CIPP-E 試験問題 76
シナリオ
次の質問に答えるには、以下を使用してください。
Building Block Inc.は、シカゴに本社を置き、米国、アジア、ヨーロッパ(ドイツ、イタリア、フランス、ポルトガルを含む)にオフィスを構える多国籍企業です。昨年、同社は重大なデータ侵害をもたらしたフィッシング攻撃の犠牲者でした。執行委員会は、ゼネラルマネージャー、プライバシーオフィス、および情報セキュリティチームと連携して、追加のセキュリティ対策を採用することを決議しました。これには、トレーニング認識プログラム、サイバーセキュリティ監査、およびSecurityScanと呼ばれる新しいソフトウェアツールの使用が含まれます。このツールは、従業員のコンピューターをスキャンして、ベンダーによってサポートされなくなったためにセキュリティ更新プログラムを取得していないソフトウェアがあるかどうかを確認します。ただし、このソフトウェアは、従業員のコンピューターの監視など、他の機能も提供します。
これらの措置は従業員に影響を与える可能性があるため、Building Blockのプライバシーオフィスは、会社が情報セキュリティを強化し、将来のデータ侵害を防ぐための一連のイニシアチブを実施することを示す一般通知をすべての従業員に発行することを決定しました。
これらの対策を実施した後、サーバーのパフォーマンスは低下しました。ゼネラルマネージャーは、SecurityScanを使用して従業員のコンピューターアクティビティとその場所を監視する方法についてセキュリティチームに指示しました。
これらの活動中に、情報セキュリティチームは、イタリアの1人の従業員が毎日映画のビデオライブラリに接続しており、ドイツの別の従業員が許可なくリモートで作業していることを発見しました。セキュリティチームは、これらのインシデントをプライバシーオフィスとゼネラルマネージャーに報告しました。彼らのレポートでは、チームはイタリアの従業員がサーバーのパフォーマンスを低下させた理由であると結論付けました。
これらの侵害の深刻さから、会社のセキュリティおよびプライバシーポリシーにより、従業員が会社のコンピューターにソフトウェアをインストールしたり、許可なくリモートで作業したりすることが禁止されていたため、会社は両方の従業員に懲戒処分を適用することを決定しました。
ビルディングブロックがイタリアの従業員との状況に対処するための最も適切な方法は何でしょうか?
次の質問に答えるには、以下を使用してください。
Building Block Inc.は、シカゴに本社を置き、米国、アジア、ヨーロッパ(ドイツ、イタリア、フランス、ポルトガルを含む)にオフィスを構える多国籍企業です。昨年、同社は重大なデータ侵害をもたらしたフィッシング攻撃の犠牲者でした。執行委員会は、ゼネラルマネージャー、プライバシーオフィス、および情報セキュリティチームと連携して、追加のセキュリティ対策を採用することを決議しました。これには、トレーニング認識プログラム、サイバーセキュリティ監査、およびSecurityScanと呼ばれる新しいソフトウェアツールの使用が含まれます。このツールは、従業員のコンピューターをスキャンして、ベンダーによってサポートされなくなったためにセキュリティ更新プログラムを取得していないソフトウェアがあるかどうかを確認します。ただし、このソフトウェアは、従業員のコンピューターの監視など、他の機能も提供します。
これらの措置は従業員に影響を与える可能性があるため、Building Blockのプライバシーオフィスは、会社が情報セキュリティを強化し、将来のデータ侵害を防ぐための一連のイニシアチブを実施することを示す一般通知をすべての従業員に発行することを決定しました。
これらの対策を実施した後、サーバーのパフォーマンスは低下しました。ゼネラルマネージャーは、SecurityScanを使用して従業員のコンピューターアクティビティとその場所を監視する方法についてセキュリティチームに指示しました。
これらの活動中に、情報セキュリティチームは、イタリアの1人の従業員が毎日映画のビデオライブラリに接続しており、ドイツの別の従業員が許可なくリモートで作業していることを発見しました。セキュリティチームは、これらのインシデントをプライバシーオフィスとゼネラルマネージャーに報告しました。彼らのレポートでは、チームはイタリアの従業員がサーバーのパフォーマンスを低下させた理由であると結論付けました。
これらの侵害の深刻さから、会社のセキュリティおよびプライバシーポリシーにより、従業員が会社のコンピューターにソフトウェアをインストールしたり、許可なくリモートで作業したりすることが禁止されていたため、会社は両方の従業員に懲戒処分を適用することを決定しました。
ビルディングブロックがイタリアの従業員との状況に対処するための最も適切な方法は何でしょうか?
CIPP-E 試験問題 77
ABCD社の従業員は、名前、住所、連絡先の詳細など、クライアントデータの記録を含むメモリースティックが消えたことに気づきました。スティック上のデータは暗号化されておらず、クリアテキストです。この段階でスティックに何が起こったのかは不明ですが、従業員の旅行中に失われた可能性があります。会社は何をすべきですか?
CIPP-E 試験問題 78
シナリオ
次の質問に答えるには、以下を使用してください。
あなたは香港を拠点とする玩具メーカーに雇われたばかりです。同社は、さまざまな小売店で国際的に見られるさまざまな人形、アクションフィギュア、ぬいぐるみを販売しています。製造業者は香港以外に事務所を持っておらず、実際には香港以外にスタッフを雇用していませんが、多くの現地流通契約を結んでいます。同社が製造したおもちゃは、ヨーロッパ、アメリカ、アジアの人気のおもちゃ屋で見つけることができます。同社の収益の大部分は海外売上高によるものです。
同社は今、子供たちと話したり交流したりできる、新しい種類の接続されたおもちゃを発売したいと考えています。提供される可能性が高まったため、同社のCEOは、これらのおもちゃを次の大きなものとして宣伝しています。数字は、数学計算や天気など、さまざまなテーマに関する子供たちの質問に答えることができます。各フィギュアにはマイクとスピーカーが装備されており、Bluetooth経由でスマートフォンやタブレットに接続できます。半径10メートル以内のモバイルデバイスは、Bluetooth経由でもおもちゃに接続できます。
フィギュアは、他のフィギュア(同じメーカーのもの)と関連付けたり、相互作用してプレイ体験を向上させることもできます。
子供がおもちゃに質問をすると、その要求は分析のためにクラウドに送信され、回答はクラウドサーバーで生成され、フィギュアに返送されます。答えはフィギュアの一体型スピーカーを通して与えられ、おもちゃが実際に子供の質問に答えているように見えます。おもちゃのパッケージには、これがどのように機能するかについての技術的な詳細は記載されておらず、この機能にはインターネット接続が必要であるとは記載されていません。これに必要なデータ処理は、南アフリカにあるデータセンターにアウトソーシングされています。ただし、あなたの会社は、これを示すために消費者向けのプライバシーポリシーをまだ改訂していません。
並行して、消費者がゲームをプレイする過程で獲得したキャラクターをプレイできる新しいゲームシステムの導入を計画しています。このシステムには、近距離無線通信(NFC)リーダーを含むポータルがバンドルされています。このデバイスは、アクションフィギュアのRFIDタグを読み取り、フィギュアを画面上で生き生きとさせます。各キャラクターには独自のストック機能と能力がありますが、ゲームの目標を達成することで追加のキャラクターを獲得することもできます。タグに保存されている唯一の情報は、フィギュアの能力に関連しています。ゲーム中にキャラクターを切り替えるのは簡単で、フィギュアを家の外の場所に持ってきて、キャラクターの能力をそのままにしておくことができます。
GDPRの第32条(処理のセキュリティに関連する)の要件に照らして、会社はどの慣行を開始する必要がありますか?
次の質問に答えるには、以下を使用してください。
あなたは香港を拠点とする玩具メーカーに雇われたばかりです。同社は、さまざまな小売店で国際的に見られるさまざまな人形、アクションフィギュア、ぬいぐるみを販売しています。製造業者は香港以外に事務所を持っておらず、実際には香港以外にスタッフを雇用していませんが、多くの現地流通契約を結んでいます。同社が製造したおもちゃは、ヨーロッパ、アメリカ、アジアの人気のおもちゃ屋で見つけることができます。同社の収益の大部分は海外売上高によるものです。
同社は今、子供たちと話したり交流したりできる、新しい種類の接続されたおもちゃを発売したいと考えています。提供される可能性が高まったため、同社のCEOは、これらのおもちゃを次の大きなものとして宣伝しています。数字は、数学計算や天気など、さまざまなテーマに関する子供たちの質問に答えることができます。各フィギュアにはマイクとスピーカーが装備されており、Bluetooth経由でスマートフォンやタブレットに接続できます。半径10メートル以内のモバイルデバイスは、Bluetooth経由でもおもちゃに接続できます。
フィギュアは、他のフィギュア(同じメーカーのもの)と関連付けたり、相互作用してプレイ体験を向上させることもできます。
子供がおもちゃに質問をすると、その要求は分析のためにクラウドに送信され、回答はクラウドサーバーで生成され、フィギュアに返送されます。答えはフィギュアの一体型スピーカーを通して与えられ、おもちゃが実際に子供の質問に答えているように見えます。おもちゃのパッケージには、これがどのように機能するかについての技術的な詳細は記載されておらず、この機能にはインターネット接続が必要であるとは記載されていません。これに必要なデータ処理は、南アフリカにあるデータセンターにアウトソーシングされています。ただし、あなたの会社は、これを示すために消費者向けのプライバシーポリシーをまだ改訂していません。
並行して、消費者がゲームをプレイする過程で獲得したキャラクターをプレイできる新しいゲームシステムの導入を計画しています。このシステムには、近距離無線通信(NFC)リーダーを含むポータルがバンドルされています。このデバイスは、アクションフィギュアのRFIDタグを読み取り、フィギュアを画面上で生き生きとさせます。各キャラクターには独自のストック機能と能力がありますが、ゲームの目標を達成することで追加のキャラクターを獲得することもできます。タグに保存されている唯一の情報は、フィギュアの能力に関連しています。ゲーム中にキャラクターを切り替えるのは簡単で、フィギュアを家の外の場所に持ってきて、キャラクターの能力をそのままにしておくことができます。
GDPRの第32条(処理のセキュリティに関連する)の要件に照らして、会社はどの慣行を開始する必要がありますか?
CIPP-E 試験問題 79
GDPRの第14条によると、データ主体の個人データが他のソースから取得されている場合、管理者はデータ主体に必要なプライバシー情報を提供する必要がありますか?
CIPP-E 試験問題 80
GDPRの第30条に基づき、管理者は次のすべての記録を保持する必要がありますか?