CIPM 試験問題 66

組織が国際的なプライバシー基準へのコンプライアンスをどのように実証し、改善すべき点を特定できるかをより深く理解したいと考えています。この目標を達成するために、どのようなステップを踏むことができますか?
  • CIPM 試験問題 67

    プライバシー運用ライフサイクルにおける「対応」には、次のどれが含まれますか?
  • CIPM 試験問題 68

    一般データ保護規則 (GDPR) がデータ処理者に課す義務の 1 つは何ですか?
  • CIPM 試験問題 69

    シナリオ
    次の質問に回答するには、以下を使用してください。
    マーティン・ブリセニョ氏は、米国ホテルチェーン「パシフィック・スイーツ」のキャニオンシティ支店で人事部長を務めています。1998年、ブリセニョ氏はホテルのOJTモデルを、ライン職から管理職へと昇進する従業員向けの標準化された研修プログラムに変更することを決定しました。彼は、一連のレッスン、シナリオ、アセスメントからなるカリキュラムを開発し、少人数グループに対面で提供しました。研修への関心が高まり、ブリセニョ氏は企業の人事スペシャリストやソフトウェアエンジニアと協力し、このプログラムをオンライン形式で提供することになりました。オンラインプログラムによって、トレーナー費用を削減し、参加者は自分のペースで教材を進めることができました。
    ブリセニョ氏のプログラムの成功を聞きつけたパシフィックスイーツのコーポレートバイスプレジデント、マリアンヌ・シルバ=ヘイズは、研修を拡大し、全社的に提供しました。プログラムを修了した従業員は、パシフィックスイーツ・ホスピタリティ・スーパーバイザーの資格を取得しました。2001年までに、このプログラムは業界全体を対象とした研修へと成長しました。全米のホテル従業員は、登録と料金支払いだけでオンラインでコースを受講できるようになりました。
    プログラムの収益性が高まるにつれ、パシフィックスイーツは派生事業としてパシフィック・ホスピタリティ・トレーニング(PHT)を立ち上げました。PHTは、ホスピタリティ業界における様々な専門資格取得を支援する、多様なオンラインコースとコースプログラムの開発と販売に特化しました。
    PHTでユーザーアカウントを設定することで、コース参加者は情報ライブラリにアクセスし、コースに登録し、コース終了時の認定テストを受けることができました。ユーザーが新規アカウントを開設すると、氏名、生年月日、連絡先、クレジットカード情報、勤務先、役職など、すべての情報がデフォルトで保存されました。登録ページには、クレジットカード番号を保存しないためのオプトアウトオプションが用意されていました。ユーザー名とパスワードを設定すると、ユーザーはコースのステータスを確認したり、認定証を確認・再発行したり、新しいコースに登録して支払いをしたりできるようになりました。2002年から
    2008 年、PHT は 700,000 件を超える専門認定を発行しました。
    PHTの利益は、業界の縮小とeラーニングプロバイダーとの競争激化の影響を受け、2009年と2010年に減少しました。2011年までに、パシフィックスイーツはオンライン認定事業から撤退し、PHTも解散しました。研修プログラムのシステムと記録は、パシフィックスイーツのデジタルアーカイブに残され、アクセスもされず、使用もされていませんでした。ブリセニョ氏とシルバ=ヘイズ氏は他の企業に移籍し、プログラム終了後のアーカイブデータの取り扱い計画は存在しませんでした。PHT解散後、パシフィックスイーツの経営陣は重要な日常業務に注力し、リソースに余裕ができたらPHTの教材を処理する計画を立てました。
    2012年、パシフィックスイーツのコンピュータネットワークがハッキングを受けました。オンライン予約システムにインストールされたマルウェアにより、数百人のホテル宿泊客のクレジットカード情報が流出しました。ハッカーは予約サイトの財務データを標的にしながら、パシフィック・ホスピタリティ・トレーニングの顧客のアーカイブされたトレーニングコースデータと登録アカウントも発見しました。その結果、最近の宿泊客のクレジットカード番号とPHTデータベースとそのすべてのコンテンツが流出しました。
    パシフィックスイーツのシステムアナリストが、アクティビティレポートの定期スキャン中に情報セキュリティ侵害を発見しました。パシフィックスイーツは、深刻な被害を防ぐため、クレジットカード会社と最近宿泊した宿泊客に速やかに侵害を通知しました。セキュリティ技術エンジニアは、PHTデータの処理に課題を抱えていました。
    PHTのコース管理者とITエンジニアは、情報を追跡、カタログ化し、保管するためのシステムを備えていませんでした。パシフィックスイーツにはデータへのアクセスと保管に関する手順が整備されていましたが、PHT設立時にはこれらの手順は導入されていませんでした。PHTデータベースがパシフィックスイーツに買収された当時、データベースには所有者も監督者もいませんでした。セキュリティ技術エンジニアが漏洩した個人情報を特定するまでに、少なくとも8,000人のクレジットカード保有者が不正行為の被害者となる可能性がありました。
    強力なデータライフサイクル管理ポリシーは、侵害の防止にどのように役立つでしょうか?
  • CIPM 試験問題 70

    プライバシー影響評価 (PIA) が最も必要ない状況はどれですか?