1/28発売開始になりました。
■試験方式
筆記式・短答式試験(50問・1問2点・100点満点)、法文を含む一切の資料等は持込不可とし、問題冊紙及び解答用紙はいずれも試験会場において回収します。
■受験申込期間・実施日程・会場・受験料・応募方法
(1) 受験申込期間:2025年1月27日(月)午前10時~2025年2月7日(金)午後5時
(2) 実施日程:2025年3月30日(日) 午後2時~午後4時30分
(3) 会場:東京都内会議室(2025年2月14日(金)までに決定)。
受験申込者に追ってメールにてご連絡します。
(4) 受験料:33,000円(税込)
(5) 応募方法:イベントペイ(https://eventpay.jp/event_info/?shop_code=5812476493957433&EventCode=P126529618)
■合格発表・発表方法
2025年4月16日(金)正午頃にEメールにて結果を通知します。
合格者には、2025年4月30日(水)頃を目途に合格証(PDFデータ。紙での発行・発送は致しません。再発行も致しませんので、ご注意ください。)をメールにて送付します。
■配点・試験時間・合格点
満点を100点、試験時間は150分とします。合格点は70点とします。
但し、合格点を70点とした場合に合格率が10%を下回る場合には、70点未満を合格点とし、合格率が10%以上となるよう合格点の調整を行います。
出題範囲については公表された法文、関係省庁及び/又は監督当局の発行するガイドラインを中心とし、当協会として特定の教科書の指定は行いません。
ただし、当協会が発行した教科書(プライバシーガバナンス教科書(2025年1月28日発刊。7800円(税別)。当協会教科書販売サイトにおいてPDFデータにて発売)を自学自習することを推奨します。
◼︎試験範囲
5科目の対象項目、参考リンクの記載がありますが、これ全部だと数百ページ、いや1000ページ超えますね。。
1/28に出る公式教科書(PDF)にサマリー、出る順明記されていることを期待!
(1/28追記
購入して確認したところ、Ⅲに特化した教科書で、その他の分野の記載はありませんでした。。)
次に、下の出題範囲を拡大して、そのリンク先と合わせてざっと見ていきたいと思います。
👀出題範囲をじっくりみてみる
上記表から、5つの出題科目ごとに、
試験範囲の項目・内容を引用の上で、出題範囲の文書*(法等)の形式でみてみます。
*リンクがついていない文書は注のうえで筆者が付与
I. 日本の個人情報保護法・マイナンバー法(20問)
個人情報保護法が17問、マイナ法が3問の構成で、法体系に沿ってオーソドックスです。
個人情報保護法(17問)
内容をみると「民間版」で、「行政版」固有の設問はなさそうに見えます。
(試験範囲の項目・内容)
個人情報保護法(17問)
1.1 適用範囲
①目的及び適用対象、②適用除外、③適用の特例、④域外適用
1.2 基本概念
定義
(個人情報、個人識別符号、要配慮個人情報、個人情報データベース等、個人データ、保有個人データ、仮名加工情報、匿名加工情報、個人関連情報、漏えい等、個人情報取扱事業者等)
1.3 個人情報取扱事業者等の義務
①個人情報の利用目的(利用目的の特定、通知・公表、制限の遵守等)、
②不適正利用の禁止、
③個人情報の取得(適正取得、要配慮個人情報の取得等)、
④個人データの管理(安全管理措置、従業者・委託先の監督、正確性の確保等)、
⑤個人データの漏えい等の報告等、
⑥個人データの第三者への提供(制限の遵守、確認・記録、域外移転等)、⑦個人関連情報の第三者提供の制限等、
⑧保有個人データに関する事項の公表等、
⑨保有個人データの開示・訂正等・利用停止等、
⑩個人情報の取扱いに関する苦情処理、
⑪仮名加工情報取扱事業者の義務、
⑫匿名加工情報取扱事業者の義務
1.4 執行
「勧告」、「命令」、「緊急命令」等についての考え方
(出題範囲)
・ 個人情報の保護に関する法律(平成15年5月30日法律第57号)
・個人情報の保護に関する法律施行令(平成15年12月10日政令第507号)
・個人情報の保護に関する法律施行規則(平成28年10月5日個人情報保護委員会規則第3号)
・個人情報の保護に関する基本方針(平成16年4月2日閣議決定、令和4年4月1日一部変更)
個人情報の保護に関する法律についてのガイドライン
・ 通則編
・「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
コメント)
実務担当者ならおなじみ、こちらのページの主な文書が対象。点数稼ぐ科目ですね。
マイナンバー法(3問)
(試験範囲の項目・内容)
マイナンバー法
1.5 基本概念
定義(個人番号、個人番号カード、特定個人情報、個人番号利用事務、個人番号関係事務等)
1.6 事業者の義務
①特定個人情報の利用制限、
②特定個人情報の安全管理措置等、
③特定個人情報の提供制限等(提供の要求、求めの制限、提供制限、収集・保管制限等)、
④第三者提供の停止に関する取扱い、
⑤特定個人情報保護評価
(出題範囲)
・行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年5月31日法律第27号)(「マイナンバー法」)
(注:リンクなしのため、筆者がリンク追加)
・特定個人情報の適正な取扱いに関するガイドライン(事業者編)
(注:リンクなしのため、筆者がリンク追加)
コメント)マイナンバー法のまとめページ的なものがみあたりませんでしたが、マイナンバー関係は総務省がいちばんまとまってました。Ⅱのプラガバに関連し、「特定個人情報保護評価」あたりが狙われそう?
II. 欧州連合(EU: European Union)の一般データ保護規則(GDPR: General Data Protection Regulation)(10問)
続いて、GDPRも、法の概要で、ひねりはなさそうです。
(試験範囲の項目・内容)
II. 欧州連合(EU: European Union)の一般データ保護規則(GDPR: General Data Protection Regulation)
2.1 適用範囲
GDPRの地理的適用範囲
2.2 基本概念
定義(個人データ、特別な種類の個人データ、処理、移転、管理者、処理者、共同管理者、同意等)
2.3 管理者・処理者の義務
①個人データ処理の諸原則、
②処理の法的根拠(個人データの処理、特別な種類の個人データの処理)、③処理活動の記録、
④データ主体への情報通知・権利行使対応、
⑤適切な技術的・組織的措置の実施、
⑥個人データ侵害への対応、
⑦データ処理契約の締結・更新、
⑧EU代理人、
⑨データ保護責任者の選任義務、
⑩データ保護影響評価の実施義務、
⑪域外移転規制等
(出題範囲)
・一般データ保護規則(GDPR: General Data Protection Regulation)前文(1項、26項、75項、76項)
・GDPR条文(2条~10条、12条~22条、24条~39条、44条~49条、84条)
欧州データ保護会議(EDPB: European Data Protection Board)ガイドライン
・管理者又は処理者の主監督機関の特定に関するガイドライン8 2022
・データ保護影響評価(DPIA)及び取扱いが2016/679規則の適用上、「高いリスクをもたらすことが予想される」か否かの判断に関するガイドライン
・個人データ侵害通知の事例に関するガイドライン01_2021
・GDPRの地理的適用範囲(第3条)に関するガイドライン 03_2018 – バージョン2.1)
コメント)
グローバル企業で日常的にGDPRを扱う必要がない場合、出題予定の対象条文箇所は、しっかり勉強が必要そう。
GDPRは大量にガイドラインがあるところ、出題範囲のリンク先をみると、今回対象の法文やガイドラインは全て、個人情報保護委員会による仮訳があるもののみで、一安心。とはいえ、かなりのボリューム、GLは参考程度がよさそう…
関連)
GDPRを概観するのは、この本が解説がしっかりしていて、わかりやすかったです(Kindleあり)
III. プライバシーガバナンス(10問)
この科目は、大別してJIPDECのPマークの個人情報保護マネジメントシステムと、経産省・総務省プライバシーガバナンスガイドブックおよび個人情報保護委員会のデータガバナンスを中心とした公式ページからの出題になるようです。
(試験範囲の項目・内容)
3.1 個人情報保護マネジメントシステム
プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針
J.1組織の状況、J.2リーダーシップ、J.3計画、J.4支援、J.5運用、J.6パフォーマンス評価、J.7改善、J.8取得、利用及び提供に関する原則、J.9適正管理、J.10個人情報に関する本人の権利、J.11苦情及び相談への対応
(出題範囲)
・プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針【JIS Q 15001:2023 準拠 ver1.0】
コメント)
年末に参加した人材育成のイベントで、ガバナンス体制の構築において「Pマーク取得時の個人情報保護マネジメントシステム」推しの人が複数いたのは、そういうことだったのか!(笑)
なお、Pマークの認証機関であるJIPDECと日本DPO協会は、個人情報保護力量検定というプライバシーホワイト・ゴールドとは別の検定試験を立ち上げており、去年あたりから関係が深そうですね。
3.2 プライバシーガバナンス
◼︎プライバシーの考え方
◼︎企業のプライバシーガバナンスの重要性
◼︎ 経営者が取り組むべき三要件(プライバシーガバナンスに係る姿勢の明文化、プライバシー保護責任者の指名、プライバシーへの取組に対するリソースの投入)
◼︎ プライバシーガバナンスの重要項目(体制の構築、運用ルールの策定と周知、企業内のプライバシーに係る文化の醸成、消費者とのコミュニケーション、その他のステークホルダーとのコミュニケーション)
◼︎ プライバシーリスク対応の考え方(関係者と取り扱うパーソナルデータの特定とライフサイクルの整理、プライバシー問題の洗い出し、プライバシーリスクの特定、プライバシー影響評価(PIA))
(出題範囲)
・DX時代における企業のプライバシーガバナンスガイドブックver1.3
・お役立ちツール(※中小企業向け)
・個人データの取扱いに関する責任者・責任部署の設置に関する事例集
・PIAの取組の促進について-PIAの意義と実施手順に沿った留意点
・漏えい等の対応とお役立ち資料
・データマッピング・ツールキット(本編)
コメント)
プライバシーガバナンスブック以外は、個人情報保護委員会の文書で、
法律を超える+αの部分は、データガバナンスのページからの出題のようです。
◼︎プライバシーの考え方については、プライバシーホワイトでのプライバシーの説明はIAPPのプライバシーの分類で説明されていましたが、日本の上記の文書群では明確に記載されていないところ。公式テキストで、どのように解説されているか確認するのが興味津々です。
(1/28追記:
確認の結果、プライバシーの定義の説明はありませんでした。一方、「プライバシーの主たる目的はデータが使われることにより個人の権利や利益が損なわれないように保護すること」との記載がありました)
一方、日本の実務は、法律対応中心で、ガバナンス体制整備についてまだまだ普及していないところ。そんなこともあり、(グローバルではないものの))中小企業含め普及しているPマークと合体させる作戦??
中期的には、このようなツギハギではなく、政府としても体系だったデータガバナンスの在り方のガイドラインを出してもいいんじゃないか?と思います。
(1/28追記:
本日、プライバシーゴールド「プライバシーガバナンス教科書」が公開され、早速みてみました。結果、ゴールド試験の参考文書から作られたものではなく、GDPRをベースとしたグローバル企業を想定したプライバシーガバナンスの参考書というイメージで、プライバシーホワイトのように出る順などの記載は一切ありません。したがって、試験対策には必ずしも必須ではない印象も… 逆にいえば、試験を関係なく読み物として読むには、読み応えがあります。また、購入すると、データマッピング(棚卸し)シートの共有をしてもらえます。
なお、プライバシーマークは地域ローカルな手順書・様式との記載が小さくあるのみでした。)
関連)
IV. EUデータ法(EU Data Act)(5問)
4科目目は、まさかの非個人データも含むEUデータ法!
年末から話題になり始めているものの、5科目のうち、日本の実務家でいちばんなじみがない人が多そうです。ただ、試験範囲をみると広範なデータ法のカバー範囲のうち、全てではないため、該当条文に絞るのが吉そう。
一方、出題範囲の参考文書も(GDPRのように政府で仮訳を出しておらず)英語なので、さらに敷居高そうですね。(なので、1日専門家教育必須なのかな?)
(試験範囲の項目・内容)
IV. EUデータ法(EU Data Act)
4.1 基本概念・適用範囲
4.2 ユーザーとの関係における製造者・データ保有者の義務
4.3 第三者との関係における製造者・データ保有者の義務
4.4 営業秘密の保護(セーフガードに関する規定)
4.5 執行制度
(出題範囲)
・EUデータ法(REGULATION (EU) 2023/2854 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act)(Text with EEA relevance))
1条から11条、37条~42条、50条、
前文14~16項、20項、22項、24項、25項、29項
・Data Act explained
(筆者注:機械翻訳済)
・Frequently Asked Questions about the Data Act
コメント)
上記Data Act explainedの機械翻訳です。法文は長いので、まず、概要から入る方が吉。
なお、デジタル行財政改革会議>データ利活用制度・システム検討会で生貝先生が図解および解説をされており、全体感をつかむのに役立ちます。
・第1回データ利活用制度・システム検討会 資料4 生貝構成員提出資料
出題範囲は、条文番号からすると下図の2章が中心になりそうですね
データ法の対談掲載号)
上図も含め、データ法に詳しいEU在住N&A石川先生、実務家と生貝先生の対談記事が掲載されています。
V. EU AI法(EU Artificial Intelligence (AI) Act)(5問)
5科目目は、こちらもEUのAI法!
Ⅳのデータ法に比べれば、日本の実務家もなじみがあるように思いますが、試験でどこまでのレベルを聞かれるのか…
こちらも出題範囲の文書は400ページもあるAI Actの英語版(泣)
対象条文の範囲を絞って勉強しないと自爆しそうです。。。
(試験範囲の項目・内容)
V. EU AI法(EU Artificial Intelligence (AI) Act)
5.1 基本概念・適用範囲・執行制度
5.2 禁止されたAI慣行、汎用AIモデル・システミックリスクを有する汎用AIモデルの提供者の義務
5.3 高リスクAIシステムの提供者の義務
5.4 高リスクAIシステムの配備者・認定代理人・輸入業者・流通業者の義務
5.5 特定AIシステムの提供者・配備者が負う透明性義務
うち、各項目ごとの出題範囲:
5.1 基本概念・適用範囲・執行制度:法1~3条、64条~70条、99条、101条、113条
5.2 禁止されたAI慣行、汎用AIモデル・システミックリスクを有する汎用AIモデルの提供者の義務:5条、51条~55条
5.3 高リスクAIシステムの提供者の義務:法6条~27条
5.4 高リスクAIシステムの配備者・認定代理人・輸入業者・流通業者の義務:同上
5.5 特定AIシステムの提供者・配備者が負う透明性義務:法50条
(筆者注:EU AI法 概要文書は機械翻訳公開しています)
・欧州連合日本政府代表部: EU AI規則の概要 スライド形式の日本語まとめ
長いAI Act、kindleで全文読める本
あとがき
1/2710時から、受験申込ページがオープン、1/28公式教科書は販売開始、プレスリリースはまだのよう。(1/28追記: 14時に出ていました)
受験申込期間が1/27から2/7までの2週間と短いため、取り急ぎ、この記事は公開し、追加情報あった場合、追記します。
(1/28 教科書情報追記済み
EU法関係は、それなりにハードルが高い内容も含まれますが、当たって砕けろかな? 受験したら、また、受験体験記書こうと思います!
ではまた!
今日のAI絵
