CIPM 試験問題 91

一般データ保護規則 (GDPR) では、管理者に代わって行われる処理に関して、管理者と処理者の間の書面による契約に何を含める必要がありますか?
  • CIPM 試験問題 92

    シナリオ
    次の質問に回答するには、以下を使用してください。
    Consolidated Records Corporation のデータ保護担当ディレクターとして、あなたはこれまでの成果に当然ながら満足しています。採用のきっかけは、比較的軽微なデータ侵害が相次ぎ、さらに深刻な事態に発展する可能性もあったことを受けて、規制当局から警告を受けたことでした。しかしながら、入社して3年間、報告義務のあるインシデントは発生していません。実際、あなたは自分のプログラムが、データストレージ業界の他の企業が自社のプログラム開発において参考にできるモデルであると考えています。
    Consolidated社でのプログラムは、ポリシーと手順が入り組んだ状態からスタートし、部門間およびオペレーション全体にわたる一貫性の確保に努めました。その過程では、プログラムのスポンサーであるオペレーション担当副社長、そして変化の必要性を明確に理解したプライバシーチームから多大な支援を受けました。
    当初、あなたの仕事は、経営陣だけでなく、データ処理や顧客対応に携わる最前線で働く社員の間でも、会社の「古参」層からはほとんど信頼も熱意も得られませんでした。しかし、発生した侵害のコストだけでなく、現状の業務状況から容易に発生する可能性のあるコストの予測も示す指標を用いることで、すぐに経営陣や主要な意思決定者の支持を得られるようになりました。他の従業員の多くは抵抗を示しましたが、各部門との直接面談や、プライバシーに関する基本的な研修プログラムの開発によって、適切な手順を導入するための十分な「賛同」を得ることができました。
    現在、プライバシー保護は、個人情報や保護対象データを扱うあらゆる業務において認められた要素であり、あらゆる技術開発プロセスの最終成果物の一部でなければなりません。あなたのアプローチは体系的ではありませんが、かなり効果的です。
    あなたは考え続けるでしょう:
    プログラムを維持し、単なるデータ漏洩防止プログラムを超えて発展させるには、何をする必要がありますか?
    どうすれば成功を積み重ねることができるでしょうか?
    次のアクションステップは何ですか?
    どのような方法であれば、ディレクターは、プログラムが法律、規制、業界のベストプラクティスに準拠しているかどうかを最も厳密に確認できるでしょうか。
  • CIPM 試験問題 93

    プライバシー バイ デザイン (PbD) を実装する場合、重要ではない考慮事項は何ですか?
  • CIPM 試験問題 94

    シナリオ
    次の質問に回答するには、以下を使用してください。
    Edufoxは、同社の有名なeラーニングソフトウェアプラットフォームのユーザー向け年次大会を主催しており、時とともに盛大なイベントへと成長しました。ダウンタウンの大型カンファレンスホテルの一つが満席となり、他のホテルにも溢れかえり、数千人の参加者が3日間にわたるプレゼンテーション、パネルディスカッション、ネットワーキングを楽しみました。この大会は、同社の製品発表スケジュールの目玉であり、既存ユーザーにとっては絶好のトレーニング機会となっています。営業担当は、見込み顧客にも参加を勧めており、多様なニーズに合わせてシステムをカスタマイズする方法をより深く理解し、このシステムを導入することで、まるで家族のようなコミュニティの一員となることを理解してもらっています。
    今年のカンファレンス開催まであと3週間。さて、カンファレンスをサポートする新たな取り組みのニュースが届きました。参加者向けのスマートフォンアプリです。このアプリは、事前登録に対応し、注目のプレゼンテーションをハイライト表示し、カンファレンスプログラムのモバイル版を提供します。さらに、対象地域で最高の料理を提供するレストラン予約システムにもリンクしています。「本当にうまくいけば、素晴らしいものになるでしょうね」と開発者のデイドラ・ホフマンは言います。彼女は緊張した面持ちで笑いながら、アプリ開発の期限が迫っていたため、地元の企業に外注したと説明します。「たった3人の若者ですが、素晴らしい仕事をしてくれます」と彼女は言います。彼女は、彼らがこれまでに開発した他のアプリについても説明します。なぜ彼らにこの仕事を依頼したのかと尋ねると、デイドラは肩をすくめます。「彼らは良い仕事をしてくれるので、彼らを選んだのです」。デイドラは素晴らしい実績を持つ優秀な社員です。だからこそ、この急ぎのプロジェクトを任されたのです。彼女は会社の利益を第一に考えていると確信しており、延期できない期限に間に合わせるプレッシャーを感じていることも間違いありません。しかし、アプリの個人データの取り扱いとセキュリティ対策について懸念を抱いています。休憩室で昼食をとりながら、あなたは彼女にその件について話し始めましたが、彼女はすぐに「あなたの助けがあれば、セキュリティ上の問題があれば解決できますが、おそらく問題が発生することはないでしょう。彼らはアプリ開発を生業としており、自分の仕事のやり方を熟知しています。あなたは心配しすぎですが、だからこそあなたは仕事ができるのです!」とあなたを安心させようとします。あなたは、この件に関して通常の手順が遵守されていないことを指摘したいと思っています。具体的にどのプロセスが軽視されているのでしょうか?
  • CIPM 試験問題 95

    シナリオ
    次の質問に回答するには、以下を使用してください。
    リチャード・マクアダムス氏は最近ロースクールを卒業し、バージニア州レキシントンの小さな町に戻り、高齢の祖父の法律事務所を手伝うことにしました。マクアダムス氏は、自分が完全に引退した後は孫に事務所を継いでほしいと考え、事務所内で限定的で軽めの役割を担うことを希望していました。マクアダムス氏はリチャード氏に加え、2人のパラリーガル、事務アシスタント1名、そして基本的なネットワーク関連業務全般を担当するパートタイムのITスペシャリスト1名を雇用しています。リチャード氏が事務所に落ち着き、今後の成長戦略を検討した暁には、さらに従業員を雇用する予定です。
    リチャードは着任早々、オフィスの近代化、特に顧客の個人データの取り扱いに関して、膨大な作業量に驚嘆しました。彼の最初の目標は、ファイルキャビネットに保管されているすべての記録をデジタル化することです。多くの文書には、個人を特定できる財務データや医療データが含まれているためです。また、リチャードは事務員が一日中大量のコピーを行っていることにも気づきました。これは、ファイルキャビネット内のファイル数を日々増加させるだけでなく、正式なポリシーがしっかりと整備されていない限り、セキュリティ上の問題を引き起こす可能性があります。リチャードはまた、ビルを頻繁に訪れる顧客の目に入る場所に設置されている共用のコピー機/プリンターの過剰な使用にも懸念を抱いています。さらに、全従業員が同じファックス機を使用していることも懸念事項です。リチャードは、個人データが最大限のセキュリティと保護を受けられるよう、ファックス機の使用を大幅に削減し、年末までに厳格なインターネットファックスポリシーを導入したいと考えています。
    リチャードは祖父に懸念を伝えました。祖父も、データストレージ、データセキュリティの更新、そしてあらゆる側面における個人データ保護を強化するための総合的なアプローチが必要だと同意しました。マクアダムス氏は彼にそうする自由と権限を与えました。リチャードは弁護士としてのキャリアをスタートさせるだけでなく、小さな事務所のプライバシーオフィサーとしても活躍しています。リチャードは翌日、IT担当者と面談し、オフィスのコンピュータシステムの現在の設定と管理状況を把握する予定です。
    次のポリシー ステートメントのうち、クライアントの個人データをさらに保護するために追加の指示が必要なものはどれですか。