登録開始がアナウンスされてから、「メリットがない」「15万円トラップ」「手続きが煩雑(すぎる)」など、表に出ている反応がほぼ100%否定的な情報処理安全確保支援士制度。
IPAや制度策定にかかわっている関係者にとっては、予想外の反応…というわけでもなくて、おそらく、想定していた範囲なのではないか?と思います。
ただ、今のところ、SNS、ブログ、掲示板などのごく限られた範囲でしか反応がないので、メディア(できれば専門メディアだけでなく一般メディア)に取り上げてもらって、もう少し議論が広がったところで、色々と調整を加えていくことになるのでしょう。
それが、講習の金額で調整されることになるのか、違う方法での更新が認められることになるのか、参加可能な任意の講習・イベントの開催などの方向に行くのかは、今後の反応次第でもあるかな、と思います。
CISSPやCISMのようなCPE制にしていないのも、意図があってのことでしょうが、今後の反応次第では似たような制度が取り入れられないとも限りません。
※CISSP・SSCPやCISA・CISMのCPEが得られる勉強会に参加すると、勉強会のテーマにあまり関心のなさそうな有資格者の方がたくさん参加されることもありますが、「参加してみたら意外と面白かった(興味が沸いた)」という声もあるので、悪いことではないと思います。
いずれにせよ、「資格取得者本人が負担しないコスト」は、税金から支払われるか、講習の場の提供に関わる組織や人員の「持ち出し」(ボランティアという名のブラック労働?)で賄われることになるので、講習費が値下げされるとすれば、ある程度、国民の理解を得ておく必要があるでしょうね。
大企業なら内部にセキュリティ人材を抱えることもできますが、中小企業や小規模な地方自治体では「セキュリティはITベンダ頼み」なのが実情ともいえるので、まずは大企業やITベンダ優先で制度の浸透を図ろう(年5万円が出せない個人にはしばらくガマンしてもらおう)、という形で始まったのだとしても、ある程度致し方ないのかなとは思っています。
人が少ないこともあってか、日本のセキュリティクラスタの人たちは、産・学・官の間であまり壁がなくて「2-hopでほとんどの相手と繋がる」世界だそうなので、方針が決まれば、そこそこ動きは速いと思います。
だからこそ、下手な決定をすると「癒着」が疑われかねない、ということにもなるのでしょうが。