個人情報保護士を取った

会社で受験料等の補助があったので個人情報保護士の資格を取った。この記事では勉強に使ったテキストや勉強法、勉強時間などについて解説する。

個人情報保護士とは

個人情報保護士は、個人情報の保護に精通し、適正な取扱や安全管理を身に付けたエキスパートである証明です。

https://www.joho-gakushu.or.jp/piip/

この資格の試験では、個人情報保護法・マイナンバー法といった法律の知識と、個人情報を守るために必要な情報セキュリティマネジメントの知識を問われる。法律とセキュリティのそれぞれで50問出題され、それぞれで正答率70%を超える必要がある。法律だけ・セキュリティだけでは合格できず、幅広い知識が必要。

自分は2023年6月18日に開催された第71回を受験し、自己採点では課題1(個人情報保護の総論)は44/50、課題2(個人情報保護の対策と情報セキュリティ)は48/50だった。

テキスト&過去問

一般に試験で合格するには過去問を繰り返し解くことが有効といわれる。本試験においてもそれは間違いないのだけど、分野によっては前提となる知識が足りずスムーズに過去問を解けないこともあると思う。なので、テキストを読みながら並行して過去問を解き進めるのが良い。

公式/公認のテキストと過去問集はいくつか出版されているが、過去問集は『改訂5版 個人情報保護士認定試験公式精選過去問題集』が収録問題数が300問と多く、公式テキストと対応した章立てになっているのでおすすめ。

この本に掲載されている過去問が全て解けるようになれば、合格ラインは十分に超えると思う。

自分は『改正法対応 個人情報保護士認定試験 公式過去問題集』も半分くらい解いた。しかし、重複している問題も多いので、過去問集を何冊もやる必要はない。

テキスト・過去問の進め方としては、課題1(法律関係)と課題2(情報セキュリティ関係)を並行して進めていくのが良い。この試験は両方の課題で合格ラインを超える必要があるので、いずれの対策もおろそかにはできない。その上で、(可能であれば)得意分野はさらっと流して、苦手分野に集中的に時間を使うのが効率的な学習のコツだと思う。

条文・ガイドライン

個人情報保護法は、法律の条文をベースに、細かい部分は施行令・施工規則で定め、ガイドラインで解説するという構成を取っている。試験の出題範囲にはこれらが含まれるが、テキストがこれら全てを網羅しているわけではない(テキストは基本事項や出題頻度の高い項目に重点を置いている)。

そこで、過去問を解き進める際には、必要に応じて、以下のような条文やガイドラインを参照する必要がある。

「ガイドライン」は、試験問題の元ネタになっていることが多いので、テキストを読み終わったらガイドラインを読んでみることをおすすめしたい。ただし、全部読まないと合格できないというものではない。過去問を解いていて、気になったところを調べるために読む、といった使い方で良い。

「基本書」は必要?

法学を学んだことのある人なら、法律は「基本書」で学ぶものという認識を持っている人も多いと思う。基本書とは、法学者や立法関係者などの有識者が書いた、法律の解説書のこと。実際、個人情報保護法についても基本書は複数出版されている。

しかし、個人情報保護士の合格のために基本書を読む必要があるかは疑問。試験対策の観点では、ガイドラインを読み込んだ方が効率的だと思う。

その他の法律について

課題2では、刑法、不正アクセス防止法、特定電子メール法、不正競争防止法、著作権法など、情報セキュリティに関係のある法律についても出題される。これらについては個人情報保護法やマイナンバー法ほどの理解は求められないので、過去問を一通り解いて対策しておけば十分だと思う(逆に、それ以上の対策をするのは効率が悪い)。

副読本

受験者によっては、法律を学ぶのが初めてということもあると思う。そういう人におすすめなのが『元法制局キャリアが教える 法律を読む技術・学ぶ技術 [改訂第4版]』。本書の冒頭では、そもそも法律を学ぶとはどういうことか解説されている。法律を学ぶことは、個々の条文の文言を暗記することではない。より重要なのは、条文の背景にある考え方(趣旨)を理解すること。本書の言葉で言うと、リーガルマインドを養うこと、となる。実際、個人情報保護法の学習においても、個々の規定の背景にある考え方を理解することが重要だと感じた。

本書は他にも、基本的な条文の読み方、法律・命令・規則の関係、一般法と特別法など、個人情報保護法を学ぶ前に知っておいた方が良い知識が解説されている。ただし、個人情報保護法とは関係のない内容も多いので、試験まで時間がある人は読めば良いという程度。

一方、情報セキュリティ関係の知識に自信がないという人もいると思う。実は、情報セキュリティ関係の問題で問われる事項は情報セキュリティマネジメント試験で問われる事項と似ている(個人情報保護士がマネジメント寄りなのに対し、情報セキュリティマネジメント試験は技術寄りという点に違いはある)。過去問を解いていて、よくわからない技術用語が出てきたときは、以下のような情報セキュリティマネジメント試験のテキストを読んでみると良いかもしれない。

学習時間

2ヶ月間、ほぼ毎日1時間程度勉強したので、トータルで50時間くらいは勉強したと思う。合格ラインを超えるという観点からすると、やや過剰な勉強をした印象。ただ、自分の場合は仕事柄、情報セキュリティ関係の知識はあったし、法学もさわりくらいは知っていた。個人情報保護法と情報セキュリティの両方を並行して勉強しようとしたら、最低でも30時間くらいはかかると思う。

『UNIXという考え方』を読んだ

UNIXという考え方―その設計思想と哲学

『UNIXという考え方』は、UNIXというOSがどのような考え方で設計されているか解説した本。

2023年現在、UNIX系OSであるLinuxはサーバの世界を支配している。一方で、クライアントの世界においても、UNIX系OSは広く使われている。iOSやAndroidはもちろん、ゲームコンソールでもUNIX系OSが採用されることは多い。Windowsは今でも大きなシェアを持っているが、以前ほどの支配的な立場にはない。

UNIX系OSはなぜこれほど成功したのか? その理由はさまざまに考えられるが、一つの要因に「UNIXの考え方」があるのは間違いないだろう。本書では、「UNIXの考え方」をいくつかの定理にして紹介している。

それらの定理を簡単にまとめると、小さなプログラムをいくつも組み合わせて連携させることで、「梃子の原理」でアプリケーションを作り上げる、ということになると思う。

UNIXでは、単機能のプログラムが大量に用意されている。それらは「フィルタ」として動作するよう作られているので、簡単に組み合わせることができる。UNIXに習熟したユーザは、これらのプログラムを組み合わせて、自由に高機能なプログラムを作ることができる。UNIXがコンピュータのプロに愛用されているのはこのような理由だろう。

一方で、UNIXでは「自分の足を自分で撃ち抜く」ことが簡単にできる。単純なコマンド一つでコンピュータを完全にめちゃくちゃにすることができる。このような自由はコンシューマ向けOSではトラブルの元になるため、モバイル機器やゲームコンソールのOSは、ユーザのできることを大幅に制限している。これらのOSは、UNIX系OSをベースにしているものの、本書でいうところの「OpenVMS的な考え方」で作られている。

UNIXの哲学を学ぶことで、UNIX系OSをうまく使えるようになることが期待できる。そういう意味で、コンピュータのパワーユーザを目指す人であれば読んで損はないと思う。ただし、本書はあくまで「考え方」を解説した本である。明日からの仕事に役立てられる人はそう多くないと思う。より実用性を求める場合は『達人プログラマー』などを読んだ方が良いかもしれない。

『ソフトウェア品質を高める開発者テスト』を読んだ

ソフトウェア品質を高める開発者テスト 改訂版 アジャイル時代の実践的・効率的でスムーズなテストのやり方

『ソフトウェア品質を高める開発者テスト』は、テストを通してソフトウェアの品質を上げるための方法論について解説した書籍。

テストに関する書籍の中には、ソフトウェアテスト技術者をターゲットにしたものが多いが、本書はソフトウェア開発者をターゲットにしている点が特徴。

ある程度大きなチームでソフトウェアを開発している場合、ソフトウェアを開発するチームとは別にテストを担当するチーム(いわゆるQAチーム)がいることが多い。

そのような環境では、QAがソフトウェアの品質を守るゲートキーパーの役割を果たすことが少なくない。しかし、QAチームによるテストでバグを見つけて修正することは効率が悪い。なぜなら、ソフトウェアのバグを修正するコストは、下流工程ほど高くなるから。したがって、バグはできる限り要求仕様やコーディングの段階で修正することが望ましい。

しかし、現実にはそのような開発体制が取れていることは少ない(と著者は述べている)。では、どのようにしてソフトウェアの品質を上げ、開発効率を改善していくか、というところが本書の主題になる。

本書の提唱する手法のうち、最も効果が高く、ぜひとも導入すべきなのは単体テストである。本書では、単体テストを「関数の網羅率を計測しロジックの確らしさを確認するホワイトボックステスト」と定義している。コードの品質を上げるためには単体テストは欠かせない。また、単体テストがちゃんと書けていることを確認するには、カバレッジの計測が必要だし、アサーションをちゃんと書いていることをレビューする必要もある。十分なカバレッジを確保できていれば、ミューテーションテストを使って単体テストの抜け漏れを確かめることもできる。

では、どの程度のカバレッジを目指すべきなのか? この点、本書は「C1カバレッジ(分岐網羅)で80%」という数字を提唱している(医療や自動車などミッションクリティカルなソフトウェアは「100%」)。この数字は決して低くはなく、レガシーアプリケーションにテストを追加しようとする場合には絶望的な数字に思える。そのような場合は、本書でも紹介されているHotSpotという手法を用いて、最もバグの出る可能性の高い部分から単体テストの追加を始めることが望ましい。

単体テストに加えて実施すべき手法としては、コードの静的解析による複雑度の計測とリファクタリング、コードレビュー、ペアプログラミングなどがある。

これらの手法でコードの品質を高めれば、システムテストで検出されるバグの数は少なくなる。そこで、システムテストを大胆に省略し、探索的テストによって効率的にテストした上でリリースする、という状態まで持っていくことができれば、本書のゴールは達成できたことになる。

ソフトウェアの品質に悩んでいる開発者はもちろん、もっと素早く効率的に開発したいと思っている開発者も、一読をお勧めしたい。

『The DevOps 逆転だ!』を読んだ

The DevOps 逆転だ!究極の継続的デリバリー

『The DevOps 逆転だ!』は、ITに問題を抱えている企業が、ITを我が物として業績を上げていくまでの物語。原書は2013年、邦訳は2014年。

タイトルに「DevOps」とあったり副題が「究極の継続的デリバリー」だったりと日本語版のタイトルにはバズワードが盛り込まれているが、原書のタイトルは “The Phoenix Project: A Novel about IT, DevOps, and Helping Your Business Win” というもの。

実際、本書の中でDevOpsが登場するのはかなり後半で、デリバリーの速度を上げるための施策として登場するに過ぎない。それよりも前の段階で、まず混乱したITの立て直しが行われる。

ここで登場するのがゴールドラットの制約理論。本書の前半ではIT運用のボトルネックを特定し、それを改善するために頭をひねることになる。さらに、ITとビジネスを緊密に結びつけることで会社が業績を上げるためにITを活用できるようになっていく。

主人公が務めるパーツ・アンリミテッドは自動車部品を製造している企業で、主人公は工場の製造ラインの最適化の方法からさまざまな学びを得てITを改善していく。このような筋書きを見ると思い浮かぶ言葉は「DX」で、実際いまこの本が出版されるならタイトルにこのキーワードが盛り込まれると思う。

このように、本書は制約理論やDevOpsを学ぶための参考書なのだが、ITを題材にした小説としても一級品の出来になっている。特に面白いのは前半で繰り広げられるトラブルの山。会計システムの不具合によって給与が支払えなくなったり、電話システムが壊れて顧客と連絡ができなくなったり、POSシステムが動かなくなってクレジットカード決済を手動でやったりと、とにかく大量の障害に振り回される。そんな中でもなんとか秩序を取り戻そうと奮闘する主人公をついつい応援してしまう。

DevOpsや継続的デリバリーについて学びたくて本書を手に取ると、前置きが長くてまだるっこしく感じられると思う。しかし、これらを支える理論的背景を学ぶことができる本書は、自分にとっては学びの多い内容だった。次は『ザ・ゴール』を読んでみたい。

ザ・ゴール

『System Design Interview – An insider’s guide』を読んだ

System Design Interview – An insider's guide (English Edition)

『System Design Interview – An insider’s guide』は、ITエンジニアの採用面接における「システムデザイン面接」への対策方法を解説した書籍。

システムデザイン面接とは、例えば「Facebookのようなニュースフィードシステムを設計してください」とか「チャットシステムを設計してください」といった問題について回答する面接のこと。

日本語でシステムデザイン面接対策を謳った書籍は見たことがないので、日本でこういった質問をする企業はまだ多くないと思われる。しかし、海外では一般化しており、対策書がいくつも出版されている。その中でも、Alex Zu氏による本書は、定番書として人気がある。

この種のコンテンツとしてはSystem Design Primerというオープンソースのコンテンツも人気があり、日本語訳もされている。しかし、個人的には書籍というフォーマットが好きなので、本書を手に取ってみた。

本書は、通して読むことでシステムデザインの基本的な考え方(仕様の明確化、見積もり、スケールさせ方など)が身に付くようになっている。システムデザインのキモは、要件に合わせて適切な技術を選択し、スケールするシステムを設計するところにある。

例えば、Webサービスで利用可能なクライアント・サーバ間の通信技術には色々あるが、チャットのように双方向のコミュニケーションが求められるサービスにはWebSocketが適している。一方で、オンラインステータスの確認のような要件では、双方向通信は要らないのでLong Pollingが適している。このような考え方は、面接だけでなく、業務でシステムを設計するときにも活かすことができる。

英語は平易で読みやすく、英語の技術書に挑戦してみたい、という人にもおすすめできる。

なお、本書のコンテンツはByteByteGoというサイトでオンラインでも提供されている。全てのコースを見るにはサブスクリプション(¥8,291/年)が必要だが、一部のコンテンツは無料で公開されているので、雰囲気をつかみたい人はまずByteByteGoを覗いてみると良いと思う。

ByteByteGoには書籍2冊分(本書『System Design Interview – An insider’s guide』と続編の『System Design Interview – An Insider’s Guide: Volume 2』)のコンテンツがあるので、腰を据えて取り組むつもりならByteByteGoのサブスクリプションに登録するのもおすすめ。