CIPM 試験問題 56

シナリオ
次の質問に答えるには、以下を使用してください。
同社の新CEOに就任したトーマス・ゴダード氏は、データ保護のリーダーとして認知されることを目指しています。ゴダード氏は最近まで、世界中に数百万人のユーザーを抱えるオンライン動画視聴のパイオニアであるHoopy.comの最高財務責任者を務めていました。しかしながら、Hoopyはプライバシー保護の分野では、個人データをマーケティング担当者に無許可で販売するなど、倫理的に問題のある行為で悪名高い存在です。
フーピーはまた、世界中で話題となったクレジットカード情報盗難の標的にもなっており、少なくとも200万枚のクレジットカード番号が盗まれたとみられているが、同社はその主張にもかかわらず、
「適切な」データ保護対策が実施されていました。競合他社は同様のエンターテイメント・メディアコンテンツを提供しながら、より高度な保護対策を迅速に打ち出したため、このスキャンダルは同社の事業に影響を及ぼしました。スキャンダル発覚から3週間後、ゴダード氏のメンターであったフーピーの創業者兼CEO、マックスウェル・マーティン氏は辞任を余儀なくされました。
しかし、ゴダード氏は、スタートアップ段階を脱したばかりの御社、メディアライトのCEOに就任し、順調な滑り出しを見せたようです。彼は、業界をリードするデータ保護基準と手順を基盤としてメディアライトのブランドを構築するというビジョンを、取締役会と投資家に強く訴えました。
彼はかつてプライバシー問題で、かつては崩壊し、あるいは反体制組織の中心人物だったかもしれないが、今では更生し、プライバシー保護の真の信奉者だと主張している。就任1週間目に、彼はあなたをオフィスに呼び、あなたの主な職務は彼のプライバシーに関するビジョンを実現することだと説明する。しかし、あなたは彼の懸念にも気付く。「私たちはMedialiteに絶対的に最高水準の基準を求めています」と彼は言う。「実際、プライバシーとデータ保護において、私たちが業界の明確なリーダーであると言えるようにしたいのです。しかし、私は会社の財務を責任を持って管理する必要もあります。ですから、あらゆる面で最良のソリューションを求める一方で、費用対効果も高くなければなりません。」あなたは1週間以内に提言を報告するように言われる。この曖昧な任務を負い、あなたはすでに次のステップを検討しながら、役員室を去る。
プライバシープログラムの成熟度についてCEOにプレゼンテーションを行う予定です。AICPA/CICAプライバシー成熟度モデルによれば、「管理された」プライバシープログラムとはどういう意味ですか?
  • CIPM 試験問題 57

    データ侵害をデータ主体に通知する主な目的は何ですか?
  • CIPM 試験問題 58

    シナリオ
    次の質問に回答するには、以下を使用してください。
    アミラは、NatGenの急速な成長に胸を躍らせています。長年のビジネスパートナーであるサディと共同最高経営責任者(CEO)を務めるアミラは、同社がグリーンエネルギー市場における主要企業へと成長するのを見守ってきました。現在の製品ラインには、風力タービン、太陽光発電パネル、地熱発電システム用機器などが含まれています。優秀な開発チームを擁するNatGenの製品ラインは、今後も成長を続けるでしょう。
    事業拡大に伴い、アミラとサディは、会社の成長管理を支援するために新たに採用された上級スタッフからアドバイスを受けています。最近の提案の一つは、プライバシー法と会社のプライバシーポリシーの遵守を確実にするために、法務部門とセキュリティ部門を統合するというものです。これはアミラにとって複雑すぎるように聞こえます。彼女は、各部門がそれぞれのニーズに最適な方法で顧客データを利用、収集、保管、廃棄できるようにしたいと考えています。彼女は、管理監督や複雑な組織体制が、革新的な仕事に取り組む人々の邪魔になることを望んでいません。
    サディも同様の見解を持っている。新任の最高情報責任者(CIO)が提案した新しいプライバシープログラムの設計スケジュールは、サディにとっては不必要に長いと感じられる。顧客と従業員のデータの電子保存には、可能な限り最高の機器を使用するという。サディは、NatGen社が機器のリストと費用の見積もりだけを要求している。しかしCIOは、その段階に進む前に検討すべき課題が数多くあると主張している。
    いずれにせよ、セイディとアミラは従業員に仕事に集中できる時間を与えることを主張しています。両CEOとも、従業員のポリシー遵守状況の監視を下位レベルの管理職に委ねたいと考えています。アミラとセイディは、これらの管理職が各部署にとって最適な方法で会社のプライバシーポリシーを調整できると考えています。
    NatGen 社の CEO たちは、データが通常の業務活動の過程で常に使用される限り、グリーン エネルギーの推進という名目でプライバシー ポリシーを柔軟に解釈しても、顧客ベースに懸念が生じる可能性はほとんどないことを認識しています。
    セイディとアミラにとって最も困惑させられたのは、CIOからプライバシーコンプライアンスホットラインの設置を勧告されたことだろう。セイディとアミラはこの点については譲歩したが、従業員が交代でプライバシーポリシー違反の報告に対応できるようにすることで妥協点を見出そうとしている。従業員は特別な準備は必要ないため、導入は容易だ。聞いた懸念事項を記録するだけで済むからだ。
    サディとアミラは、理念に忠実であり続けながら、創造性と従業員の士気を抑圧する企業文化から身を守ることは容易ではないことを認識しています。彼らは、すべての上級管理職が独自のアプローチを試すことのメリットを理解してくれることを願っています。
    アミラとサディの会社のプライバシー ポリシーの順守に関する考えがチェックされない場合、連邦通信委員会 (FCC) は NatGen に対して何の理由で措置を講じる可能性がありますか?
  • CIPM 試験問題 59

    シナリオ
    次の質問に回答するには、以下を使用してください。
    マナサはオムニプレゼンツ・オムニメディアのプロダクトマネージャーとして、同社の主力製品であるHandy Helperの開発を主導しています。Handy Helperは、家庭内で家族の予定管理、オンラインショッピング、医師の予約などができるアプリケーションです。
    Handy Helper は、米国での発売が成功した後、世界中で購入可能になる予定です。
    Handy Helperのパッケージとユーザーガイドには、お子様を含む家族全員に適した「プライバシーに配慮した」製品であると記載されていますが、それ以上の詳細やプライバシーに関する通知は記載されていません。このアプリケーションを使用するには、家族で1つのアカウントを作成し、主要ユーザーは他のユーザーに関するすべての情報にアクセスできます。起動時に、主要ユーザーはOmnipresent Omnimediaおよび選定されたマーケティングパートナーからのマーケティングメールの受信に同意するボックスにチェックを入れることで、アプリケーションを利用できるようになります。
    Omnipresent Omnimediaのプライバシー責任者であるサンジェイは、Handy Helperのヨーロッパの販売代理店との契約締結に取り組んでいた際、販売代理店から製品に関する多くの質問を受けました。サンジェイは製品開発プロセスに関わっていなかったため、質問に答えるためには製品をより詳しく調べる必要がありました。
    製品チームとの会話の中で、Handy Helperが医療予約スケジューラーのためにユーザーの機密性の高い医療情報をすべて収集・保存していることを知りました。実際には、Handy Helperは追加製品の開発と製品の使用状況分析のために、ユーザーのすべての情報を収集・保存しています。これらのデータはすべてクラウドに保存され、送信中も保存時も暗号化されています。
    優れた新製品のアイデアは誰からでも生まれるというCEOの哲学に基づき、Omnipresent Omnimediaの全従業員は「Eureka」と呼ばれるプログラムを通じてユーザーデータにアクセスできます。Omnipresent Omnimediaは、将来的にはこのデータから得られる知見を活用し、人工知能(AI)で動作する完全自動化アプリケーションの開発に役立てられることを期待していますが、現時点ではEurekaは明確に定義されておらず、長期的な目標とされています。
    Manasa と製品管理チームが使用中に収集されたデータを保護するために、どのような管理上の安全対策を実施する必要がありますか?
  • CIPM 試験問題 60

    シナリオ
    次の質問に回答するには、以下を使用してください。
    レストランチェーン「ネイションワイド・グリル」のCFO、ナタリア氏は、同僚の幹部たちがこれほど不安に駆られているのを見たことがなかった。先週、同社が利用しているデータ処理会社から、システムがハッキングされ、氏名、住所、生年月日などの顧客データが流出した可能性があるとの報告があった。ハッキングは失敗に終わったものの、この騒動を受け、ネイションワイド・グリルの幹部数名が本日の会議で同社のプライバシープログラムについて疑問を呈した。
    副社長のアリスは、この事件が訴訟の引き金となり、ネイションワイド・グリルの市場における地位に悪影響を及ぼす可能性があったと述べた。最高情報責任者(CIO)のブレンダンは、たとえ実際に侵害があったとしても、訴訟が認められる可能性は低いとアリスを説得しようとしたが、アリスは納得できなかった。
    元CEOで現在はシニアアドバイザーを務めるスペンサー氏は、データ処理を委託業者に委託することに対して常に警告してきたと述べた。少なくとも、セキュリティインシデントが発生した場合、顧客に通知する契約上の責任を負うべきだと主張した。彼の見解では、ネイションワイド・グリルは、自らが引き起こしていない問題で社名を汚すべきではない。
    次に、ビジネス開発 (BD) の幹部の一人であるヘイリー氏が話し、全員に理性的に考えるよう訴えました。
    「組織が最善を尽くしても、侵害は起こり得ます」と彼女は述べた。「適切な準備が鍵となります」。彼女は7年前、大手食料品チェーンのティンカートンズがネイションワイド・グリルの冷凍食品の大量注文を受け、財務情報が漏洩した事件を皆に思い起こさせた。長年BDの幹部として、長年にわたる関係構築を通じてティンカートンズの企業文化を深く理解していたヘイリーは、同社のインシデント対応を成功に導いた。
    スペンサー氏は、理性的に行動するということは、セキュリティ対策をBDスタッフではなく社内のセキュリティ部門に任せることを意味すると答えました。同様に、人事部はインシデント防止のために従業員のトレーニングを強化する必要があると述べました。彼は、ネイションワイド・グリルの従業員は、人事部と倫理部の両方から送られてくる、会社のプライバシープログラムに関するポスター、メール、メモに圧倒されていると指摘しました。情報量が多く、重複しているため、情報が全く無視されてしまうことがよくあるのです。
    スペンサーは「会社はプライバシープログラムに力を入れ、全社員を対象に月に一度、対面での定期的な研修を実施する必要がある」と言った。アリスは、その提案は善意に基づくものだが現実的ではないと反論した。拠点が多いため、各地域の人事部は研修スケジュールを柔軟に調整する必要がある。ナタリアは静かに同意した。
    別のインシデントが発生した場合に責任を軽減するために組織が実行できる最も現実的な手順は何ですか?