CIPM 試験問題 236

ある組織のプライバシー担当者は、福利厚生マネージャーから、全従業員の退職年金登録レポートを誤って別のベンダーに送信してしまったという通知を受けました。
プライバシー担当者が最初に実行する必要があるアクションは次のうちどれですか?
  • CIPM 試験問題 237

    データ保護影響評価 (DPIA) を実行するための最低要件には次が含まれますか?
  • CIPM 試験問題 238

    プライバシー フレームワークの開発では、個々のプログラムのニーズと特定の組織目標はどのように特定されますか?
  • CIPM 試験問題 239

    シナリオ
    次の質問に答えるには、以下を使用してください。
    Edufoxは、同社の有名なeラーニングソフトウェアプラットフォームのユーザー向け年次大会を主催しており、時とともに盛大なイベントへと成長しました。ダウンタウンの大型カンファレンスホテルの一つが満席となり、他のホテルにも溢れかえり、数千人の参加者が3日間にわたるプレゼンテーション、パネルディスカッション、ネットワーキングを楽しみました。この大会は、同社の製品発表スケジュールの目玉であり、既存ユーザーにとっては絶好のトレーニング機会となっています。営業担当は、見込み顧客にも参加を勧めており、多様なニーズに合わせてシステムをカスタマイズする方法をより深く理解し、このシステムを導入することで、まるで家族のようなコミュニティの一員となることを理解してもらっています。
    今年のカンファレンスまであと 3 週間ですが、カンファレンスをサポートする新しい取り組みについてのニュースを耳にしたばかりです。
    参加者向けのスマートフォンアプリです。このアプリは、直前の登録に対応し、注目のプレゼンテーションをハイライト表示し、会議プログラムのモバイル版を提供します。また、対象地域で最高の料理を提供するレストラン予約システムにもリンクしています。「本当にうまくいけば、素晴らしいものになるでしょう」と開発者のデイドラ・ホフマンは言います。「もちろん、実際にうまくいけばの話ですが!」彼女は緊張した面持ちで笑いながら、アプリ開発の期限が迫っていたため、地元の企業に外注したと説明します。「たった3人の若者ですが、素晴らしい仕事をしてくれます」と彼女は言います。彼女は、彼らがこれまでに開発した他のアプリについても説明します。なぜこの仕事に選ばれたのかと尋ねると、デイドラは肩をすくめます。「彼らは良い仕事をしてくれるので、彼らを選んだのです」。デイドラは素晴らしい実績を持つ優秀な従業員です。だからこそ、この急ぎのプロジェクトを任されたのです。彼女は会社の利益を第一に考えていると確信しており、延期できない期限に間に合わせるプレッシャーを感じていることも間違いありません。しかし、アプリの個人データの取り扱いとセキュリティ対策について懸念を抱いています。休憩室で昼食をとりながら、その件について彼女に相談しようとしたところ、彼女はすぐに「あなたの助けがあれば、セキュリティ上の問題があれば解決できますが、おそらく問題が発生することはないでしょう。彼らはアプリ開発を生業としており、自分の仕事について熟知しています。あなたは心配しすぎですが、だからこそあなたは仕事ができるのです!」とあなたを安心させようとします。あなたは、会社の従業員が新しい取り組みを展開する際に、プライバシー担当者の指示を日常的に回避しているという証拠を目にします。この問題の深刻さに、どのように注意を喚起すれば良いでしょうか?
  • CIPM 試験問題 240

    シナリオ
    次の質問に回答するには、以下を使用してください。
    マーティン・ブリセノ氏は、米国ホテルチェーン「パシフィック・スイーツ」のキャニオンシティ支店で人事部長を務めています。1998年、ブリセノ氏はホテルのOJTモデルを、ライン職から管理職へと昇進する従業員向けの標準化された研修プログラムに変更することを決定しました。彼は、一連のレッスン、シナリオ、評価からなるカリキュラムを開発し、少人数グループに対面で提供しました。研修への関心が高まり、ブリセノ氏は企業の人事スペシャリストやソフトウェアエンジニアと協力し、このプログラムをオンライン形式で提供しました。オンラインプログラムによって、トレーナー費用を削減し、参加者は自分のペースで教材を進めることができました。
    ブリセノ氏のプログラムの成功を聞きつけたパシフィックスイーツの副社長、マリアンヌ・シルバ=ヘイズは、この研修を拡大し、全社的に提供しました。プログラムを修了した従業員は、パシフィックスイーツ・ホスピタリティ・スーパーバイザーの資格を取得しました。2001年までに、このプログラムは業界全体を対象とした研修へと成長しました。全米のホテル従業員が登録し、料金を支払うことでオンラインコースを受講できるようになりました。プログラムの収益性が高まるにつれ、パシフィックスイーツはパシフィック・ホスピタリティ・トレーニング(PHT)という派生事業を立ち上げました。PHTは、ホスピタリティ業界の様々な専門資格取得を支援する、多様なオンラインコースとコースプログレッションの開発と販売に特化しました。
    PHTでユーザーアカウントを設定すると、コース参加者は情報ライブラリにアクセスし、コースに登録し、コース終了時の認定テストを受けることができました。ユーザーが新規アカウントを開設すると、氏名、生年月日、連絡先、クレジットカード情報、勤務先、役職など、すべての情報がデフォルトで保存されました。登録ページには、クレジットカード番号を保存したくない場合はクリックできるオプトアウトの選択肢がありました。ユーザー名とパスワードを設定すると、ユーザーはコースのステータスを確認したり、認定証を確認・再発行したり、新しいコースに登録して支払いをしたりできるようになりました。2002年から2008年の間に、PHTは70万件以上の専門認定証を発行しました。
    PHTの利益は、業界の縮小とeラーニングプロバイダーとの競争激化の影響を受け、2009年と2010年に減少しました。2011年までに、パシフィックスイーツはオンライン認定事業から撤退し、PHTも解散しました。研修プログラムのシステムと記録は、パシフィックスイーツのデジタルアーカイブに残され、アクセスもされず、使用もされていませんでした。ブリセノ氏とシルバ=ヘイズ氏は他の企業に移籍し、プログラム終了後のアーカイブデータの取り扱い計画は未だに存在していませんでした。PHT解散後、パシフィックスイーツの経営陣は重要な日常業務に集中し、リソースに余裕ができたらPHTの教材を取り扱う計画を立てました。
    2012年、パシフィックスイーツのコンピュータネットワークがハッキングを受けました。オンライン予約システムにインストールされたマルウェアにより、数百人のホテル宿泊客のクレジットカード情報が流出しました。ハッカーは予約サイトの財務データを標的にしながら、パシフィック・ホスピタリティ・トレーニングの顧客のアーカイブされたトレーニングコースデータと登録アカウントも発見しました。その結果、最近の宿泊客のクレジットカード番号とPHTデータベースとそのすべてのコンテンツが流出しました。
    パシフィックスイーツのシステムアナリストが、アクティビティレポートの定期スキャン中に情報セキュリティ侵害を発見しました。パシフィックスイーツは、深刻な被害を防ぐため、クレジットカード会社と最近宿泊した宿泊客に速やかに侵害を通知しました。セキュリティ技術エンジニアは、PHTデータの処理に課題を抱えていました。
    PHTのコース管理者とITエンジニアは、情報を追跡、カタログ化し、保管するためのシステムを備えていませんでした。パシフィックスイーツにはデータへのアクセスと保管に関する手順が整備されていましたが、PHT設立時にはこれらの手順は導入されていませんでした。PHTデータベースがパシフィックスイーツに買収された当時、データベースには所有者も監督者もいませんでした。セキュリティ技術エンジニアが漏洩した個人情報を特定するまでに、少なくとも8,000人のクレジットカード保有者が不正行為の被害者となる可能性がありました。
    Pacific Suite がこのセキュリティ侵害を管理する際に主に重点を置くべきことは何でしょうか?