コラム第７３９号：「DF資格認定試験(基礎及び実務者)の紹介」

第７３９号コラム：北條　孝佳　理事
（西村あさひ法律事務所　カウンセル弁護士）
題：「DF資格認定試験(基礎及び実務者)の紹介」

2022年4月1日にDF資格認定WGの座長に就任しました北條です。本コラムでは、当研究会が実施しているDF資格についてご紹介します。

1　DF資格

　DF資格には、デジタル・フォレンジック・プロフェッショナル認定(CDFP)基礎資格(略称：CDFP-B)、実務者資格(略称：CDFP-P)及び管理者資格(略称：CDFP-M)があり、現在、CDFP-B及びCDFP-Pの認定試験を実施しています。

　CDFP-B認定試験は、一定レベルのDF基礎知識を有することを認定する試験であり、DF調査で行われる内容や、DF調査の結果報告書を理解する上で必要なDFの基礎知識を問う問題になっています。対象となる受験者は、DF調査に携わる方のみならず、DFの基礎知識を有するとの評価を得たい方などを想定しています。CDFP-B認定試験の問題は、技術系問題と法律系問題の全40問(4肢択一式)を出題しています。教本は「基礎から学ぶデジタル・フォレンジック」(※1)がありますが、CDFP-B認定試験では、この書籍に加え、他の書籍やノートも持ち込み可能であり、解説講座を視聴することもできます(視聴は任意であり必須ではありません)。2019年9月4日に実施した模擬試験を経て、2020年9月7日に第1回試験を実施しましたが、第1回試験は、定員の上限に達する申し込みがあり、注目の高さがうかがえました。以降、半年ごとにCDFP-B認定試験を実施してきており、2022年9月10日に第4回目の試験を実施しました。

　CDFP-Bの上位資格であるCDFP-P認定試験は、DF調査に関する実務に関して深い知識を有することや実務能力が一定レベルにあることを認定する試験です。対象となる受験者は、インシデント・レスポンスを業態とする企業のDF調査担当者、監査法人や法曹関係者においてDFに関する知識が必要な方及び捜査機関のDF担当官等を想定しています。試験問題は、技術系問題を65問、法律系問題を15問の全80問(4肢択一式)を出題しています。受験者は、技術系問題65問のうち、共通の必須問題を30問回答し、Linux系、macOS系又はスマートフォン系のいずれかの問題を5問選択して回答し、また、サイバー系分野又は不正調査系分野のいずれかの分野の問題を10問選択して回答し、これに、法律系問題15問を加えた計60問を回答します。2021年11月にCDFP-Pのシラバスを公開し、2022年2月12日に実施した模擬試験を経て、同年9月10日に第1回試験を実施しました。

　CDFP-P認定試験の受験者層は、捜査機関を含む官公庁、インシデント・レスポンスを業態とする企業の方が大半ですが、大学関係者や学生の方も受験しています。

　いずれの試験についても、現時点において合格率を公表していませんが、CDFP-B認定試験はDFに関する基礎的な知識があれば難なく合格できます。他方、CDFP-P認定試験は、かなり難易度の高い実務に即した問題を出題しており、また、合格点も高いことから厳しい合格率になっています。しかし、合格者の中には8割以上得点される方もいて、DF能力の高い者を認定できる良問であると考えています。そのため、CDFP-P認定試験に合格された方は高いDF能力があると、自信を持っていただければと思います。

2　改正個人情報保護法等

　近年では、組織内の不祥事事案、情報流出事案及びマルウェア感染事案等において、DF調査は欠かせない状況になってきています。2022年4月1日から施行された改正個人情報保護法は、サイバー攻撃等によって個人データの漏えい等が発生し、又は発生したおそれがある等、一定の事態(以下「報告対象事態」といいます。)が生じた場合には、個人情報保護委員会等への報告義務及び本人への通知義務が課せられるようになりました。個人情報保護委員会への報告には、①概要、②漏えい等が発生し、又は発生したおそれがある個人データの項目、③漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数、④原因、⑤二次被害又はそのおそれの有無及びその内容、⑥本人への対応の実施状況、⑦公表の実施状況、⑧再発防止のための措置、⑨その他参考となる事項を報告する必要があり、これらの事項が判明するよう合理的努力を尽くすことが求められています。

　報告対象事態が発生した場合、個人情報保護委員会へ報告するには、Webフォーム(※2)に記載して報告しますが、当該フォームにおいて、個人情報保護法規則第7条第3号(不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態)に該当する場合、すなわち、サイバー攻撃等による個人データが漏えい等した、又はそのおそれがあるような場合には「外部機関による調査の実施状況」の項目があり、「予定なし」を選択する場合には、「外部機関による調査を実施しない理由」を記載する必要があります。これは、外部機関はDF調査能力が高いと考えられ、サイバー攻撃による個人データが漏えい等した、又はそのおそれのある被害が生じた場合は、合理的努力として(DF調査能力の高い)外部機関による調査を実施することが求められているように思われます。

　また、一般財団法人日本情報経済社会協会が運営するプライバシーマーク制度においても、報告対象事態が発生した場合には、審査機関への報告義務、本人への通知義務及び公表義務が課せられています。そして、PMK500第12条第2項に基づく「個人情報の取扱いに関する事故等の報告書」における「事故等が発生、又は発生したおそれがある個人情報の項目」の対象は、「個人データ」ではなく「個人情報」の数を報告するよう求められており、個人情報保護委員会等への報告よりもカウントする数が増え、詳細な調査が求められているように思われます。

3　情報セキュリティサービス基準

　2022年1月31日に経済産業省から「情報セキュリティサービス基準第2版」が公表されました(※3)。本基準は、情報セキュリティサービスに関する一定の技術要件及び品質管理要件を示し、品質の維持・向上に努めている情報セキュリティサービスを明らかにするための基準を設け、情報セキュリティサービス業の普及を促進し、安心して活用できる環境の醸成を目指しています。デジタルフォレンジックサービスについても審査基準に適合した企業がリストアップされています(※4)。同基準において、「３　デジタルフォレンジックサービスに係る審査基準」の「(1)技術要件」の「ア　専門性を有する者の在籍状況」が掲げられており、例示1-3に定める資格として、デジタル・フォレンジック資格(CDFP-B、CDFP-P及びCDFP-M)が記載されています(※5)。

　このように、DF調査が必要となる場面が増加し、DFサービスを提供する企業の質も求められるようになってきています。DF調査に関する能力があることを認定するためにCDFP-B認定試験及びCDFP-P認定試験を実施していますので、是非活用していただければと考えています。なお、今後は、CDFP-M認定試験を実施するためのシラバスを作成する予定にしています。

　多くの方にDF調査の能力があることを示すDF資格の各認定試験にチャレンジしていただき、DF調査の基礎的な能力を高め、更なる能力向上を図るための機会にしていただければ幸いです。

※1)「基礎から学ぶデジタル・フォレンジック　―入門から実務での対応まで―」