フューチャー技術ブログ

個人情報保護士認定試験 合格体験記 - 法改正が続く個人情報保護を、ISMSとPマークから学び直す

はじめに

FutureVulsチームの棚井です。

2026年6月21日に実施された第83回 個人情報保護士認定試験を受験し、合格しました。

第83回_個人情報保護士認定試験の合格通知

これまで私が執筆したセキュリティ系資格の合格体験記(情報処理安全確保支援士AWS Certified Security - Specialty)は、いずれも技術でどう守るかに軸足がありましたが、今回はきっかけが少し違います。学習を進める中でもセキュリティ担当者としての実業務でも、数ある情報資産のなかで個人情報だけは扱いが別格だと感じる場面が何度もありました。なのでこの領域を体系的に学びたくて、受験を決めました。

FutureVulsは脆弱性管理サービスを提供しており、日々セキュリティと向き合っています。ただ、セキュリティの最終的な目的の多くは個人情報をはじめとする情報資産を守ることであり、その拠り所は法律や社会的なルールです。セキュリティと個人情報保護は、いわば両輪です。技術者こそ、その両方をあわせて理解しておく価値があると思っています。この記事は、資格の受験を検討している方はもちろん、個人情報保護って結局どんな法律・制度で成り立っているのか、と気になるエンジニアにも読んでほしい内容です。

試験の概要 - 問われるのは法律と対策の2領域

個人情報保護士認定試験は、一般財団法人 全日本情報学習振興協会が主催する民間資格です。試験は次の2課題で構成されます。

  • 課題Ⅰ:個人情報保護法とマイナンバー法の理解(法律の側面)
  • 課題Ⅱ:個人情報保護の対策と情報セキュリティ(対策の側面)

つまり、法律とセキュリティ対策の両面が問われます。概要は次のとおりです。

項目 内容
主催 一般財団法人 全日本情報学習振興協会
出題 課題Ⅰ・課題Ⅱ 各50問(計100問)
試験時間 150分
合格基準 各課題70%以上(難易度により調整あり)
受験料 11,000円(税込)
実施 年4回(第83回は2026年6月21日)
合格率 おおむね4割前後(回により幅あり)

法律とセキュリティが半分ずつという構成は、サイバーセキュリティの業務とも重なります。

増えるインシデントと、IPAの10大脅威

個人情報の漏えいにつながるインシデントは、ここ数年で明らかに増えています。トレンドマイクロの集計では、2024年に国内の法人組織が公表したセキュリティインシデントは587件で、2023年の383件から大きく増えました。IPA「情報セキュリティ10大脅威 2026」(組織向け)の上位も、次のような顔ぶれです。

  • 1位:ランサム攻撃による被害
  • 2位:サプライチェーンや委託先を狙った攻撃
  • 3位:AIの利用をめぐるサイバーリスク(初選出)

攻撃の多くは、最終的に個人情報や機密情報の窃取や暗号化、漏えいに行き着きます。サイバーセキュリティと個人情報保護は、技術と法制度という別々の顔をしていても、実態は表裏一体です。だからこそこの試験も、法律・ルール(課題Ⅰ)とセキュリティ対策・実務(課題Ⅱ)を、それぞれ問う内容になっています。

課題Ⅰの領域:個人情報保護をめぐる法律

課題Ⅰでは、個人情報保護法とマイナンバー法の理解が問われます。ここでは、中心となる個人情報保護法と、対になる活用側の法律を見ていきます。

改正が続く個人情報保護法

個人情報保護法(正式には「個人情報の保護に関する法律」)は、2003年に制定され、2005年に全面施行されました。特徴的なのは、その後も社会やテクノロジーの変化に合わせて改正が重ねられている点です(参考:個人情報保護委員会)。主な流れは以下のとおりです。

時期 主な内容
2003年 制定
2005年 全面施行
2015年改正(2017年施行) 取扱件数の要件を撤廃し原則すべての事業者が対象に。匿名加工情報、個人情報保護委員会(PPC)の新設
2020年改正(2022年施行) 漏えい等の報告・本人通知の義務化、仮名加工情報、本人の権利拡大、ペナルティ強化
2021年改正(2022〜2023年施行) 官民に分かれていた関連法を1本に一元化
2026年改正(令和8年・2026年7月成立) 課徴金制度の導入、子ども(16歳未満)の個人情報保護、生体データの保護強化、AI等での統計処理の規律見直し など(施行は2028年ごろ見込み)

さらに、2020年改正法の附則には「施行後おおむね3年ごとに見直す」という規定が置かれました。これがいわゆる3年ごと見直しです。この規定に基づき、個人情報保護委員会は2023年から検討を進め、2026年4月に改正法案が閣議決定されました(令和8年改正)。その後、衆議院・参議院で可決され、2026年7月に成立しています。課徴金制度の導入、16歳未満の子どもの個人情報保護、顔認証などの生体データの保護強化、AIなどでの統計処理に関する規律の見直しが柱で、施行は公布からおおむね2年後、2028年ごろが見込まれています。

最新情報(2026年7月10日)

今回の改正では、AIの開発や統計の作成といった用途に絞って、本人の同意がなくても個人データを外部に提供できる特例が新たに認められました。第三者への提供で原則としてきた本人同意を、特定の用途に限って外す形です。そのぶん、提供する側の企業には情報管理や社内体制の整備がより強く求められ、悪質な不正利用には新設の課徴金制度で対応します。特例をどこまで使えるかは今後のガイドライン次第で、当面は各社が慎重に見極める段階になりそうです。

参考:AI開発への個人情報提供、同意不要に 改正法成立も企業手探り(日本経済新聞、2026年7月10日)

学んでいて強く感じたのは、個人情報保護は一度覚えたら終わりではない、ということです。制度そのものが定期的に見直される前提で作られており、資格を取って終わりではなく、改正を追い続けて初めて意味を持ちます。脆弱性や脅威を日々追いかけるサイバーセキュリティの仕事と、どこか似ています。

保護と活用、そして安全

個人情報保護法は、守るだけの法律ではありません。第1条は、個人情報の有用性に配慮しつつ個人の権利利益を保護すると定めており、匿名加工情報(2015年改正)や仮名加工情報(2020年改正)は、保護しながら活用するための仕組みです。その活用を社会全体で後押しするのが、2016年に公布・施行された官民データ活用推進基本法です。

官民データ活用推進基本法の概要(総務省資料)

引用元
https://www.soumu.go.jp/main_content/000467121.pdf

活用は、保護と安全があって初めて成り立ちます。官民データ活用推進基本法は、基本計画づくりで個人情報保護委員会とサイバーセキュリティ戦略本部の双方に協議すると定め、「サイバーセキュリティ」の定義もサイバーセキュリティ基本法(2014年成立、2015年施行)から引いています。保護(個人情報保護法)、活用(官民データ活用推進基本法)、安全(サイバーセキュリティ基本法)。この3つは互いを前提に組み合わさっています。

課題Ⅱの領域:組織と人で守りを形にする

課題Ⅱでは、個人情報保護の対策と情報セキュリティが問われます。法律で定めた守りを、組織として実際に形にする領域です。

組織の証明:ISMSとプライバシーマーク

組織として適切に守れていることを客観的に示す代表的な仕組みが、ISMS適合性評価制度プライバシーマーク(Pマーク)制度です。この2つはよく「どちらを取るべきか」と比較されますが、実際には相互補完の関係にあります。

ISMS プライバシーマーク(Pマーク)
準拠規格 ISO/IEC 27001(国際規格) JIS Q 15001(国内規格)
保護対象 情報資産全般(機密性・完全性・可用性) 個人情報に特化
認証範囲 部門・事業所単位でも可 事業者(全社)単位
更新 更新審査3年ごと+維持審査毎年 2年ごと

ISMSは情報資産全般を広くカバーする仕組みで、対象範囲を部門単位に絞ることもできます。一方Pマークは、個人情報に絞って深く、全社で守る仕組みです。カバーする範囲がずれているため、どちらか一方が他方を完全に含むわけではなく、両方を取得して補い合う企業も多くあります。これが相互補完と呼ばれる理由です。ISMSさえあればPマークは不要、というわけではありません。

人の証明と、自社の方針の公開

これらが組織の体制を示す認証だとすると、今回合格した個人情報保護士は、人の知識を示す資格といえます。仕組み(組織)と、それを動かす人(個人)です。どちらが欠けても守りは成立しませんし、今回の合格は、その人の側の裏づけを一つ得た、という位置づけです。

フューチャーも、こうした守りの姿勢を明確にしています。当社は、情報セキュリティとプライバシーに関する方針を一般に公開しています。

セキュリティ基本方針では「セキュリティ対策は事業の成功と直結している」「個人情報・情報資産を厳正に保護することは社会的責務」と位置づけ、公開企業として明確な方針を宣言し、対策を確実に実施すると打ち出しています。プライバシーポリシーでは、個人情報保護マネジメントシステムを構築し、利用目的の特定や安全管理措置、本人からの開示請求への対応などを定めています。学んだ条文が、自社の方針にそのまま対応していることも確認できました。

学習方法

学習に使ったのは、公式テキストと、いくつかの問題演習です。過去問集や動画講座、AIツールでの壁打ちなどは使わず、シンプルな構成にしました。

1. 公式テキストで通読・インプット

改訂8版_個人情報保護士認定試験公式テキストの表紙

改訂8版 個人情報保護士認定試験公式テキスト(柴原健次 ほか著/日本能率協会マネジメントセンター)を使いました。2023年施行の改正法に対応しており、課題Ⅰ(法律・マイナンバー)と課題Ⅱ(セキュリティ)の全範囲がこの1冊でカバーされます。まずは通読して全体像を掴み、このテキストに載っている問題演習も解いて理解度を確かめました。

2. 受験申込後のオンライン学習ページ

全日本情報学習振興協会のオンライン学習ページ

引用元
https://www.joho-gakushu.or.jp/piip/

試験に申し込むと案内される公式のオンライン学習ページがあります。ここは要チェックで、出題範囲の最終確認に役立ちました。

なお、受験にまつわる特典やキャンペーンの情報は、全日本情報学習振興協会のX(@joho_gakushu)でも告知されています。受験を検討している方は、あわせて見ておくとよさそうです。

3. Webの問題演習で理解度チェック

シカクモンの問題演習画面

シカクモンという学習サイトを使いました。個人情報保護法やマイナンバー法、情報セキュリティの分野別に問題が無料で解け、本試験(マークシート100問)の形式に近い演習ができます。スキマ時間の反復に重宝しました。

試験を通しての所感

  • 課題Ⅰ(法律)は、個別事案への当てはめが難所:条文や用語を覚えるだけでは足りず、「この事例では法律上どう扱われ、結論はどうなるか」という当てはめの判断が問われます。ここは本来、過去問演習を繰り返して身につけるのが王道だと思います。私は今回、過去問演習まではしませんでしたが、法律パートに不安がある方には過去問中心の対策を強くおすすめします。
  • 課題Ⅱ(対策・情報セキュリティ)は、実務経験がそのまま活きる:脅威と対策、組織的・技術的セキュリティなどが中心で、日頃セキュリティを学んで(あるいは業務で扱って)いれば、比較的やさしく感じられるはずです。

合格後:個人情報保護士会への入会

合格者(認定カードの有効期限内の方)は、一般財団法人 個人情報保護士会に入会できます(入会は任意)。合格者向けの会で、主な特典は次のとおりです。

  • 講演会への無料参加
  • 上級資格の取得支援
  • 書籍の割引販売
  • 学習講座の無料視聴
  • 会員バッジの提供
  • 認定カードの無料更新

費用は以下のとおりです(いずれも税込)。

項目 金額
入会費 11,000円
年会費 13,200円
初年度合計 24,200円

おわりに

試験の2本柱に沿って、個人情報保護をめぐる法律(課題Ⅰ)と対策(課題Ⅱ)を見てきました。守りのルール(個人情報保護法)と、活かすためのルール(官民データ活用推進基本法)が対になっています。組織の仕組み(ISMS・Pマーク)と、それを動かす人の知識(個人情報保護士)がそろって初めて、守りは形になります。今回の学習で、ばらばらに知っていた点が線でつながった感覚があります。

個人情報保護法は3年ごとに見直される、動き続ける領域です。合格をゴールにせず、改正のたびに学び直しながら、サイバーセキュリティの実務に還元していきたいと思います。セキュリティ系資格の受験を考えている方、そして法制度の全体像を短時間で掴みたい方の参考になれば幸いです。