CIPM 試験問題 36
シナリオ
次の質問に回答するには、以下を使用してください。
あなたは、ヨーロッパと南北アメリカ大陸の複数の国に居住する個人の情報を取り扱う企業のプライバシーオフィスを率いています。ある朝、契約担当者から電話連絡を求めるメッセージが届き、プライバシーレビューを開始しました。メッセージの内容は明確で詳細ではありませんでしたが、データが紛失したのではないかと推測しました。
契約担当者に連絡すると、あるベンダーから顧客情報を不適切に共有したという内容の手紙が届いたと伝えられました。担当者はベンダーに電話し、貴社が最近、2000人を対象に直近の医療体験に関するアンケートを実施し、その内容をベンダーに送信してデータベースに転記させたことを確認しました。しかし、ベンダーは契約で約束されていたデータベースの暗号化を忘れていたとのことです。その結果、ベンダーはデータの管理権を失ってしまったのです。
ベンダーは大変申し訳なさそうに、通知の発送を代行すると申し出てくれました。通知が届くまでの時間を短縮するため、切手を貼ったハガキを2000枚用意しておくと説明してくれました。片面はベンダーのロゴのみ、もう片面は白紙なので、どんな文字でも書いて構わないとのことでした。あなたは申し出を保留し、限られたスペースに合わせて文章を書き始めました。通知にベンダーのロゴを載せることに同意しました。
通知には、貴社が最近、セント・セバスチャン病院感染症クリニックでの最新の体験に関する情報を保管するためにベンダーを雇用したことが記載されています。ベンダーは情報を暗号化しておらず、現在では情報を管理できなくなっています。影響を受ける2,000名全員に、ご自身の情報に関するメール通知の登録をお願いしています。登録には貴社のウェブサイトにアクセスし、簡単な広告をご覧いただき、氏名、メールアドレス、生年月日を入力するだけで結構です。
午前9時前にインシデント対応協議会にメールで賛同を求めた。この状況で何か問題が発生した場合に備えて、同僚間で責任を分散させたい。その後8時間、全員がメールで意見をやり取りした。インシデント対応チームを率いるコンサルタントは、今日が入社初日だが、他業界で45年間の経験を積んでいるので、全力を尽くすと述べた。協議会に所属する3人の弁護士のうち1人が会話を逸らしたが、最終的には軌道修正した。最終的に、彼らはあなたが書いた通知書をそのまま進め、ベンダーのハガキを使用することを決議した。
ベンダーがハガキを郵送した直後、データが盗難されたサーバー上に保存されていたことが分かり、自社で信用情報監視サービスを提供することを決意しました。インターネットで簡単に検索してみると、Credit Under Lock and Key(CRUDLOK)という、説得力のある名前の信用情報監視会社が見つかりました。営業担当者は2000人規模の契約を扱った経験はありませんでしたが、わずか1日で提案書を作成し、CRUDLOKのサービス内容について説明しました。
1.契約締結の翌日に全員に入会案内を発送します。
2. 名前と国民識別番号の下 4 桁のみを使用して登録します。
3. 登録日から 2 年間、各登録者のクレジットを監視します。
4. 顧客の信用格付けと市場レートでの信用関連サービスのオファーを記載したメールを毎月送信します。
5. 信用回復にかかる費用の 20% を会社に請求します。
契約を締結し、2000人に登録の招待状をメールで送ります。3日後、あなたはじっくりと時間をかけて、うまくいった点と改善の余地があった点をすべて記録します。そして、次に何か問題が発生した際に参照できるよう、ファイルに保管します。
次のどの要素が事件において適切に判断できましたか?
次の質問に回答するには、以下を使用してください。
あなたは、ヨーロッパと南北アメリカ大陸の複数の国に居住する個人の情報を取り扱う企業のプライバシーオフィスを率いています。ある朝、契約担当者から電話連絡を求めるメッセージが届き、プライバシーレビューを開始しました。メッセージの内容は明確で詳細ではありませんでしたが、データが紛失したのではないかと推測しました。
契約担当者に連絡すると、あるベンダーから顧客情報を不適切に共有したという内容の手紙が届いたと伝えられました。担当者はベンダーに電話し、貴社が最近、2000人を対象に直近の医療体験に関するアンケートを実施し、その内容をベンダーに送信してデータベースに転記させたことを確認しました。しかし、ベンダーは契約で約束されていたデータベースの暗号化を忘れていたとのことです。その結果、ベンダーはデータの管理権を失ってしまったのです。
ベンダーは大変申し訳なさそうに、通知の発送を代行すると申し出てくれました。通知が届くまでの時間を短縮するため、切手を貼ったハガキを2000枚用意しておくと説明してくれました。片面はベンダーのロゴのみ、もう片面は白紙なので、どんな文字でも書いて構わないとのことでした。あなたは申し出を保留し、限られたスペースに合わせて文章を書き始めました。通知にベンダーのロゴを載せることに同意しました。
通知には、貴社が最近、セント・セバスチャン病院感染症クリニックでの最新の体験に関する情報を保管するためにベンダーを雇用したことが記載されています。ベンダーは情報を暗号化しておらず、現在では情報を管理できなくなっています。影響を受ける2,000名全員に、ご自身の情報に関するメール通知の登録をお願いしています。登録には貴社のウェブサイトにアクセスし、簡単な広告をご覧いただき、氏名、メールアドレス、生年月日を入力するだけで結構です。
午前9時前にインシデント対応協議会にメールで賛同を求めた。この状況で何か問題が発生した場合に備えて、同僚間で責任を分散させたい。その後8時間、全員がメールで意見をやり取りした。インシデント対応チームを率いるコンサルタントは、今日が入社初日だが、他業界で45年間の経験を積んでいるので、全力を尽くすと述べた。協議会に所属する3人の弁護士のうち1人が会話を逸らしたが、最終的には軌道修正した。最終的に、彼らはあなたが書いた通知書をそのまま進め、ベンダーのハガキを使用することを決議した。
ベンダーがハガキを郵送した直後、データが盗難されたサーバー上に保存されていたことが分かり、自社で信用情報監視サービスを提供することを決意しました。インターネットで簡単に検索してみると、Credit Under Lock and Key(CRUDLOK)という、説得力のある名前の信用情報監視会社が見つかりました。営業担当者は2000人規模の契約を扱った経験はありませんでしたが、わずか1日で提案書を作成し、CRUDLOKのサービス内容について説明しました。
1.契約締結の翌日に全員に入会案内を発送します。
2. 名前と国民識別番号の下 4 桁のみを使用して登録します。
3. 登録日から 2 年間、各登録者のクレジットを監視します。
4. 顧客の信用格付けと市場レートでの信用関連サービスのオファーを記載したメールを毎月送信します。
5. 信用回復にかかる費用の 20% を会社に請求します。
契約を締結し、2000人に登録の招待状をメールで送ります。3日後、あなたはじっくりと時間をかけて、うまくいった点と改善の余地があった点をすべて記録します。そして、次に何か問題が発生した際に参照できるよう、ファイルに保管します。
次のどの要素が事件において適切に判断できましたか?
CIPM 試験問題 37
サンプルメトリックテンプレートの「ターゲット」とはどういう意味ですか?
CIPM 試験問題 38
新興テクノロジー企業がプライバシー ポリシーとプロセスを開発しています。
組織が消費者の健康情報を正常に処理できるようにするには、どのポリシーが最も重要ですか?
組織が消費者の健康情報を正常に処理できるようにするには、どのポリシーが最も重要ですか?
CIPM 試験問題 39
シナリオ
次の質問に回答するには、以下を使用してください。
アミラは、NatGenの急速な成長に胸を躍らせています。長年のビジネスパートナーであるサディと共同最高経営責任者(CEO)を務めるアミラは、同社がグリーンエネルギー市場における主要企業へと成長するのを見守ってきました。現在の製品ラインには、風力タービン、太陽光発電パネル、地熱発電システム用機器などが含まれています。優秀な開発チームを擁するNatGenの製品ラインは、今後も成長を続けるでしょう。
事業拡大に伴い、アミラとサディは、会社の成長管理を支援するために新たに採用された上級スタッフからアドバイスを受けています。最近の提案の一つは、プライバシー法と会社のプライバシーポリシーの遵守を確実にするために、法務部門とセキュリティ部門を統合するというものです。これはアミラにとって複雑すぎるように聞こえます。彼女は、各部門がそれぞれのニーズに最適な方法で顧客データを利用、収集、保管、廃棄できるようにしたいと考えています。彼女は、管理監督や複雑な組織体制が、革新的な仕事に取り組む人々の邪魔になることを望んでいません。
サディも同様の見解を持っています。新任の最高情報責任者(CIO)が提案した新しいプライバシープログラムの設計スケジュールは、サディにとっては不必要に長いと感じています。彼女は、NatGen社が顧客と従業員のデータの電子保存に可能な限り最高の機器を使用することを保証しました。必要なのは機器のリストと費用の見積もりだけです。しかしCIOは、その段階に進む前に検討すべき課題が数多くあると主張しています。
いずれにせよ、サディとアミラは従業員に仕事に集中できる時間を与えることを主張しています。両CEOとも、従業員のポリシー遵守状況の監視を下位レベルの管理職に委ねたいと考えています。アミラとサディは、これらの管理職が各部署にとって最適な方法で会社のプライバシーポリシーを調整できると考えています。NatGenのCEOは、データが通常の業務活動において常に使用される限り、グリーンエネルギーの推進という名目でプライバシーポリシーを柔軟に解釈しても、顧客ベースに懸念が生じる可能性は極めて低いことを認識しています。
セイディとアミラにとって最も困惑させられたのは、CIOからプライバシーコンプライアンスホットラインの設置を勧告されたことだろう。セイディとアミラはこの点については譲歩したが、従業員が交代でプライバシーポリシー違反の報告に対応できるようにすることで妥協点を見出そうとしている。従業員は特別な準備は必要ないため、導入は容易だ。聞いた懸念事項を記録するだけで済むからだ。
サディとアミラは、理念に忠実であり続けながら、創造性と従業員の士気を抑圧する企業文化から身を守ることは容易ではないことを認識しています。彼らは、すべての上級管理職が独自のアプローチを試すことのメリットを理解してくれることを願っています。
アミラとサディの会社のプライバシー ポリシーの順守に関する考えがチェックされない場合、連邦通信委員会 (FCC) は NatGen に対して何の理由で措置を講じる可能性がありますか?
次の質問に回答するには、以下を使用してください。
アミラは、NatGenの急速な成長に胸を躍らせています。長年のビジネスパートナーであるサディと共同最高経営責任者(CEO)を務めるアミラは、同社がグリーンエネルギー市場における主要企業へと成長するのを見守ってきました。現在の製品ラインには、風力タービン、太陽光発電パネル、地熱発電システム用機器などが含まれています。優秀な開発チームを擁するNatGenの製品ラインは、今後も成長を続けるでしょう。
事業拡大に伴い、アミラとサディは、会社の成長管理を支援するために新たに採用された上級スタッフからアドバイスを受けています。最近の提案の一つは、プライバシー法と会社のプライバシーポリシーの遵守を確実にするために、法務部門とセキュリティ部門を統合するというものです。これはアミラにとって複雑すぎるように聞こえます。彼女は、各部門がそれぞれのニーズに最適な方法で顧客データを利用、収集、保管、廃棄できるようにしたいと考えています。彼女は、管理監督や複雑な組織体制が、革新的な仕事に取り組む人々の邪魔になることを望んでいません。
サディも同様の見解を持っています。新任の最高情報責任者(CIO)が提案した新しいプライバシープログラムの設計スケジュールは、サディにとっては不必要に長いと感じています。彼女は、NatGen社が顧客と従業員のデータの電子保存に可能な限り最高の機器を使用することを保証しました。必要なのは機器のリストと費用の見積もりだけです。しかしCIOは、その段階に進む前に検討すべき課題が数多くあると主張しています。
いずれにせよ、サディとアミラは従業員に仕事に集中できる時間を与えることを主張しています。両CEOとも、従業員のポリシー遵守状況の監視を下位レベルの管理職に委ねたいと考えています。アミラとサディは、これらの管理職が各部署にとって最適な方法で会社のプライバシーポリシーを調整できると考えています。NatGenのCEOは、データが通常の業務活動において常に使用される限り、グリーンエネルギーの推進という名目でプライバシーポリシーを柔軟に解釈しても、顧客ベースに懸念が生じる可能性は極めて低いことを認識しています。
セイディとアミラにとって最も困惑させられたのは、CIOからプライバシーコンプライアンスホットラインの設置を勧告されたことだろう。セイディとアミラはこの点については譲歩したが、従業員が交代でプライバシーポリシー違反の報告に対応できるようにすることで妥協点を見出そうとしている。従業員は特別な準備は必要ないため、導入は容易だ。聞いた懸念事項を記録するだけで済むからだ。
サディとアミラは、理念に忠実であり続けながら、創造性と従業員の士気を抑圧する企業文化から身を守ることは容易ではないことを認識しています。彼らは、すべての上級管理職が独自のアプローチを試すことのメリットを理解してくれることを願っています。
アミラとサディの会社のプライバシー ポリシーの順守に関する考えがチェックされない場合、連邦通信委員会 (FCC) は NatGen に対して何の理由で措置を講じる可能性がありますか?
CIPM 試験問題 40
シナリオ
次の質問に回答するには、以下を使用してください。
Consolidated Records Corporation のデータ保護担当ディレクターとして、あなたはこれまでの成果に当然ながら満足しています。採用のきっかけは、比較的軽微なデータ侵害が相次ぎ、さらに深刻な事態に発展する可能性もあったことを受けて、規制当局から警告を受けたことでした。しかしながら、入社して3年間、報告義務のあるインシデントは発生していません。実際、あなたは自分のプログラムが、データストレージ業界の他の企業が自社のプログラム開発において参考にできるモデルであると考えています。
Consolidated社でのプログラムは、ポリシーと手順が入り組んだ状態からスタートし、部門間およびオペレーション全体にわたる一貫性の確保に努めました。その過程では、プログラムのスポンサーであるオペレーション担当副社長、そして変化の必要性を明確に理解したプライバシーチームから多大な支援を受けました。
当初、あなたの仕事は、経営陣だけでなく、データ処理や顧客対応に携わる最前線で働く社員の中でも、社内の「古参」層からはほとんど信頼も熱意も得られませんでした。しかし、発生した侵害のコストだけでなく、現状の業務状況から容易に発生する可能性のあるコストの予測も示す指標を用いることで、すぐに経営陣や主要な意思決定者の支持を得られるようになりました。他の従業員の多くは抵抗を示しましたが、各部門との直接面談や、プライバシーに関する基本的な研修プログラムの開発によって、適切な手順を導入するための十分な「賛同」を得ることができました。
現在、プライバシー保護は、個人情報や保護対象データを扱うあらゆる業務において認められた要素であり、あらゆる技術開発プロセスの最終成果物の一部でなければなりません。あなたのアプローチは体系的ではありませんが、かなり効果的です。
あなたは考え続けるでしょう:
プログラムを維持し、単なるデータ漏洩防止プログラムを超えて発展させるには、何をする必要がありますか?
どうすれば成功を積み重ねることができるでしょうか?
次のアクションステップは何ですか?
Consolidated で開発中の新しい包括的なプログラムにプライバシー保護を追加するには、どのようなプロセスを最も効果的に使用できますか?
次の質問に回答するには、以下を使用してください。
Consolidated Records Corporation のデータ保護担当ディレクターとして、あなたはこれまでの成果に当然ながら満足しています。採用のきっかけは、比較的軽微なデータ侵害が相次ぎ、さらに深刻な事態に発展する可能性もあったことを受けて、規制当局から警告を受けたことでした。しかしながら、入社して3年間、報告義務のあるインシデントは発生していません。実際、あなたは自分のプログラムが、データストレージ業界の他の企業が自社のプログラム開発において参考にできるモデルであると考えています。
Consolidated社でのプログラムは、ポリシーと手順が入り組んだ状態からスタートし、部門間およびオペレーション全体にわたる一貫性の確保に努めました。その過程では、プログラムのスポンサーであるオペレーション担当副社長、そして変化の必要性を明確に理解したプライバシーチームから多大な支援を受けました。
当初、あなたの仕事は、経営陣だけでなく、データ処理や顧客対応に携わる最前線で働く社員の中でも、社内の「古参」層からはほとんど信頼も熱意も得られませんでした。しかし、発生した侵害のコストだけでなく、現状の業務状況から容易に発生する可能性のあるコストの予測も示す指標を用いることで、すぐに経営陣や主要な意思決定者の支持を得られるようになりました。他の従業員の多くは抵抗を示しましたが、各部門との直接面談や、プライバシーに関する基本的な研修プログラムの開発によって、適切な手順を導入するための十分な「賛同」を得ることができました。
現在、プライバシー保護は、個人情報や保護対象データを扱うあらゆる業務において認められた要素であり、あらゆる技術開発プロセスの最終成果物の一部でなければなりません。あなたのアプローチは体系的ではありませんが、かなり効果的です。
あなたは考え続けるでしょう:
プログラムを維持し、単なるデータ漏洩防止プログラムを超えて発展させるには、何をする必要がありますか?
どうすれば成功を積み重ねることができるでしょうか?
次のアクションステップは何ですか?
Consolidated で開発中の新しい包括的なプログラムにプライバシー保護を追加するには、どのようなプロセスを最も効果的に使用できますか?
