CIPM 試験問題 71

シナリオ
次の質問に回答するには、以下を使用してください。
ペニーは最近、家庭用品アクセサリーをオンラインで販売するAce Spaceに新しいプライバシーオフィサーとして入社しました。同社はカリフォルニアに拠点を置いていますが、昨年ソーシャルメディアのインフルエンサーによる素晴らしい宣伝効果でEUからの売上が急増し、この拡大を支えるためにアイルランドに地域オフィスを設立しました。Ace Spaceの業務内容を理解し、自身のプライバシーに関する優先事項を把握するため、ペニーは複数の同僚との面談を設定し、彼らのこれまでの業務内容やコンプライアンスへの取り組みについて聞き取りを行いました。
ペニーのマーケティング部門の同僚は、新たな売上と会社の計画に期待を寄せているものの、ペニーが自身の成長機会の一部を阻害してしまうのではないかと懸念している。彼はペニーにこう言った。「休憩室で誰かが新しいプライバシー法について話しているのを聞いたが、私たちには影響がないと思う。私たちは小さな会社だ。オンラインでアクセサリーを販売しているだけだから、本当のリスクはどこにある?」また、急いでプロジェクトを完了させるために、複数の中小企業と提携していることも伝えた。「期限を守らないと損をする。私は契約書に署名し、財務部門のジムに支払いを承認してもらうだけだ。契約書の確認には時間がかかり、私たちには到底足りない。」ITチームのメンバーとのミーティングで、ペニーはエース・スペースがウェブサイトを悪意のある活動から守るために多くの予防措置を講じているものの、物理的なファイルや社内インフラには同等の注意を払っていないことを知った。ペニーのIT部門の同僚から、元従業員が退職時に金融データが保存された暗号化USBキーを紛失したという話を聞いた。昨年、同社はフィッシング攻撃の被害に遭い、顧客データベースへのアクセスが危うく失われるところだった。IT部門の同僚はペニーに、「ITチームは何をすべきか、誰が何をすべきか全く分かっていなかった。訓練を受けていなかったが、少人数のチームなので最終的にはうまくいった」と伝えた。ペニーは、これらの問題がエース・スペースのプライバシーとデータ保護に悪影響を及ぼすのではないかと懸念している。
ペニーは、同社が海外での売上拡大に向けた確固たる計画を持っていることを認識しており、CEOと緊密に連携して組織にデータに関する「改革」をもたらす予定です。彼女の使命は、社内に強固なプライバシー文化を育むことです。
ペニーは今日、エース スペースの CEO と会議をしており、第一印象と次のステップの概要を話すよう求められています。
Ace Space のプライバシー成熟度の現在のベースラインを確立するために、Penny は次の要素を除くすべてを考慮する必要があります。
  • CIPM 試験問題 72

    プライバシー監査とプライバシー評価の違いは何ですか?
  • CIPM 試験問題 73

    次のすべては、Payment Card Industry Data Security Standard (PCI DSS) で要求されるアクセス制御手段ですが、次のものを除きます。
  • CIPM 試験問題 74

    シナリオ
    次の質問に回答するには、以下を使用してください。
    マーティン・ブリセノ氏は、米国ホテルチェーン「パシフィック・スイーツ」のキャニオンシティ支店で人事部長を務めています。1998年、ブリセノ氏はホテルのOJTモデルを、ライン職から管理職へと昇進する従業員向けの標準化された研修プログラムに変更することを決定しました。彼は、一連のレッスン、シナリオ、評価からなるカリキュラムを開発し、少人数グループに対面で提供しました。研修への関心が高まり、ブリセノ氏は企業の人事スペシャリストやソフトウェアエンジニアと協力し、このプログラムをオンライン形式で提供しました。オンラインプログラムによって、トレーナー費用を削減し、参加者は自分のペースで教材を進めることができました。
    ブリセノ氏のプログラムの成功を聞きつけたパシフィックスイーツの副社長、マリアンヌ・シルバ=ヘイズは、この研修を拡大し、全社的に提供しました。プログラムを修了した従業員は、パシフィックスイーツ・ホスピタリティ・スーパーバイザーの資格を取得しました。2001年までに、このプログラムは業界全体を対象とした研修へと成長しました。全米のホテル従業員が登録し、料金を支払うことでオンラインコースを受講できるようになりました。プログラムの収益性が高まるにつれ、パシフィックスイーツはパシフィック・ホスピタリティ・トレーニング(PHT)という派生事業を立ち上げました。PHTは、ホスピタリティ業界の様々な専門資格取得を支援する、多様なオンラインコースとコースプログレッションの開発と販売に特化しました。
    PHTでユーザーアカウントを設定すると、コース参加者は情報ライブラリにアクセスし、コースに登録し、コース終了時の認定テストを受けることができました。ユーザーが新規アカウントを開設すると、氏名、生年月日、連絡先、クレジットカード情報、勤務先、役職など、すべての情報がデフォルトで保存されました。登録ページには、クレジットカード番号を保存したくない場合はクリックできるオプトアウトの選択肢がありました。ユーザー名とパスワードを設定すると、ユーザーはコースのステータスを確認したり、認定証を確認・再発行したり、新しいコースに登録して支払いをしたりできるようになりました。2002年から2008年の間に、PHTは70万件以上の専門認定証を発行しました。
    PHTの利益は、業界の縮小とeラーニングプロバイダーとの競争激化の影響を受け、2009年と2010年に減少しました。2011年までに、パシフィックスイーツはオンライン認定事業から撤退し、PHTも解散しました。研修プログラムのシステムと記録は、パシフィックスイーツのデジタルアーカイブに残され、アクセスもされず、使用もされていませんでした。ブリセノ氏とシルバ=ヘイズ氏は他の企業に移籍し、プログラム終了後のアーカイブデータの取り扱い計画は未だに存在していませんでした。PHT解散後、パシフィックスイーツの経営陣は重要な日常業務に集中し、リソースに余裕ができたらPHTの教材を取り扱う計画を立てました。
    2012年、パシフィックスイーツのコンピュータネットワークがハッキングを受けました。オンライン予約システムにインストールされたマルウェアにより、数百人のホテル宿泊客のクレジットカード情報が流出しました。ハッカーは予約サイトの財務データを標的にしながら、パシフィック・ホスピタリティ・トレーニングの顧客のアーカイブされたトレーニングコースデータと登録アカウントも発見しました。その結果、最近の宿泊客のクレジットカード番号とPHTデータベースとそのすべてのコンテンツが流出しました。
    パシフィックスイーツのシステムアナリストが、アクティビティレポートの定期スキャン中に情報セキュリティ侵害を発見しました。パシフィックスイーツは、深刻な被害を防ぐため、クレジットカード会社と最近宿泊した宿泊客に速やかに侵害を通知しました。セキュリティ技術エンジニアは、PHTデータの処理に課題を抱えていました。
    PHTのコース管理者とITエンジニアは、情報を追跡、カタログ化し、保管するためのシステムを備えていませんでした。パシフィックスイーツにはデータへのアクセスと保管に関する手順が整備されていましたが、PHT設立時にはこれらの手順は導入されていませんでした。PHTデータベースがパシフィックスイーツに買収された当時、データベースには所有者も監督者もいませんでした。セキュリティ技術エンジニアが漏洩した個人情報を特定するまでに、少なくとも8,000人のクレジットカード保有者が不正行為の被害者となる可能性がありました。
    どのような重大なミスが会社をセキュリティ侵害に対して脆弱な状態にしたのでしょうか?
  • CIPM 試験問題 75

    シナリオ
    次の質問に回答するには、以下を使用してください。
    Consolidated Records Corporation のデータ保護担当ディレクターとして、あなたはこれまでの成果に当然ながら満足しています。採用のきっかけは、比較的軽微なデータ侵害が相次ぎ、さらに深刻な事態に発展する可能性もあったことを受けて、規制当局から警告を受けたことでした。しかしながら、入社して3年間、報告義務のあるインシデントは発生していません。実際、あなたは自分のプログラムが、データストレージ業界の他の企業が自社のプログラム開発において参考にできるモデルであると考えています。
    Consolidated社でのプログラムは、ポリシーと手順が入り組んだ状態からスタートし、部門間およびオペレーション全体にわたる一貫性の確保に努めました。その過程では、プログラムのスポンサーであるオペレーション担当副社長、そして変化の必要性を明確に理解したプライバシーチームから多大な支援を受けました。
    当初、あなたの仕事は、経営陣だけでなく、データ処理や顧客対応に携わる最前線で働く社員の間でも、会社の「古参」層からはほとんど信頼も熱意も得られませんでした。しかし、発生した侵害のコストだけでなく、現状の業務状況から容易に発生する可能性のあるコストの予測も示す指標を用いることで、すぐに経営陣や主要な意思決定者の支持を得られるようになりました。他の従業員の多くは抵抗を示しましたが、各部門との直接面談や、プライバシーに関する基本的な研修プログラムの開発によって、適切な手順を導入するための十分な「賛同」を得ることができました。
    現在、プライバシー保護は、個人情報や保護対象データを扱うあらゆる業務において認められた要素であり、あらゆる技術開発プロセスの最終成果物の一部でなければなりません。あなたのアプローチは体系的ではありませんが、かなり効果的です。
    あなたは考え続けるでしょう:
    プログラムを維持し、単なるデータ漏洩防止プログラムを超えて発展させるには、何をする必要がありますか?
    どうすれば成功を積み重ねることができるでしょうか?
    次のアクションステップは何ですか?
    どのような方法であれば、ディレクターは、プログラムが法律、規制、業界のベストプラクティスに準拠しているかどうかを最も厳密に確認できるでしょうか。