CIPM 試験問題 26

プライバシー保護における「対象エンティティ」とは何ですか?
  • CIPM 試験問題 27

    シナリオ
    次の質問に答えるには以下を使用してください
    あなたは最近、InStyle Data Corp が新しいデータ保護法に準拠できるように支援するプライバシー マネージャーとして InStyte Date Corp に採用されました。法律では、企業が個人データを保護するために合理的かつ適切なセキュリティ対策を講じることを義務付けています。この義務に違反すると高額の罰金が科せられ、立法者は新法を遵守しない企業を積極的に追及すると表明しています。あなたはセキュリティマネージャーを任命し、InStyle Data Corpの現状をレビューし、「合理的かつ適切なセキュリティ」要件を満たす方法を助言する任務を負っています。InStyle Data Corpは急速に成長しましたが、データインベントリの保持やデータマッピングの完了がありませんでした。また、InStyle Data Corpはセキュリティ関連のポリシーをアドホックに策定しており、その多くは未だ実装されていません。InStyle Data Corpの製品の開発とテストに携わる様々なチームは、頻繁に異動があり、役割が明確に定義されていません。どの製品がどのような目的でどのような個人データを処理するかを示す文書はほとんどありません。InStyle Data Corpが新法の施行までにコンプライアンスを遵守できるよう、このプロジェクトに直ちに着手する必要があります。あなたとパートナーは、InStyle Data Corpが機密性の高い個人データを含むファイルを顧客に定期的にメールで送り返していることを発見しました。その際、InStyle Data Corpの従業員の個人メールアカウントが使用されることもあります。また、InStyle Data Corp のプライバシー チームと情報セキュリティ チームには、新しい個人データ フロー、InStyle Data Corp が開発した個人データを処理する新製品、または個人データの処理内容や処理方法を変更する可能性のある既存の InStyle Data Corp 製品の更新については、製品または更新が終了するまで通知されないことにも留意してください。
    InStyle Data Corp のテストおよび開発環境のログを確認すると、InStyle Data Corp がログイン資格情報を要求する InStyle Data Corp の従業員または請負業者にログイン資格情報を提供する場合があることがわかります。
    テスト環境にはダミー データのみが含まれますが、開発環境には社会保障番号、身分証明書、財務情報などの個人データが含まれます。資格のある InStyle Data Corp の従業員と請負業者はすべて、役割や取り組んでいるプロジェクトに関係なく、両方の環境で個人データを追跡および削除できます。
    あなたとパートナーは、発見した問題点を挙げてギャップ評価を行い、推奨される是正措置と実装の測定方法を提示します。InStyle Data Corp は、推奨されるセキュリティ制御をすべて実装します。あなたは、あらゆる段階で個人データを適切に保護するために講じられたプロセス、役割、制御、および対策を確認します。しかし、監視の計画はなく、更新されたポリシーと手順の違反に対する制裁に対処するための措置も講じられていないことに気づきます。InStyle Data Corp は、そのような監視を行うリソースがないとして反対します。
    準拠するためのリソースが見つからない場合、データ管理ライフサイクルのどの側面がまだ対処されていないことになりますか?
  • CIPM 試験問題 28

    シナリオ
    次の質問に回答するには、以下を使用してください。
    同社の新CEOに就任したトーマス・ゴダード氏は、データ保護のリーダーとして認知されることを目指しています。ゴダード氏は最近まで、世界中に数百万人のユーザーを抱えるオンライン動画視聴のパイオニアであるHoopy.comの最高財務責任者を務めていました。しかしながら、Hoopyはプライバシー保護の分野では、個人データをマーケティング担当者に無許可で販売するなど、倫理的に問題のある行為で悪名高い存在です。
    フーピーはまた、世界中で話題となったクレジットカード情報盗難の標的にもなっており、少なくとも200万枚のクレジットカード番号が盗まれたとみられているが、同社はその主張にもかかわらず、
    「適切な」データ保護対策が実施されていました。競合他社は同様のエンターテイメント・メディアコンテンツを提供しながら、より高度な保護対策を迅速に打ち出したため、このスキャンダルは同社の事業に影響を及ぼしました。スキャンダル発覚から3週間後、ゴダード氏のメンターであったフーピーの創業者兼CEO、マックスウェル・マーティン氏は辞任を余儀なくされました。
    しかし、ゴダード氏は、スタートアップ段階を脱したばかりの御社、メディアライトのCEOに就任し、順調な滑り出しを見せたようです。彼は、業界をリードするデータ保護基準と手順を基盤としてメディアライトのブランドを構築するというビジョンを、取締役会と投資家に強く訴えました。
    彼はかつてプライバシー問題で、かつては崩壊し、あるいは反体制組織の中心人物だったかもしれないが、今では更生し、プライバシー保護の真の信奉者だと主張している。就任1週間目に、彼はあなたをオフィスに呼び、あなたの主な職務は彼のプライバシーに関するビジョンを実現することだと説明する。しかし、あなたは彼の懸念にも気付く。「私たちはMedialiteに絶対的に最高水準の基準を求めています」と彼は言う。「実際、プライバシーとデータ保護において、私たちが業界の明確なリーダーであると言えるようにしたいのです。しかし、私は会社の財務を責任を持って管理する必要もあります。ですから、あらゆる面で最良のソリューションを求める一方で、費用対効果も高くなければなりません。」あなたは1週間以内に提言を報告するように言われる。この曖昧な任務を負い、あなたはすでに次のステップを検討しながら、役員室を去る。
    CEOは、会社のプライバシープログラムの改善に満足していますが、業界標準に完全に準拠し、新たなベストプラクティスを反映していることを改めて確認したいと考えています。この目標を達成するために最も効果的な方法は何でしょうか?
  • CIPM 試験問題 29

    シナリオ
    次の質問に回答するには、以下を使用してください。
    Consolidated Records Corporation のデータ保護担当ディレクターとして、あなたはこれまでの成果に当然ながら満足しています。採用のきっかけは、比較的軽微なデータ侵害が相次ぎ、さらに深刻な事態に発展する可能性もあったことを受けて、規制当局から警告を受けたことでした。しかしながら、入社して3年間、報告義務のあるインシデントは発生していません。実際、あなたは自分のプログラムが、データストレージ業界の他の企業が自社のプログラム開発において参考にできるモデルであると考えています。
    Consolidated社でのプログラムは、ポリシーと手順が入り組んだ状態からスタートし、部門間およびオペレーション全体にわたる一貫性の確保に努めました。その過程では、プログラムのスポンサーであるオペレーション担当副社長、そして変化の必要性を明確に理解したプライバシーチームから多大な支援を受けました。
    当初、あなたの仕事は、経営陣だけでなく、データ処理や顧客対応に携わる最前線で働く社員の間でも、会社の「古参」層からはほとんど信頼も熱意も得られませんでした。しかし、発生した侵害のコストだけでなく、現状の業務状況から容易に発生する可能性のあるコストの予測も示す指標を用いることで、すぐに経営陣や主要な意思決定者の支持を得られるようになりました。他の従業員の多くは抵抗を示しましたが、各部門との直接面談や、プライバシーに関する基本的な研修プログラムの開発によって、適切な手順を導入するための十分な「賛同」を得ることができました。
    現在、プライバシー保護は、個人情報や保護対象データを扱うあらゆる業務において認められた要素であり、あらゆる技術開発プロセスの最終成果物の一部でなければなりません。あなたのアプローチは体系的ではありませんが、かなり効果的です。
    あなたは考え続けるでしょう:
    プログラムを維持し、単なるデータ漏洩防止プログラムを超えて発展させるには、何をする必要がありますか?
    どうすれば成功を積み重ねることができるでしょうか?
    次のアクションステップは何ですか?
    Consolidated のプライバシー トレーニング プログラムをさらに開発するにはどうすればよいでしょうか?
  • CIPM 試験問題 30

    組織に適切なプライバシー フレームワークが開発されていることを示すものは次のどれですか。