試験に合格したのに、登録しない。
登録したのに、更新しない。
IPA(情報処理推進機構)の情報セキュリティ白書2025によると、情報処理安全確保支援士試験の合格者のうち、6割以上は登録セキスペへの登録がされていません。試験に受かった10人のうち6人以上が、資格を「持っていない状態」を選んでいます。
この状況を「本人のやる気の問題」として片付けることはできます。しかしもう少し現場に近い視点で見ると、別の構造が見えてきます。
3年間で約14万円という維持費を、個人が社内で稟議を通すことの難しさです。「高いから更新しない」のではなく、「自分の裁量で決められないから、更新という選択肢を取れない」という状況が、多くの合格者を未登録のまま押しとどめている可能性があります。
同白書では、登録を消除した登録セキスペへのアンケートで「メリットがない」「金銭的な負担が大きい」「転職・異動・業務上不要」というコメントが目立つと報告されています。「維持費が高い」という問題の根底には、組織として資格の価値を位置づけていないという設計の問題がある可能性があります。
本記事では、情報処理安全確保支援士の維持費の実態と2026年からの制度変化を確認した上で、「高い」と判断される背景にある構造と、組織として維持費を負担する方針に切り替えることの論拠を整理します。
この記事でわかること
- 情報処理安全確保支援士の維持費の内訳と2026年みなし受講制度による変化
- 維持費が「高い」と判断される背景にある個人稟議の構造
- 組織として維持費を負担することの5つの論拠
- 「個人の稟議問題」から「組織方針」へ切り替える判断軸
情報処理安全確保支援士の維持費|内訳と2026年からの変化
維持費の内訳:3年間で何にいくらかかるか
情報処理安全確保支援士の維持には、以下の費用が必要です。
| 費用項目 | 金額 | 頻度 |
|---|---|---|
| オンライン講習 | 約2万円 | 毎年(3年間で約6万円) |
| 実践講習(IPAまたは特定講習) | 約8万円 | 3年に1回 |
| 合計(3年間) | 約14万円 | |
| 初回登録時のみ(登録免許税・手数料) | 約2万円 | 初回のみ |
この金額の妥当性については、情報処理安全確保支援士は意味ないのかでも触れていますが、問題は金額そのものより「誰が負担するか」の判断が組織の中に存在しないことにあります。
2026年4月から変わった部分:みなし受講制度の新設
2026年4月より、「みなし受講制度」が新設されました。
所定の実務経験を持つ登録者については、3年に1回の実践講習をオンライン講習で代替できるようになっています。対象となる実務は、サイバーセキュリティ関連業務に6か月以上(主業務の場合)または1年以上(業務の一部の場合)携わっていることが条件です。
実務に携わっている登録者にとっては、3年間の費用がオンライン講習のみの約6万円に圧縮される可能性があります。「3年14万円」という前提自体が、2026年以降は変わりつつあります。
維持費負担の現状:個人か組織かで結果が変わる
維持費を個人が全額負担する場合、年間約4〜5万円が手取りから出ていくことになります。これは「自己研鑽への投資」として割り切れる金額ではありますが、会社の業務として資格を活用している場合、個人負担という整理には無理があります。
一方、会社が負担する場合は経費として処理でき、社員にとっての実質的な負担はゼロになります。同じ14万円でも、「誰が払うか」によって更新するかどうかの判断が大きく変わります。この差が、合格者の6割以上が未登録という状況の一因になっている可能性があります。
情報処理安全確保支援士の維持費が高いと判断される構造
なぜ個人が稟議を通すことは難しいのか
維持費が「高い」と感じられる主な理由は、金額そのものより個人が社内で稟議を通す難しさにあるかもしれません。
典型的な場面を想定すると、こうなります。試験に合格した社員が「登録・更新の費用を会社に負担してほしい」と申請しようとする。しかし、資格補助制度が「合格時の一時金」として設計されていて、維持費は対象外になっている。担当窓口が人事なのか情シスなのか不明確で、誰に相談すればいいかも分からない。結果として、「自費で払うか、更新を諦めるか」という二択に追い込まれる。
この状況は個人のスキル不足ではなく、組織が維持費という継続コストを制度として位置づけていないことから生まれています。
IPA情報セキュリティ白書2025では、登録を消除した登録セキスペへのアンケートで「メリットがない」「金銭的な負担が大きい」「転職・異動・業務上不要」というコメントが目立つと報告されています。「金銭的な負担が大きい」という声は、維持費の絶対額の問題であると同時に、組織として負担する仕組みがないことへの不満として読むことができます。
ROIが見えないと経営の優先順位が上がらない
もう一つの問題は、セキュリティ投資のROIが見えにくいことです。
営業研修なら売上への貢献、技術研修なら開発速度の向上という形で効果を数値化できます。しかしセキュリティ人材の維持費は「何も起きなかった」が成果です。経営に対して「この14万円を出した結果、何が変わったか」を示すことが構造的に難しい。
担当者が「14万円は妥当だ」と判断していても、経営を動かせる根拠を言語化できないとき、維持費は「理由のないコスト」として棚上げされやすくなります。結果として稟議が通らず、社員が更新を諦める。この構造が繰り返されます。
合格と維持を別物として扱う制度設計が問題を固定化する
多くの企業の資格補助制度は「合格時に一時金を支給する」という設計です。この設計では、維持費は制度の対象外になります。
合格は一度きりのイベントですが、維持は3年ごとに繰り返されます。この二つを同じ枠組みで考えていない組織では、合格者が更新のたびに「自腹か諦めか」の判断を迫られることになります。資格補助制度の設計方法でも整理していますが、制度が「取得」にしか対応していない場合、維持の問題は永続的に個人に押しつけられます。
維持費14万円を組織が負担する5つの論拠
「個人の稟議問題」として扱い続けることで、組織は何を失うでしょうか。以下に、経営への説明材料として使える5つの論拠を整理します。
論拠①|インシデント発生時のコストとの比較
サイバーインシデントが発生した場合の損失は、対応コスト・業務停止・信頼毀損を含めると一般的に数百万〜数千万円規模になります。業種や企業規模を問わず、サプライチェーン経由での攻撃が増えており、取引先の中小企業が突破口になるケースも報告されています。IPA情報セキュリティ白書2025でも、サプライチェーンや委託先を狙った攻撃は7年連続で「情報セキュリティ10大脅威」の上位にランクされており、中小企業にとって他人事ではありません。
3年で14万円(みなし制度適用なら約6万円)の維持費は、1件のインシデント対応費用と比較すれば、リスクヘッジのコストとして捉え直すことができます。問いを「14万円は高いか」ではなく「インシデント1件と比べてどちらが高いか」に置き換えると、判断の軸が変わります。
論拠②|取引要件・入札要件としての直接的な事業価値
経済産業省の一部補助金では、工場のサイバーセキュリティ対策の要件として「情報処理安全確保支援士またはこれと同等以上の知識・技能を有する者の配置または活用」が明記されています。また官公庁や大手企業が発注する案件では、資格保有者が在籍している企業が入札で有利になる傾向がすでに見られます。
「この資格を持つ社員がいることで取れる仕事がある」という論拠は、ROIが見えにくいというセキュリティ投資の弱点を補います。維持費が新規案件獲得の条件になり得るなら、投資としての判断は変わってきます。
論拠③|セキュリティ対策評価制度(★制度)への対応コストとの比較
経済産業省が設計を進めているサプライチェーン向けセキュリティ対策評価制度(★3〜★5)は、2026年度末頃の制度開始を目指しています。★3の取得には登録セキスペ等の専門家による確認署名が必要であり、外部コンサルを活用すると別途費用が発生する可能性があります。
社内に情報処理安全確保支援士がいれば、その知見を活かして内製対応できる部分が増えます。外部コストの削減という視点から見ると、維持費の位置づけが変わります。
論拠④|人材定着コストとの比較
IPA情報セキュリティ白書2025によると、2024年12月のセキュリティ人材の転職求人倍率は54倍に達し、IT業界における順位が1位となっています。セキュリティ人材は市場で極めて希少であり、採用コストは一般的に数百万円規模になります。
情報処理安全確保支援士を持つ社員に対して維持費を会社が負担することは、その人材を引き留めるための投資としても機能します。「会社が資格の価値を認めている」という経験は、社員のエンゲージメントに影響します。14万円を「個人負担」と「会社負担」で扱うことの差が、3年後の在籍率に影響する可能性があります。
論拠⑤|みなし受講制度による実質コストの低下
2026年4月からのみなし受講制度により、実務に携わっている登録者は約6万円(オンライン講習のみ)で更新できる可能性があります。「3年14万円」という前提で稟議が否決された組織でも、「実務者は3年6万円」という新しい前提で再検討する余地があります。
制度が変わったことを経営に伝えること自体が、維持費の方針を見直すきっかけになることがあります。
まとめ|維持費の問いは「高いか安いか」より「誰が判断するか」
情報処理安全確保支援士の維持費が「高い」と言われる背景には、金額の問題より先に、組織として判断の仕組みを持っていないという問題があります。
IPA情報セキュリティ白書2025によると、登録セキスペは2025年4月1日時点で23,751人。2030年までに5万人という目標達成には、現状から倍以上の登録者が必要です。その達成に向けた施策として、みなし受講制度の新設・維持コストの低減・登録セキスペの活躍の場の拡大が政策的に進められています。しかし制度整備だけでは不十分で、組織として維持費を負担する方針を持つ企業が増えなければ、登録者数の増加は進みません。
個人が稟議を取りにくい構造のまま放置すると、合格者は「更新を諦める」か「自費で払い続ける」かという消耗戦に置かれます。前者は組織のセキュリティ専門性が失われることを意味し、後者は優秀な社員に余計な負担を与え続けることを意味します。どちらも組織にとって望ましい帰結とは言いにくい。
一方、「組織として必要な資格」と方針を決めて決済を簡易化すると、何が変わるでしょうか。更新のたびに稟議を取る必要がなくなります。社員が「この資格は会社に認められている」と実感できます。2026年のみなし受講制度を活用すれば、実質コストは当初より下がる可能性があります。
一度確認してみる価値があることがあります。「自社で情報処理安全確保支援士を持つ社員の維持費は、組織として方針を決めて処理されているでしょうか。それとも更新のたびに個人が稟議を取りに来る仕組みになっているでしょうか」
その問いに答えにくさを感じるとき、14万円の是非より先に、判断の仕組みを作る余地があるかもしれません。
コメント