CIPM 試験問題 41

システム監査により、従業員の機密データを含む共有ドライブフォルダがアクセス制御なしで全従業員が閲覧可能になっていたことが判明しました。さらなるリスクを軽減するための最初のステップは何でしょうか?
  • CIPM 試験問題 42

    シナリオ
    次の質問に回答するには、以下を使用してください。
    アルバートは15年間、アメリカ合衆国の通信販売会社トレジャーボックスで働いてきました。同社はかつて世界中で装飾用キャンドルを販売していましたが、最近、出荷先を米国本土48州の顧客に限定することを決定しました。長年の経験にもかかわらず、アルバートは管理職のポストに就く機会を逃しがちです。昇進できないことへの不満と、最近プライバシー保護の問題に関心を持つようになったことが、アルバートを前向きな変化の担い手となるべく奮闘する原動力となっています。
    アルバートは近々、新たに募集されたポジションの面接を受ける予定で、その面接で会社のプライバシープログラムの欠陥を経営陣に指摘するつもりだ。会社の時代遅れのポリシーと手順に起因する悪影響を防いだ功績により、昇進が認められると確信している。
    例えば、アルバートはAICPA(米国公認会計士協会)/CICA(カナダ勅許会計士協会)のプライバシー成熟度モデル(PMM)について学びました。アルバートは、このモデルがTreasure Boxの個人データ保護能力を測定する上で有用な方法だと考えています。アルバートは、Treasure Boxがこのモデルの最高成熟度レベルの要件を満たしていないことに気付きました。面接において、アルバートは顧客に最も厳格なセキュリティを提供するために、同社がこのレベルを満たすよう支援することを約束します。
    アルバートは面接で前向きな姿勢を見せたいと考えている。顧客と従業員の個人情報を外部からの脅威から守るという会社の取り組みを称賛するつもりだ。しかし、アルバートは社内の離職率の高さ、特にダイレクト電話マーケティングの分野における離職率の高さを懸念している。マーケティングの仕事に雇われた見知らぬ人たちを毎日たくさん見かけ、ランチルームでは長時間労働と低賃金、そして会社の規則を軽視しているように見えることへの不満を頻繁に耳にする。
    さらに、トレジャーボックスは最近2件のセキュリティインシデントに見舞われました。同社はこれらのインシデントに対し、内部監査とセキュリティ対策の更新を実施しました。しかし、利益は依然として影響を受けているようで、多くの関係者が依然として不信感を抱いていることが、様々な証言から伺えます。アルバートは、同社の回復を支援したいと考えています。アルバート自身は詳細は把握していませんが、少なくとも1件は世間に知られていないインシデントが発生していることを認識しています。同社がインシデントの秘密保持に固執していることが、評判をさらに損なう可能性があると彼は考えています。アルバートがトレジャーボックスの評判回復を支援するもう一つの方法は、顧客向けのフリーダイヤルの設置と、顧客の問い合わせへの郵便による回答をより効率的にする手続きの確立です。
    アルバートは、改善提案に加え、会社の最近の事業戦略に関する知識も面接官に好印象を与えるだろうと考えています。例えば、アルバートは会社が今後数週間以内に医療用品会社を買収する予定であることを知っています。
    アルバートは、前向きな考え方によって、面接するマネージャーたちに自分がその仕事に適任であることを納得させたいと考えています。
    最近のセキュリティインシデントに対する Treasure Box の対応に関して、Albert が考慮していない重要な要素は何ですか?
  • CIPM 試験問題 43

    シナリオ
    次の質問に答えるには、以下を使用してください。
    Consolidated Records Corporationのデータ保護担当ディレクターとして、あなたはこれまでの成果に当然ながら満足しています。採用のきっかけは、比較的軽微なデータ侵害が相次ぎ、さらに深刻な事態に発展する可能性もあったことを受け、規制当局から警告を受けたことでした。しかしながら、入社3年間、報告義務のあるインシデントは一度も発生していません。実際、あなたは自分のプログラムが、データストレージ業界の他の企業が自社のプログラム開発において参考にできるモデルであると考えています。
    Consolidated社でのプログラムは、ポリシーと手順が入り組んだ状態からスタートし、部門間およびオペレーション全体にわたる一貫性の確保に努めました。その過程では、プログラムのスポンサーであるオペレーション担当副社長、そして変化の必要性を明確に理解したプライバシーチームから多大な支援を受けました。
    当初、あなたの仕事は、経営陣だけでなく、データ処理や顧客対応に携わる最前線で働く社員の間でも、会社の「古参」層からはほとんど信頼も熱意も得られませんでした。しかし、発生した侵害のコストだけでなく、現状の業務状況から容易に発生する可能性のあるコストの予測も示す指標を用いることで、すぐに経営陣や主要な意思決定者の支持を得られるようになりました。他の従業員の多くは抵抗を示しましたが、各部門との直接面談や、プライバシーに関する基本的な研修プログラムの開発によって、適切な手順を導入するための十分な「賛同」を得ることができました。
    現在、プライバシー保護は、個人情報や保護対象データを扱うあらゆる業務において認められた要素であり、あらゆる技術開発プロセスの最終成果物の一部でなければなりません。あなたのアプローチは体系的ではありませんが、かなり効果的です。
    次のような疑問が湧いてきます。プログラムを維持し、単なるデータ漏洩防止プログラムの枠を超えて発展させるには、何をすべきでしょうか?これまでの成功をどのように活かしていくべきでしょうか?次に取るべき行動は何でしょうか?
    どのような方法であれば、ディレクターは、プログラムが法律、規制、業界のベストプラクティスに準拠しているかどうかを最も厳密に確認できるでしょうか。
  • CIPM 試験問題 44

    一般データ保護規則 (GDPR) では、管理者に代わって行われる処理に関して、管理者と処理者の間の書面による契約に何を含める必要がありますか?
  • CIPM 試験問題 45

    シナリオ
    次の質問に回答するには、以下を使用してください。
    アミラは、NatGenの急速な成長に胸を躍らせています。長年のビジネスパートナーであるサディと共同最高経営責任者(CEO)を務めるアミラは、同社がグリーンエネルギー市場における主要企業へと成長するのを見守ってきました。現在の製品ラインには、風力タービン、太陽光発電パネル、地熱発電システム用機器などが含まれています。優秀な開発チームを擁するNatGenの製品ラインは、今後も成長を続けるでしょう。
    事業拡大に伴い、アミラとサディは、会社の成長管理を支援するために新たに採用された上級スタッフからアドバイスを受けています。最近の提案の一つは、プライバシー法と会社のプライバシーポリシーの遵守を確実にするために、法務部門とセキュリティ部門を統合するというものです。これはアミラにとって複雑すぎるように聞こえます。彼女は、各部門がそれぞれのニーズに最適な方法で顧客データを利用、収集、保管、廃棄できるようにしたいと考えています。彼女は、管理監督や複雑な組織体制が、革新的な仕事に取り組む人々の邪魔になることを望んでいません。
    サディも同様の見解を持っている。新任の最高情報責任者(CIO)が提案した新しいプライバシープログラムの設計スケジュールは、サディにとっては不必要に長いと感じられる。顧客と従業員のデータの電子保存には、可能な限り最高の機器を使用するという。サディは、NatGen社が機器のリストと費用の見積もりだけを要求している。しかしCIOは、その段階に進む前に検討すべき課題が数多くあると主張している。
    いずれにせよ、サディとアミラは従業員に仕事に集中できる時間を与えることを主張しています。両CEOとも、従業員のポリシー遵守状況の監視を下位レベルの管理職に委ねたいと考えています。アミラとサディは、これらの管理職が各部署にとって最適な方法で会社のプライバシーポリシーを調整できると考えています。NatGenのCEOは、データが通常の業務活動において常に使用される限り、グリーンエネルギーの推進という名目でプライバシーポリシーを柔軟に解釈しても、顧客ベースに懸念が生じる可能性は極めて低いことを認識しています。
    セイディとアミラにとって最も困惑させられたのは、CIOからプライバシーコンプライアンスホットラインの設置を勧告されたことだろう。セイディとアミラはこの点については譲歩したが、従業員が交代でプライバシーポリシー違反の報告に対応できるようにすることで妥協点を見出そうとしている。従業員は特別な準備は必要ないため、導入は容易だ。聞いた懸念事項を記録するだけで済むからだ。
    サディとアミラは、理念に忠実であり続けながら、創造性と従業員の士気を抑圧する企業文化から身を守ることは容易ではないことを認識しています。彼らは、すべての上級管理職が独自のアプローチを試すことのメリットを理解してくれることを願っています。
    シナリオに基づいて、どのような追加変更がプライバシー コンプライアンス ホットラインの有効性を高めるでしょうか?