CIPM 試験問題 76
シナリオ
次の質問に答えるには、以下を使用してください。
Martin Briseno は、米国のホテル チェーン、パシフィック スイーツのキャニオン シティ拠点の人事ディレクターです。1998 年、ブリセノはホテルの現場での指導モデルを、ライン職から監督職に昇進する従業員向けの標準化されたトレーニング プログラムに変更することを決定しました。彼は一連のレッスン、シナリオ、評価で構成されるカリキュラムを開発し、それを小グループに直接提供しました。このトレーニングへの関心が高まり、Briseno は企業の HR 専門家やソフトウェア エンジニアと協力してプログラムをオンライン形式で提供するようになりました。オンライン プログラムにより、トレーナーの費用が節約され、参加者は自分のペースで教材に取り組むことができました。
ブリセノ プログラムの成功について聞いたパシフィック スイーツのコーポレート バイス プレジデント、マリアンヌ シルバ ヘイズ氏は、トレーニングを拡大し、全社的に提供しました。プログラムを修了した従業員は、パシフィック スイーツ ホスピタリティ スーパーバイザーの認定を受けました。2001 年までに、このプログラムは業界全体にトレーニングを提供するまでに成長しました。全国のホテルの従業員は、オンラインでサインアップし、料金を払ってコースを受講することができます。
このプログラムの収益性が高まるにつれ、パシフィック スイーツは派生ビジネスであるパシフィック ホスピタリティ トレーニング (PHT) を開発しました。PHT の唯一の焦点は、ホスピタリティ業界における多数の専門資格を提供するさまざまなオンライン コースとコース進行の開発とマーケティングでした。
PHT でユーザー アカウントを設定することにより、コース参加者は情報ライブラリにアクセスし、コースにサインアップし、コース終了後の認定テストを受けることができます。ユーザーが新しいアカウントを開設すると、ユーザーの名前、生年月日、連絡先情報、クレジット カード情報、雇用主、役職などのすべての情報がデフォルトで保存されます。登録ページには、ユーザーがクリックしてクレジット カード番号を保存しないようにできるオプトアウトの選択肢が用意されていました。ユーザー名とパスワードが確立されると、ユーザーは戻ってコースのステータスを確認し、認定資格を確認して再印刷し、新しいコースにサインアップして支払いを行うことができます。2002 年から
2008 年、PHT は 700,000 を超える専門認定資格を発行しました。
PHT の利益は、業界の縮小と e ラーニング プロバイダーとの競争激化の犠牲となり、2009 年と 2010 年に減少しました。2011 年までに、パシフィック スイーツはオンライン認証事業から撤退し、PHT は解散しました。
トレーニング プログラムのシステムと記録は、アクセスも使用もされずにパシフィック スイーツのデジタル アーカイブに残されました。ブリセノ氏とシルバ-ヘイズ氏は他の会社に転職し、プログラム終了後にアーカイブされたデータを扱う計画はありませんでした。PHT の解散後、パシフィック スイーツの幹部は重要な日常業務に注意を向けるようになりました。彼らは、資源が許せばPHT材料を扱うことを計画していました。
2012 年、パシフィック スイーツのコンピューター ネットワークがハッキングされました。オンライン予約システムにインストールされたマルウェアにより、ホテル宿泊客数百人のクレジット カード情報が流出しました。ハッカーは予約サイトの財務データを標的にしている一方で、アーカイブされたトレーニング コース データと Pacific Hospitality Training の顧客の登録アカウントも発見しました。ハッキングの結果、最近のホテル宿泊客のクレジット カード番号が流出し、PHT データベースとそのすべての内容が流出しました。
パシフィック スイーツのシステム アナリストは、活動レポートの定期的なスキャンで情報セキュリティ侵害を発見しました。パシフィック スイーツはクレジット カード会社と最近宿泊した宿泊客に直ちに違反を通知し、深刻な被害の防止に努めました。技術セキュリティ エンジニアは、PHT データの処理という課題に直面していました。
PHT コース管理者と IT エンジニアには、情報を追跡、カタログ化、保存するためのシステムがありませんでした。Pacific Suites にはデータ アクセスとストレージに関する手順が定められていますが、PHT の設立時にはこれらの手順は実装されていませんでした。PHT データベースがパシフィック スイーツに買収されたとき、そのデータベースには所有者も監督者もいませんでした。技術セキュリティ エンジニアがどの個人情報が侵害されたかを特定するまでに、少なくとも 8,000 人のクレジット カード所有者が詐欺行為の被害者になる可能性がありました。
強力なデータ ライフ サイクル管理ポリシーがあれば、侵害の防止にどのように役立ったでしょうか?
次の質問に答えるには、以下を使用してください。
Martin Briseno は、米国のホテル チェーン、パシフィック スイーツのキャニオン シティ拠点の人事ディレクターです。1998 年、ブリセノはホテルの現場での指導モデルを、ライン職から監督職に昇進する従業員向けの標準化されたトレーニング プログラムに変更することを決定しました。彼は一連のレッスン、シナリオ、評価で構成されるカリキュラムを開発し、それを小グループに直接提供しました。このトレーニングへの関心が高まり、Briseno は企業の HR 専門家やソフトウェア エンジニアと協力してプログラムをオンライン形式で提供するようになりました。オンライン プログラムにより、トレーナーの費用が節約され、参加者は自分のペースで教材に取り組むことができました。
ブリセノ プログラムの成功について聞いたパシフィック スイーツのコーポレート バイス プレジデント、マリアンヌ シルバ ヘイズ氏は、トレーニングを拡大し、全社的に提供しました。プログラムを修了した従業員は、パシフィック スイーツ ホスピタリティ スーパーバイザーの認定を受けました。2001 年までに、このプログラムは業界全体にトレーニングを提供するまでに成長しました。全国のホテルの従業員は、オンラインでサインアップし、料金を払ってコースを受講することができます。
このプログラムの収益性が高まるにつれ、パシフィック スイーツは派生ビジネスであるパシフィック ホスピタリティ トレーニング (PHT) を開発しました。PHT の唯一の焦点は、ホスピタリティ業界における多数の専門資格を提供するさまざまなオンライン コースとコース進行の開発とマーケティングでした。
PHT でユーザー アカウントを設定することにより、コース参加者は情報ライブラリにアクセスし、コースにサインアップし、コース終了後の認定テストを受けることができます。ユーザーが新しいアカウントを開設すると、ユーザーの名前、生年月日、連絡先情報、クレジット カード情報、雇用主、役職などのすべての情報がデフォルトで保存されます。登録ページには、ユーザーがクリックしてクレジット カード番号を保存しないようにできるオプトアウトの選択肢が用意されていました。ユーザー名とパスワードが確立されると、ユーザーは戻ってコースのステータスを確認し、認定資格を確認して再印刷し、新しいコースにサインアップして支払いを行うことができます。2002 年から
2008 年、PHT は 700,000 を超える専門認定資格を発行しました。
PHT の利益は、業界の縮小と e ラーニング プロバイダーとの競争激化の犠牲となり、2009 年と 2010 年に減少しました。2011 年までに、パシフィック スイーツはオンライン認証事業から撤退し、PHT は解散しました。
トレーニング プログラムのシステムと記録は、アクセスも使用もされずにパシフィック スイーツのデジタル アーカイブに残されました。ブリセノ氏とシルバ-ヘイズ氏は他の会社に転職し、プログラム終了後にアーカイブされたデータを扱う計画はありませんでした。PHT の解散後、パシフィック スイーツの幹部は重要な日常業務に注意を向けるようになりました。彼らは、資源が許せばPHT材料を扱うことを計画していました。
2012 年、パシフィック スイーツのコンピューター ネットワークがハッキングされました。オンライン予約システムにインストールされたマルウェアにより、ホテル宿泊客数百人のクレジット カード情報が流出しました。ハッカーは予約サイトの財務データを標的にしている一方で、アーカイブされたトレーニング コース データと Pacific Hospitality Training の顧客の登録アカウントも発見しました。ハッキングの結果、最近のホテル宿泊客のクレジット カード番号が流出し、PHT データベースとそのすべての内容が流出しました。
パシフィック スイーツのシステム アナリストは、活動レポートの定期的なスキャンで情報セキュリティ侵害を発見しました。パシフィック スイーツはクレジット カード会社と最近宿泊した宿泊客に直ちに違反を通知し、深刻な被害の防止に努めました。技術セキュリティ エンジニアは、PHT データの処理という課題に直面していました。
PHT コース管理者と IT エンジニアには、情報を追跡、カタログ化、保存するためのシステムがありませんでした。Pacific Suites にはデータ アクセスとストレージに関する手順が定められていますが、PHT の設立時にはこれらの手順は実装されていませんでした。PHT データベースがパシフィック スイーツに買収されたとき、そのデータベースには所有者も監督者もいませんでした。技術セキュリティ エンジニアがどの個人情報が侵害されたかを特定するまでに、少なくとも 8,000 人のクレジット カード所有者が詐欺行為の被害者になる可能性がありました。
強力なデータ ライフ サイクル管理ポリシーがあれば、侵害の防止にどのように役立ったでしょうか?
CIPM 試験問題 77
シナリオ
次の質問に答えるには、以下を使用してください:
おそらく、ジャック・ケリーは米国に留まるべきだった。彼は、特定の「不正」オフィスの改革に携わった功績により、特別取扱い輸送会社内で絶大な評判を得ている。昨年、警察のおとり捜査により、米国ロードアイランド州プロビデンスの事務所で麻薬組織が活動していることが判明したというニュースが流れた。報道機関に流出した同事務所のビデオ監視カメラの映像には、特別対応職員と潜入捜査員の間で薬物交換が行われている様子が映っていた。
この事件を受けて、ケリーは上層部が犯罪分子に違法取引を許していると信じていた「手を出さない」文化を変えるためにプロビデンスに派遣されていた。ケリーの指導の下で数週間後、オフィスは効率性と顧客サービスのモデルになりました。ケリーは、元同僚の違法行為を記録したのと同じカメラを使用して、従業員の活動を監視しました。
現在、ケリー氏は、もう一つの問題点であるアイルランドのコークにあるオフィスの立て直しを任されている。同社は、従業員が無人でオフィスを離れたという多数の報告を受けている。ケリーが到着すると、スタッフはその場にいても、携帯電話で社交や個人的な用事を行って一日を過ごすことが多いことに気づきました。再び、彼は監視カメラを使用して彼らの行動を観察しました。彼はビデオの初日だけを根拠に、6人のスタッフに書面による叱責を発行した。
ケリー氏は非常に驚き、残念に思ったが、彼と同社は現在、従業員のプライバシー権を侵害した疑いでアイルランドデータ保護委員会の捜査を受けている。ケリー氏は、同社のカメラのライセンスには施設のセキュリティが主な用途として記載されていると聞かされたが、これがなぜ重要なのかは分からない。同氏は上司に対し、プライバシー保護とデータ収集に関する同社の研修プログラムでは監視ビデオについては何も言及されていないと指摘した。
あなたはプライバシー保護コンサルタントであり、この事件を評価し、法的およびコンプライアンス上の問題について報告し、次のステップを推奨するために会社に雇われています。
規制当局が現在調査中であることを知った場合、取るべき最善の措置は何でしょうか?
次の質問に答えるには、以下を使用してください:
おそらく、ジャック・ケリーは米国に留まるべきだった。彼は、特定の「不正」オフィスの改革に携わった功績により、特別取扱い輸送会社内で絶大な評判を得ている。昨年、警察のおとり捜査により、米国ロードアイランド州プロビデンスの事務所で麻薬組織が活動していることが判明したというニュースが流れた。報道機関に流出した同事務所のビデオ監視カメラの映像には、特別対応職員と潜入捜査員の間で薬物交換が行われている様子が映っていた。
この事件を受けて、ケリーは上層部が犯罪分子に違法取引を許していると信じていた「手を出さない」文化を変えるためにプロビデンスに派遣されていた。ケリーの指導の下で数週間後、オフィスは効率性と顧客サービスのモデルになりました。ケリーは、元同僚の違法行為を記録したのと同じカメラを使用して、従業員の活動を監視しました。
現在、ケリー氏は、もう一つの問題点であるアイルランドのコークにあるオフィスの立て直しを任されている。同社は、従業員が無人でオフィスを離れたという多数の報告を受けている。ケリーが到着すると、スタッフはその場にいても、携帯電話で社交や個人的な用事を行って一日を過ごすことが多いことに気づきました。再び、彼は監視カメラを使用して彼らの行動を観察しました。彼はビデオの初日だけを根拠に、6人のスタッフに書面による叱責を発行した。
ケリー氏は非常に驚き、残念に思ったが、彼と同社は現在、従業員のプライバシー権を侵害した疑いでアイルランドデータ保護委員会の捜査を受けている。ケリー氏は、同社のカメラのライセンスには施設のセキュリティが主な用途として記載されていると聞かされたが、これがなぜ重要なのかは分からない。同氏は上司に対し、プライバシー保護とデータ収集に関する同社の研修プログラムでは監視ビデオについては何も言及されていないと指摘した。
あなたはプライバシー保護コンサルタントであり、この事件を評価し、法的およびコンプライアンス上の問題について報告し、次のステップを推奨するために会社に雇われています。
規制当局が現在調査中であることを知った場合、取るべき最善の措置は何でしょうか?
CIPM 試験問題 78
一般データ保護規則 (GDPR) がデータ処理者に課す義務の 1 つは何ですか?
CIPM 試験問題 79
シナリオ
次の質問に答えるには、以下を使用してください:
レストラン チェーン、ネーションワイド グリルの CFO であるナタリアは、同僚の幹部たちがこれほど不安を感じているのを見たことがありませんでした。先週、同社が利用するデータ処理会社は、同社のシステムがハッキングされ、名前、住所、誕生日などの顧客データが侵害された可能性があると報告した。この試みは失敗に終わったものの、この恐怖から数人のネーションワイド・グリル幹部が今日の会議で同社のプライバシー・プログラムに疑問を呈した。
副社長のアリス氏は、この事件が訴訟への扉を開く可能性があり、ネイションワイド・グリルの市場での地位を損なう可能性があると述べた。最高情報責任者 (CIO) のブレンダンは、たとえ実際に侵害があったとしても、会社に対する訴訟が成功する可能性は低いと彼女に保証しようとしました。しかし、アリスはまだ納得していませんでした。
元最高経営責任者(CEO)で現在上級顧問を務めるスペンサー氏は、データ処理に請負業者を利用することに対して常に警告してきたと語った。少なくとも、セキュリティインシデントについて顧客に伝える契約上の責任は負うべきだと同氏は主張した。同氏の見解では、ネーションワイド・グリルは、自らが引き起こしたわけではない問題のために社名を汚すことを強制されるべきではない。
次に、事業開発 (BD) 幹部の 1 人であるヘイリー氏が話して、全員に理性を理解するよう訴えました。「組織が最善を尽くしたとしても、侵害は発生する可能性があります」と彼女は述べました。「合理的な準備が鍵です。」彼女は、大手食料品チェーンのティンカートンズがネーションワイド グリルの冷凍ディナーを大量注文した後、財務情報が漏洩した 7 年前の事件を皆に思い出させました。長年 BD の役員を務め、長年培ってきた関係を通じて Tinkerton の企業文化をしっかりと理解していた Haley は、会社のインシデント対応をうまく管理することができました。
スペンサー氏は、理性を持って行動するということは、BD スタッフではなく社内のセキュリティ部門がセキュリティを処理できるようにすることを意味すると答えました。同様に、人事部(HR)もインシデントを防ぐために従業員の教育をより適切に行う必要があると同氏は述べた。同氏は、Nationwide Grill の従業員が、人事部と倫理部門の両方から会社のプライバシー プログラムに関連するポスター、電子メール、メモに圧倒されていると指摘しました。情報の量と重複の両方が、完全に無視されることが多いことを意味します。
スペンサー氏は、「会社はプライバシープログラムに専念し、月に一度、全スタッフを対象とした定期的な対面トレーニングを設定する必要がある」と述べた。アリスは、その提案は善意ではあるが現実的ではないと答えた。拠点が多いため、現地の人事部門はトレーニング スケジュールに柔軟性を持たせる必要があります。ナタリアは黙って同意した。
スペンサーのトレーニング提案に対する反対意見にはどう対処すればよいでしょうか?
次の質問に答えるには、以下を使用してください:
レストラン チェーン、ネーションワイド グリルの CFO であるナタリアは、同僚の幹部たちがこれほど不安を感じているのを見たことがありませんでした。先週、同社が利用するデータ処理会社は、同社のシステムがハッキングされ、名前、住所、誕生日などの顧客データが侵害された可能性があると報告した。この試みは失敗に終わったものの、この恐怖から数人のネーションワイド・グリル幹部が今日の会議で同社のプライバシー・プログラムに疑問を呈した。
副社長のアリス氏は、この事件が訴訟への扉を開く可能性があり、ネイションワイド・グリルの市場での地位を損なう可能性があると述べた。最高情報責任者 (CIO) のブレンダンは、たとえ実際に侵害があったとしても、会社に対する訴訟が成功する可能性は低いと彼女に保証しようとしました。しかし、アリスはまだ納得していませんでした。
元最高経営責任者(CEO)で現在上級顧問を務めるスペンサー氏は、データ処理に請負業者を利用することに対して常に警告してきたと語った。少なくとも、セキュリティインシデントについて顧客に伝える契約上の責任は負うべきだと同氏は主張した。同氏の見解では、ネーションワイド・グリルは、自らが引き起こしたわけではない問題のために社名を汚すことを強制されるべきではない。
次に、事業開発 (BD) 幹部の 1 人であるヘイリー氏が話して、全員に理性を理解するよう訴えました。「組織が最善を尽くしたとしても、侵害は発生する可能性があります」と彼女は述べました。「合理的な準備が鍵です。」彼女は、大手食料品チェーンのティンカートンズがネーションワイド グリルの冷凍ディナーを大量注文した後、財務情報が漏洩した 7 年前の事件を皆に思い出させました。長年 BD の役員を務め、長年培ってきた関係を通じて Tinkerton の企業文化をしっかりと理解していた Haley は、会社のインシデント対応をうまく管理することができました。
スペンサー氏は、理性を持って行動するということは、BD スタッフではなく社内のセキュリティ部門がセキュリティを処理できるようにすることを意味すると答えました。同様に、人事部(HR)もインシデントを防ぐために従業員の教育をより適切に行う必要があると同氏は述べた。同氏は、Nationwide Grill の従業員が、人事部と倫理部門の両方から会社のプライバシー プログラムに関連するポスター、電子メール、メモに圧倒されていると指摘しました。情報の量と重複の両方が、完全に無視されることが多いことを意味します。
スペンサー氏は、「会社はプライバシープログラムに専念し、月に一度、全スタッフを対象とした定期的な対面トレーニングを設定する必要がある」と述べた。アリスは、その提案は善意ではあるが現実的ではないと答えた。拠点が多いため、現地の人事部門はトレーニング スケジュールに柔軟性を持たせる必要があります。ナタリアは黙って同意した。
スペンサーのトレーニング提案に対する反対意見にはどう対処すればよいでしょうか?
CIPM 試験問題 80
シナリオ
次の質問に答えるには、以下を使用してください:
同社の新しい最高経営責任者として、トーマス・ゴダード氏はデータ保護のリーダーとして知られることを望んでいます。ゴダード氏は最近、世界中で数百万人のユーザーを抱えるオンラインビデオ視聴のパイオニア、Hoopy.com の最高財務責任者を務めました。残念なことに、Hoopy はマーケティング担当者への個人データの不正販売など、倫理的に問題のある行為を行っているため、プライバシー保護界隈では悪名高い企業です。また、Hoopy はクレジット カード データ盗難の標的となっており、世界中で大きな話題となりました。同社は「適切な」データ保護措置が講じられていると主張していたにもかかわらず、少なくとも 200 万件のクレジット カード番号が盗まれたと考えられています。競合他社が同様のエンターテイメントやメディアコンテンツを提供しながら、すぐに保護レベルの向上を売り出したため、このスキャンダルは同社のビジネスに影響を与えた。スキャンダルが発覚してから3週間以内に、ゴダード氏の指導者であるフーピーの創設者兼最高経営責任者(CEO)のマクスウェル・マーティン氏は辞任を余儀なくされた。
しかし、ゴダード氏は立ち直ったようで、貴社 Medialite の CEO の座を確保しました。Medialite はまだ立ち上げ段階から立ち上がったばかりです。同氏は、メディアライトが業界をリードするデータ保護基準と手順に部分的に基づいてブランドを構築するというビジョンを同社の取締役会と投資家に売り込んだ。彼は、プライバシー問題において失脚した、あるいは不正な組織の重要な一員であったかもしれませんが、今では改革され、プライバシー保護の真の信者であると主張しています。入社して最初の週に、彼はあなたをオフィスに呼び、あなたの主な仕事の責任はプライバシーに対する彼のビジョンを実現することであると説明しました。しかし、いくつかの留保も見つかりました。「私たちは Medialite に絶対的に最高の基準を持たせたいと考えています」と彼は言います。"実際には、私たちはプライバシーとデータ保護において、当社が明確な業界リーダーであると言えるようになりたいと考えています。しかし、私は会社の財務の責任ある管理者でもある必要があります。したがって、私は全面的に最良のソリューションを望んでいますが、費用対効果も高くなければなりません。」 あなたは、1 週間後に推奨事項を報告するように言われます。この曖昧な使命を課せられたあなたは、すでに自分の考えを検討しながら、エグゼクティブスイートを離れます。次のステップ。
あなたには、新しい製品や取り組みに対してプライバシー保護策が確実に導入されていることを確認する責任があります。これを行うための最良の方法は何ですか?
次の質問に答えるには、以下を使用してください:
同社の新しい最高経営責任者として、トーマス・ゴダード氏はデータ保護のリーダーとして知られることを望んでいます。ゴダード氏は最近、世界中で数百万人のユーザーを抱えるオンラインビデオ視聴のパイオニア、Hoopy.com の最高財務責任者を務めました。残念なことに、Hoopy はマーケティング担当者への個人データの不正販売など、倫理的に問題のある行為を行っているため、プライバシー保護界隈では悪名高い企業です。また、Hoopy はクレジット カード データ盗難の標的となっており、世界中で大きな話題となりました。同社は「適切な」データ保護措置が講じられていると主張していたにもかかわらず、少なくとも 200 万件のクレジット カード番号が盗まれたと考えられています。競合他社が同様のエンターテイメントやメディアコンテンツを提供しながら、すぐに保護レベルの向上を売り出したため、このスキャンダルは同社のビジネスに影響を与えた。スキャンダルが発覚してから3週間以内に、ゴダード氏の指導者であるフーピーの創設者兼最高経営責任者(CEO)のマクスウェル・マーティン氏は辞任を余儀なくされた。
しかし、ゴダード氏は立ち直ったようで、貴社 Medialite の CEO の座を確保しました。Medialite はまだ立ち上げ段階から立ち上がったばかりです。同氏は、メディアライトが業界をリードするデータ保護基準と手順に部分的に基づいてブランドを構築するというビジョンを同社の取締役会と投資家に売り込んだ。彼は、プライバシー問題において失脚した、あるいは不正な組織の重要な一員であったかもしれませんが、今では改革され、プライバシー保護の真の信者であると主張しています。入社して最初の週に、彼はあなたをオフィスに呼び、あなたの主な仕事の責任はプライバシーに対する彼のビジョンを実現することであると説明しました。しかし、いくつかの留保も見つかりました。「私たちは Medialite に絶対的に最高の基準を持たせたいと考えています」と彼は言います。"実際には、私たちはプライバシーとデータ保護において、当社が明確な業界リーダーであると言えるようになりたいと考えています。しかし、私は会社の財務の責任ある管理者でもある必要があります。したがって、私は全面的に最良のソリューションを望んでいますが、費用対効果も高くなければなりません。」 あなたは、1 週間後に推奨事項を報告するように言われます。この曖昧な使命を課せられたあなたは、すでに自分の考えを検討しながら、エグゼクティブスイートを離れます。次のステップ。
あなたには、新しい製品や取り組みに対してプライバシー保護策が確実に導入されていることを確認する責任があります。これを行うための最良の方法は何ですか?