CIPM 試験問題 6
従業員が上司にメールを送信しようとしたところ、銀行口座情報を含む全顧客リストを、別の会社の同名従業員に送信してしまいました。一般データ保護規則(GDPR)に基づくインシデント対応計画の第一段階となるのは次のうちどれですか?
CIPM 試験問題 7
シナリオ
次の質問に答えるには、以下を使用してください。
リアムは、世界的なEコマース展開を誇る米国発のアウトドアウェアブランド、メサに新しく情報技術(IT)コンプライアンス・マネージャーとして任命されました。入社2週目に、同社のIT監査マネージャーから連絡があり、監査チームが1ヶ月後にメサのプライバシー・コンプライアンス・リスクのレビューを実施する予定だと伝えられました。
監査に少し不安を感じたリアムは、上司に前任者が退職前にプライバシーコンプライアンスに関してどのような実績を残していたかを尋ねました。すると、ウェブサイトに同意管理ツールが追加され、昨年、小規模なコンサルティング会社にプライバシーリスク評価を依頼したところ、現在の統制環境を考慮するとリスクエクスポージャーは比較的低いと判断されたと説明されました。コンサルタントの報告書を読んだリアムは、評価の範囲が米国の侵害通知法とクレジットカード業界のデータセキュリティ基準(PCI DSS)に限定されていることに気づきました。
新しいチームを失望させたくないリアムは、報告書に関する懸念を胸に秘め、監査前に追加の管理策を導入しようと考えた。前職でプライバシーコンプライアンスの経験があったリアムは、まずはEコマースチームとマーケティングチームと話し合うことから始めようと考えた。
Eコマース担当ディレクターは、CIOがホーム画面に強制的に設置したCookie同意ツールをまだ使用しているものの、オフィスがカリフォルニアにもヨーロッパにもないため、その意味が理解できないとリアムに伝えた。マーケティング担当ディレクターは、メーリングリストの購入とショットガンアプローチによるダイレクトマーケティングの成功を誇示した。両ディレクターは、顧客体験を向上させると同時に、顧客が他にどこで買い物をしたかをより深く理解するために、ウェブサイト上のトラッキングツールを重点的に活用していると強調した。リアムが面談を重ねるにつれ、メサにおけるプライバシー意識と全般的な管理体制の改善が不可欠であることが明らかになった。
監査の3週間前、リアムは競合他社のウェブサイトから引用・修正したメサのプライバシー通知を自ら更新しました。また、メサ社内におけるプライバシーに関する役割と責任を概説したポリシーと手順を作成し、個人情報にアクセスできるすべての部署に配布しました。
この間、リアムはカスタマーサービスマネージャーから送られてきたデータ主体の削除依頼のバックログも処理しました。リアムはアプリケーションオーナーと協力し、顧客関係管理(CRM)ツール、エンタープライズリソースプランニング(ERP)、データウェアハウス、メールサーバーから、これらの個人情報と注文履歴を削除しました。
監査キックオフミーティングで、リアムは上司とそのチームに対し、まだ改善の余地はあるかもしれないが、これまでの作業に基づいてリスクは適切なレベルまで軽減されていると考えていると説明した。
監査完了後、監査マネージャーとリアムは、彼女のチームの調査結果について話し合うために面会しました。リアムは落胆しました。監査前に自分が行った作業は、ガバナンスとリスク軽減に関するベストプラクティスを全く遵守していなかったと告げられたのです。実際、彼の行動は会社をさらなるリスクと監視の目にさらされるだけに終わりました。これらの調査結果に基づき、リアムは外部の弁護士と実績のあるプライバシーコンサルタントと協力し、改善計画を策定しました。
監査後に Liam に提供されたフィードバックを考慮すると、監査チームがプライバシー成熟度モデル (PMM) を使用した場合、Mesa のプライバシー ポリシーと手順にどの成熟度レベルを割り当てる可能性が最も高いでしょうか。
次の質問に答えるには、以下を使用してください。
リアムは、世界的なEコマース展開を誇る米国発のアウトドアウェアブランド、メサに新しく情報技術(IT)コンプライアンス・マネージャーとして任命されました。入社2週目に、同社のIT監査マネージャーから連絡があり、監査チームが1ヶ月後にメサのプライバシー・コンプライアンス・リスクのレビューを実施する予定だと伝えられました。
監査に少し不安を感じたリアムは、上司に前任者が退職前にプライバシーコンプライアンスに関してどのような実績を残していたかを尋ねました。すると、ウェブサイトに同意管理ツールが追加され、昨年、小規模なコンサルティング会社にプライバシーリスク評価を依頼したところ、現在の統制環境を考慮するとリスクエクスポージャーは比較的低いと判断されたと説明されました。コンサルタントの報告書を読んだリアムは、評価の範囲が米国の侵害通知法とクレジットカード業界のデータセキュリティ基準(PCI DSS)に限定されていることに気づきました。
新しいチームを失望させたくないリアムは、報告書に関する懸念を胸に秘め、監査前に追加の管理策を導入しようと考えた。前職でプライバシーコンプライアンスの経験があったリアムは、まずはEコマースチームとマーケティングチームと話し合うことから始めようと考えた。
Eコマース担当ディレクターは、CIOがホーム画面に強制的に設置したCookie同意ツールをまだ使用しているものの、オフィスがカリフォルニアにもヨーロッパにもないため、その意味が理解できないとリアムに伝えた。マーケティング担当ディレクターは、メーリングリストの購入とショットガンアプローチによるダイレクトマーケティングの成功を誇示した。両ディレクターは、顧客体験を向上させると同時に、顧客が他にどこで買い物をしたかをより深く理解するために、ウェブサイト上のトラッキングツールを重点的に活用していると強調した。リアムが面談を重ねるにつれ、メサにおけるプライバシー意識と全般的な管理体制の改善が不可欠であることが明らかになった。
監査の3週間前、リアムは競合他社のウェブサイトから引用・修正したメサのプライバシー通知を自ら更新しました。また、メサ社内におけるプライバシーに関する役割と責任を概説したポリシーと手順を作成し、個人情報にアクセスできるすべての部署に配布しました。
この間、リアムはカスタマーサービスマネージャーから送られてきたデータ主体の削除依頼のバックログも処理しました。リアムはアプリケーションオーナーと協力し、顧客関係管理(CRM)ツール、エンタープライズリソースプランニング(ERP)、データウェアハウス、メールサーバーから、これらの個人情報と注文履歴を削除しました。
監査キックオフミーティングで、リアムは上司とそのチームに対し、まだ改善の余地はあるかもしれないが、これまでの作業に基づいてリスクは適切なレベルまで軽減されていると考えていると説明した。
監査完了後、監査マネージャーとリアムは、彼女のチームの調査結果について話し合うために面会しました。リアムは落胆しました。監査前に自分が行った作業は、ガバナンスとリスク軽減に関するベストプラクティスを全く遵守していなかったと告げられたのです。実際、彼の行動は会社をさらなるリスクと監視の目にさらされるだけに終わりました。これらの調査結果に基づき、リアムは外部の弁護士と実績のあるプライバシーコンサルタントと協力し、改善計画を策定しました。
監査後に Liam に提供されたフィードバックを考慮すると、監査チームがプライバシー成熟度モデル (PMM) を使用した場合、Mesa のプライバシー ポリシーと手順にどの成熟度レベルを割り当てる可能性が最も高いでしょうか。
CIPM 試験問題 8
シナリオ
次の質問に回答するには、以下を使用してください。
マナサはオムニプレゼンツ・オムニメディアのプロダクトマネージャーとして、同社の主力製品であるHandy Helperの開発を主導しています。Handy Helperは、家庭内で家族の予定管理、オンラインショッピング、医師の予約などができるアプリケーションです。米国での発売が好調に進み、まもなく世界中で販売開始となります。
Handy Helperのパッケージとユーザーガイドには、お子様を含む家族全員に適した「プライバシーに配慮した」製品であると記載されていますが、それ以上の詳細やプライバシーに関する通知は記載されていません。このアプリケーションを使用するには、家族で1つのアカウントを作成し、主要ユーザーは他のユーザーに関するすべての情報にアクセスできます。起動時に、主要ユーザーはOmnipresent Omnimediaおよび選定されたマーケティングパートナーからのマーケティングメールの受信に同意するボックスにチェックを入れることで、アプリケーションを利用できるようになります。
Omnipresent Omnimediaのプライバシー責任者であるサンジェイは、Handy Helperのヨーロッパの販売代理店との契約締結に取り組んでいた際、販売代理店から製品に関する多くの質問を受けました。サンジェイは製品開発プロセスに関わっていなかったため、質問に答えるためには製品をより詳しく調べる必要がありました。
製品チームとの会話の中で、Handy Helperが医療予約スケジューラーのためにユーザーの機密性の高い医療情報をすべて収集・保存していることを知りました。実際には、Handy Helperは追加製品の開発と製品の使用状況分析のために、ユーザーのすべての情報を収集・保存しています。これらのデータはすべてクラウドに保存され、送信中も保存時も暗号化されています。
素晴らしい新製品のアイデアは誰からでも生まれるという CEO の哲学に従い、Omnipresent Omnimedia の全従業員は、Eurek a と呼ばれるプログラムを通じてユーザー データにアクセスできます。Omnipresent Omnimedia は、将来的には、データから人工知能で実行される完全に自動化されたアプリケーションの作成に使用できる洞察が得られることを期待していますが、現時点では Eureka は明確に定義されておらず、長期的な目標と考えられています。
マナサはシステム開発プロセスのどのステップを省略しましたか?
次の質問に回答するには、以下を使用してください。
マナサはオムニプレゼンツ・オムニメディアのプロダクトマネージャーとして、同社の主力製品であるHandy Helperの開発を主導しています。Handy Helperは、家庭内で家族の予定管理、オンラインショッピング、医師の予約などができるアプリケーションです。米国での発売が好調に進み、まもなく世界中で販売開始となります。
Handy Helperのパッケージとユーザーガイドには、お子様を含む家族全員に適した「プライバシーに配慮した」製品であると記載されていますが、それ以上の詳細やプライバシーに関する通知は記載されていません。このアプリケーションを使用するには、家族で1つのアカウントを作成し、主要ユーザーは他のユーザーに関するすべての情報にアクセスできます。起動時に、主要ユーザーはOmnipresent Omnimediaおよび選定されたマーケティングパートナーからのマーケティングメールの受信に同意するボックスにチェックを入れることで、アプリケーションを利用できるようになります。
Omnipresent Omnimediaのプライバシー責任者であるサンジェイは、Handy Helperのヨーロッパの販売代理店との契約締結に取り組んでいた際、販売代理店から製品に関する多くの質問を受けました。サンジェイは製品開発プロセスに関わっていなかったため、質問に答えるためには製品をより詳しく調べる必要がありました。
製品チームとの会話の中で、Handy Helperが医療予約スケジューラーのためにユーザーの機密性の高い医療情報をすべて収集・保存していることを知りました。実際には、Handy Helperは追加製品の開発と製品の使用状況分析のために、ユーザーのすべての情報を収集・保存しています。これらのデータはすべてクラウドに保存され、送信中も保存時も暗号化されています。
素晴らしい新製品のアイデアは誰からでも生まれるという CEO の哲学に従い、Omnipresent Omnimedia の全従業員は、Eurek a と呼ばれるプログラムを通じてユーザー データにアクセスできます。Omnipresent Omnimedia は、将来的には、データから人工知能で実行される完全に自動化されたアプリケーションの作成に使用できる洞察が得られることを期待していますが、現時点では Eureka は明確に定義されておらず、長期的な目標と考えられています。
マナサはシステム開発プロセスのどのステップを省略しましたか?
CIPM 試験問題 9
シナリオ
次の質問に答えるには以下を使用してください
あなたは最近、InStyle Data Corp が新しいデータ保護法に準拠できるように支援するプライバシー マネージャーとして InStyte Date Corp に採用されました。法律では、企業が個人データを保護するために合理的かつ適切なセキュリティ対策を講じることを義務付けています。この義務に違反すると高額の罰金が科せられ、立法者は新法を遵守しない企業を積極的に追及すると表明しています。あなたはセキュリティマネージャーを任命し、InStyle Data Corpの現状をレビューし、「合理的かつ適切なセキュリティ」要件を満たす方法を助言する任務を負っています。InStyle Data Corpは急速に成長しましたが、データインベントリの保持やデータマッピングの完了がありませんでした。また、InStyle Data Corpはセキュリティ関連のポリシーをアドホックに策定しており、その多くは未だ実装されていません。InStyle Data Corpの製品の開発とテストに携わる様々なチームは、頻繁に異動があり、役割が明確に定義されていません。どの製品がどのような目的でどのような個人データを処理するかを示す文書はほとんどありません。InStyle Data Corpが新法の施行までにコンプライアンスを遵守できるよう、このプロジェクトに直ちに着手する必要があります。あなたとパートナーは、InStyle Data Corpが機密性の高い個人データを含むファイルを顧客に定期的にメールで送り返していることを発見しました。その際、InStyle Data Corpの従業員の個人メールアカウントが使用されることもあります。また、InStyle Data Corp のプライバシー チームと情報セキュリティ チームには、新しい個人データ フロー、InStyle Data Corp が開発した個人データを処理する新製品、または個人データの処理内容や処理方法を変更する可能性のある既存の InStyle Data Corp 製品の更新については、製品または更新が終了するまで通知されないことにも留意してください。
InStyle Data Corpのテスト環境および開発環境のログを確認した結果、InStyle Data Corpが、ログイン認証情報を要求するInStyle Data Corpの従業員または請負業者に、時折認証情報を提供していることが判明しました。テスト環境にはダミーデータのみが含まれていますが、開発環境には社会保障番号、身分証明書、財務情報などの個人データが含まれています。認証を受けたInStyle Data Corpの従業員と請負業者は全員、役割やプロジェクトに関わらず、両方の環境で個人データを追跡および削除できます。
あなたとパートナーは、発見した問題点を挙げてギャップ評価を行い、推奨される是正措置と実装の測定方法を提示します。InStyle Data Corp は、推奨されるセキュリティ制御をすべて実装します。あなたは、あらゆる段階で個人データを適切に保護するために講じられたプロセス、役割、制御、および対策を確認します。しかし、監視の計画はなく、更新されたポリシーと手順の違反に対する制裁に対処するための措置も講じられていないことに気づきます。InStyle Data Corp は、そのような監視を行うリソースがないとして反対します。
準拠するためのリソースが見つからない場合、データ管理ライフサイクルのどの側面がまだ対処されていないことになりますか?
次の質問に答えるには以下を使用してください
あなたは最近、InStyle Data Corp が新しいデータ保護法に準拠できるように支援するプライバシー マネージャーとして InStyte Date Corp に採用されました。法律では、企業が個人データを保護するために合理的かつ適切なセキュリティ対策を講じることを義務付けています。この義務に違反すると高額の罰金が科せられ、立法者は新法を遵守しない企業を積極的に追及すると表明しています。あなたはセキュリティマネージャーを任命し、InStyle Data Corpの現状をレビューし、「合理的かつ適切なセキュリティ」要件を満たす方法を助言する任務を負っています。InStyle Data Corpは急速に成長しましたが、データインベントリの保持やデータマッピングの完了がありませんでした。また、InStyle Data Corpはセキュリティ関連のポリシーをアドホックに策定しており、その多くは未だ実装されていません。InStyle Data Corpの製品の開発とテストに携わる様々なチームは、頻繁に異動があり、役割が明確に定義されていません。どの製品がどのような目的でどのような個人データを処理するかを示す文書はほとんどありません。InStyle Data Corpが新法の施行までにコンプライアンスを遵守できるよう、このプロジェクトに直ちに着手する必要があります。あなたとパートナーは、InStyle Data Corpが機密性の高い個人データを含むファイルを顧客に定期的にメールで送り返していることを発見しました。その際、InStyle Data Corpの従業員の個人メールアカウントが使用されることもあります。また、InStyle Data Corp のプライバシー チームと情報セキュリティ チームには、新しい個人データ フロー、InStyle Data Corp が開発した個人データを処理する新製品、または個人データの処理内容や処理方法を変更する可能性のある既存の InStyle Data Corp 製品の更新については、製品または更新が終了するまで通知されないことにも留意してください。
InStyle Data Corpのテスト環境および開発環境のログを確認した結果、InStyle Data Corpが、ログイン認証情報を要求するInStyle Data Corpの従業員または請負業者に、時折認証情報を提供していることが判明しました。テスト環境にはダミーデータのみが含まれていますが、開発環境には社会保障番号、身分証明書、財務情報などの個人データが含まれています。認証を受けたInStyle Data Corpの従業員と請負業者は全員、役割やプロジェクトに関わらず、両方の環境で個人データを追跡および削除できます。
あなたとパートナーは、発見した問題点を挙げてギャップ評価を行い、推奨される是正措置と実装の測定方法を提示します。InStyle Data Corp は、推奨されるセキュリティ制御をすべて実装します。あなたは、あらゆる段階で個人データを適切に保護するために講じられたプロセス、役割、制御、および対策を確認します。しかし、監視の計画はなく、更新されたポリシーと手順の違反に対する制裁に対処するための措置も講じられていないことに気づきます。InStyle Data Corp は、そのような監視を行うリソースがないとして反対します。
準拠するためのリソースが見つからない場合、データ管理ライフサイクルのどの側面がまだ対処されていないことになりますか?
CIPM 試験問題 10
「収集」、「アクセス」、「破棄」はどのようなプライバシー管理プロセスの側面ですか?
