CIPM 試験問題 96

シナリオ
次の質問に回答するには、以下を使用してください。
マーティン・ブリセノ氏は、米国ホテルチェーン「パシフィック・スイーツ」のキャニオンシティ支店で人事部長を務めています。1998年、ブリセノ氏はホテルのOJTモデルを、ライン職から管理職へと昇進する従業員向けの標準化された研修プログラムに変更することを決定しました。彼は、一連のレッスン、シナリオ、評価からなるカリキュラムを開発し、少人数グループに対面で提供しました。研修への関心が高まり、ブリセノ氏は企業の人事スペシャリストやソフトウェアエンジニアと協力し、このプログラムをオンライン形式で提供しました。オンラインプログラムによって、トレーナー費用を削減し、参加者は自分のペースで教材を進めることができました。
ブリセノ氏のプログラムの成功を耳にしたパシフィックスイーツのコーポレートバイスプレジデント、マリアンヌ・シルバ=ヘイズは、研修を拡大し、全社的に提供しました。プログラムを修了した従業員は、パシフィックスイーツ・ホスピタリティ・スーパーバイザーの資格を取得しました。2001年までに、このプログラムは業界全体を対象とした研修へと成長しました。全米のホテル従業員は、オンラインで登録し、料金を支払うことでコースを受講できるようになりました。
プログラムの収益性が高まるにつれ、パシフィックスイーツは派生事業としてパシフィック・ホスピタリティ・トレーニング(PHT)を立ち上げました。PHTは、ホスピタリティ業界における様々な専門資格取得を支援する、多様なオンラインコースとコースプログラムの開発と販売に特化しました。
PHTでユーザーアカウントを設定することで、コース参加者は情報ライブラリにアクセスし、コースに登録し、コース終了時の認定テストを受けることができました。ユーザーが新規アカウントを開設すると、氏名、生年月日、連絡先、クレジットカード情報、勤務先、役職など、すべての情報がデフォルトで保存されました。登録ページには、クレジットカード番号を保存しないためのオプトアウトオプションが用意されていました。ユーザー名とパスワードを設定すると、ユーザーはコースのステータスを確認したり、認定証を確認・再発行したり、新しいコースに登録して支払いをしたりできるようになりました。2002年から
2008 年、PHT は 700,000 件を超える専門認定を発行しました。
PHTの利益は、業界の縮小とeラーニングプロバイダーとの競争激化の影響を受け、2009年と2010年に減少しました。2011年までに、パシフィックスイーツはオンライン認定事業から撤退し、PHTは解散しました。研修プログラムのシステムと記録は、パシフィックスイーツのデジタルアーカイブに残され、アクセスもされず、使用もされていませんでした。ブリセノ氏とシルバ=ヘイズ氏は他の企業に移籍し、プログラム終了後のアーカイブデータの取り扱い計画はありませんでした。PHT解散後、パシフィックスイーツの幹部は重要な日常業務に注力し、リソースに余裕ができたらPHTの教材を処理する計画を立てました。
2012年、パシフィックスイーツのコンピュータネットワークがハッキングを受けました。オンライン予約システムにインストールされたマルウェアにより、数百人のホテル宿泊客のクレジットカード情報が流出しました。ハッカーは予約サイトの財務データを標的にしながら、パシフィック・ホスピタリティ・トレーニングの顧客のアーカイブされたトレーニングコースデータと登録アカウントも発見しました。その結果、最近の宿泊客のクレジットカード番号とPHTデータベースとそのすべてのコンテンツが流出しました。
パシフィックスイーツのシステムアナリストが、アクティビティレポートの定期スキャン中に情報セキュリティ侵害を発見しました。パシフィックスイーツは、深刻な被害を防ぐため、クレジットカード会社と最近宿泊した宿泊客に速やかに侵害を通知しました。セキュリティ技術エンジニアは、PHTデータの処理に課題を抱えていました。
PHTのコース管理者とITエンジニアは、情報を追跡、カタログ化し、保管するためのシステムを備えていませんでした。パシフィックスイーツにはデータへのアクセスと保管に関する手順が整備されていましたが、PHT設立時にはこれらの手順は導入されていませんでした。PHTデータベースがパシフィックスイーツに買収された当時、データベースには所有者も監督者もいませんでした。セキュリティ技術エンジニアが漏洩した個人情報を特定するまでに、少なくとも8,000人のクレジットカード保有者が不正行為の被害者となる可能性がありました。
強力なデータライフサイクル管理ポリシーは、侵害の防止にどのように役立つでしょうか?
  • CIPM 試験問題 97

    次のどれがプライバシー バイ デザイン (PbD) の例ですか?
  • CIPM 試験問題 98

    シナリオ
    次の質問に回答するには、以下を使用してください。
    ベンは、顧客向けの照明ソリューションを設計する会社、IgNight, Inc. の IT 部門で働いています。
    IgNight の顧客基盤は主に米国のオフィスから構成されていますが、照明器具のユニークな美しさと省エネ設計に非常に感銘を受けた個人の中には、世界各地の自宅に IgNight の照明器具を設置してほしいと依頼する人もいます。
    ある日曜日の朝、ベンは会社のファイルで不審なユーザーアクティビティに気づきました。ざっと見たところ、データはすべて正しい場所に残っているように見えますが、何かがおかしいという予感が拭えません。同僚が予定外のメンテナンスを行っている可能性もあると認識していましたが、会社のセキュリティチームから、業界を標的とする既知の悪意のある攻撃者グループからの攻撃に警戒するよう従業員に促すメールが届いたことを思い出しました。
    ベンは勤勉な従業員で、会社を守りたいと思っていますが、週末に一生懸命働く同僚に迷惑をかけたくはありません。彼は朝一番でこの件についてマネージャーと話し合うつもりですが、この分野に関する自分の知識を証明し、昇進を勝ち取るためにしっかりと準備しておきたいと考えています。
    これがデータ侵害だとしたら、どのように分類されるでしょうか?
  • CIPM 試験問題 99

    データ保護影響評価 (DPIA) を正しく実行すると、組織と個人にとって win-win のシナリオをどのように作成できるのでしょうか?
  • CIPM 試験問題 100

    技術的制御の評価を行う際の主要なプライバシー目標は何ですか?