CIPP-E 試験問題 101
シナリオ
次の質問に答えるには、以下を使用してください。
アンナとフランクは二人ともグランチェスター大学で働いています。アンナはデータ保護を担当する弁護士で、フランクは工学部の講師です。大学では様々な種類の記録を保管しています。
* 学生記録には、氏名、学生番号、自宅住所、大学入学前の情報、大学の出席および成績記録、特別な教育ニーズの詳細、財務情報が含まれます。
* 自伝的資料(カリキュラム、専門家の連絡先ファイル、学生の評価、その他の関連する教育ファイルなど)を含むスタッフの記録。
* 卒業生の記録(出身地、生年、入学日、学位授与日など)。
これらの記録は、グランチェスターの卒業生ポータルに登録した卒業生が閲覧できます。
教育省の記録。特定の人口統計グループ(第一世代の生徒など)が平均的にどの程度の進級が見込まれるかを示しています。これらの記録には、氏名や身分証明書番号は含まれていません。
* 大学はセキュリティ ポリシーに従い、転送中および保存中のすべての個人データ記録を暗号化します。
フランクは、教育の質を向上させるため、工学部の学生の成績が教育省の期待値とどの程度一致しているかを調査したいと考えています。彼はアンナのデータ保護に関する研修コースを受講しており、目標達成に必要な範囲を超えて個人データを使用するべきではないことを理解しています。そこで、学生の過去の出身校、当初の成績、現在の成績、初めて進学した大学など、一部のデータのみをエクスポートするプログラムを作成しました。記録は個々の学生レベルで保管したいと考えています。アンナの研修を踏まえ、フランクは学生番号をアルゴリズムにかけ、異なる参照番号に変換します。各記録を継続的に更新できるよう、毎回同じアルゴリズムを使用します。
アンナの業務の一つは、GDPRの要件に従い、処理活動の記録を完了することです。GDPRの要件に従い、アンナからメールによるリマインダーを受け取った後、フランクはアンナにパフォーマンスデータベースについて連絡します。
アンはフランクに、個人データを最小限に抑えるだけでなく、大学は既存データの新たな利用が許容されるかどうかを確認する必要があると説明した。また、GDPRの下では、データ処理を実施する前にリスク分析を実施する必要があるのではないかとも考えている。アンナは追加調査を行った後、フランクとこの件についてさらに話し合う予定だ。
フランクは空き時間に分析作業を行いたいと考え、データを自宅のノートパソコン(暗号化されていない)に転送しました。ところが、大学にノートパソコンを持っていく途中、電車の中で紛失してしまいます。その日、フランクは互換性のある処理について話し合うため、アンナと面会する必要がありました。セキュリティインシデントを報告する必要があるため、同時にアンナにもノートパソコンの紛失について伝えることにしました。
アンナが処理活動の記録に含める必要のない大学の記録はどれですか?
次の質問に答えるには、以下を使用してください。
アンナとフランクは二人ともグランチェスター大学で働いています。アンナはデータ保護を担当する弁護士で、フランクは工学部の講師です。大学では様々な種類の記録を保管しています。
* 学生記録には、氏名、学生番号、自宅住所、大学入学前の情報、大学の出席および成績記録、特別な教育ニーズの詳細、財務情報が含まれます。
* 自伝的資料(カリキュラム、専門家の連絡先ファイル、学生の評価、その他の関連する教育ファイルなど)を含むスタッフの記録。
* 卒業生の記録(出身地、生年、入学日、学位授与日など)。
これらの記録は、グランチェスターの卒業生ポータルに登録した卒業生が閲覧できます。
教育省の記録。特定の人口統計グループ(第一世代の生徒など)が平均的にどの程度の進級が見込まれるかを示しています。これらの記録には、氏名や身分証明書番号は含まれていません。
* 大学はセキュリティ ポリシーに従い、転送中および保存中のすべての個人データ記録を暗号化します。
フランクは、教育の質を向上させるため、工学部の学生の成績が教育省の期待値とどの程度一致しているかを調査したいと考えています。彼はアンナのデータ保護に関する研修コースを受講しており、目標達成に必要な範囲を超えて個人データを使用するべきではないことを理解しています。そこで、学生の過去の出身校、当初の成績、現在の成績、初めて進学した大学など、一部のデータのみをエクスポートするプログラムを作成しました。記録は個々の学生レベルで保管したいと考えています。アンナの研修を踏まえ、フランクは学生番号をアルゴリズムにかけ、異なる参照番号に変換します。各記録を継続的に更新できるよう、毎回同じアルゴリズムを使用します。
アンナの業務の一つは、GDPRの要件に従い、処理活動の記録を完了することです。GDPRの要件に従い、アンナからメールによるリマインダーを受け取った後、フランクはアンナにパフォーマンスデータベースについて連絡します。
アンはフランクに、個人データを最小限に抑えるだけでなく、大学は既存データの新たな利用が許容されるかどうかを確認する必要があると説明した。また、GDPRの下では、データ処理を実施する前にリスク分析を実施する必要があるのではないかとも考えている。アンナは追加調査を行った後、フランクとこの件についてさらに話し合う予定だ。
フランクは空き時間に分析作業を行いたいと考え、データを自宅のノートパソコン(暗号化されていない)に転送しました。ところが、大学にノートパソコンを持っていく途中、電車の中で紛失してしまいます。その日、フランクは互換性のある処理について話し合うため、アンナと面会する必要がありました。セキュリティインシデントを報告する必要があるため、同時にアンナにもノートパソコンの紛失について伝えることにしました。
アンナが処理活動の記録に含める必要のない大学の記録はどれですか?
CIPP-E 試験問題 102
シナリオ
次の質問に答えるには、以下を使用してください。
ジャックは、多国籍製薬会社のアイルランド支社で、COVID-19関連の臨床試験に携わる医薬品安全性運用スペシャリストとして勤務していました。入社手続きの一環として、ジャックはプライバシーに関する研修を受けました。業務上、患者の機密データを処理する必要はあるものの、いかなる状況においても、業務関連の(職務遂行上の)業務遂行以外の目的でこのデータを使用することは許可されていないことが明確に通知されました。これは、研修終了時にジャックが署名したプライバシーポリシーにも明記されていました。
入社数ヶ月後、ジャックは電話で患者と口論になりました。怒りのあまり、彼は後に患者の氏名と健康情報、そして中傷的なコメントをソーシャルメディアに投稿しました。これが医薬品安全性監視部門の上司に発覚し、ジャックは直ちに解雇されました。ジャックの弁護士は会社に書簡を送り、解雇は不当な制裁であり、14日以内に復職しない場合は会社に対して法的措置を取らざるを得ないと述べました。この書簡には、ジャックからのデータアクセス要求が添付されており、「ジャックが送受信した社内メール、または内容から直接的もしくは間接的にジャックを特定できるメールを含む、すべての個人データ」のコピーを求めていました。ジャックは、これらのメールに関して、アクセスが必要な受信トレイを持つ経営陣6名を挙げていました。
忘れ去ってほしいというジャックの要求に対して、会社はどのように対応すべきでしょうか?
次の質問に答えるには、以下を使用してください。
ジャックは、多国籍製薬会社のアイルランド支社で、COVID-19関連の臨床試験に携わる医薬品安全性運用スペシャリストとして勤務していました。入社手続きの一環として、ジャックはプライバシーに関する研修を受けました。業務上、患者の機密データを処理する必要はあるものの、いかなる状況においても、業務関連の(職務遂行上の)業務遂行以外の目的でこのデータを使用することは許可されていないことが明確に通知されました。これは、研修終了時にジャックが署名したプライバシーポリシーにも明記されていました。
入社数ヶ月後、ジャックは電話で患者と口論になりました。怒りのあまり、彼は後に患者の氏名と健康情報、そして中傷的なコメントをソーシャルメディアに投稿しました。これが医薬品安全性監視部門の上司に発覚し、ジャックは直ちに解雇されました。ジャックの弁護士は会社に書簡を送り、解雇は不当な制裁であり、14日以内に復職しない場合は会社に対して法的措置を取らざるを得ないと述べました。この書簡には、ジャックからのデータアクセス要求が添付されており、「ジャックが送受信した社内メール、または内容から直接的もしくは間接的にジャックを特定できるメールを含む、すべての個人データ」のコピーを求めていました。ジャックは、これらのメールに関して、アクセスが必要な受信トレイを持つ経営陣6名を挙げていました。
忘れ去ってほしいというジャックの要求に対して、会社はどのように対応すべきでしょうか?
CIPP-E 試験問題 103
ハードウェアの故障と人為的ミスが重なり、銀行の顧客口座取引データベースの復号鍵が紛失しました。調査の結果、これはハッキングや不正行為ではなく、単に不運な状況の組み合わせによるものであることが判明しました。このインシデントの性質を正確に示しているのは次のうちどれですか?
CIPP-E 試験問題 104
シナリオ
次の質問に答えるには、以下を使用してください。
アンナとフランクは二人ともグランチェスター大学で働いています。アンナはデータ保護を担当する弁護士で、フランクは工学部の講師です。大学では様々な種類の記録を保管しています。
* 学生記録には、氏名、学生番号、自宅住所、大学入学前の情報、大学の出席および成績記録、特別な教育ニーズの詳細、財務情報が含まれます。
* 自伝的資料(カリキュラム、専門家の連絡先ファイル、学生の評価、その他の関連する教育ファイルなど)を含むスタッフの記録。
* 卒業生の記録(出身地、生年、入学日、学位授与日など)。
これらの記録は、グランチェスターの卒業生ポータルに登録した卒業生が閲覧できます。
* 教育省の記録。特定の人口統計グループ(第一世代の生徒など)の平均的な進級見込みを示しています。これらの記録には、氏名や身分証明書番号は含まれていません。
* 大学はセキュリティ ポリシーに従い、転送中および保存中のすべての個人データ記録を暗号化します。
フランクは、教育の質を向上させるため、工学部の学生の成績が教育省の期待値とどの程度一致しているかを調査したいと考えています。彼はアンナのデータ保護研修コースを受講しており、目標達成に必要な範囲を超えて個人データを使用するべきではないことを理解しています。そこで、学生の過去出身校、当初の成績、現在の成績、初めて進学した大学など、一部のデータのみをエクスポートするプログラムを作成しました。記録は個々の学生レベルで保存したいと考えています。
フランクはアンナの訓練を踏まえ、生徒番号をアルゴリズムにかけ、異なる参照番号に変換します。彼は毎回同じアルゴリズムを使用することで、時間の経過とともに各記録を更新していきます。
アンナの業務の一つは、GDPRの要件に従い、処理活動の記録を完了することです。GDPRの要件に従い、アンナからメールによるリマインダーを受け取った後、フランクはアンナにパフォーマンスデータベースについて連絡します。
アンはフランクに、個人データを最小限に抑えるだけでなく、大学は既存データの新たな利用が許容されるかどうかを確認する必要があると説明した。また、GDPRの下では、データ処理を実施する前にリスク分析を実施する必要があるのではないかとも考えている。アンナは追加調査を行った後、フランクとこの件についてさらに話し合う予定だ。
フランクは空き時間に分析作業を行いたいと考え、データを自宅のノートパソコン(暗号化されていない)に転送しました。ところが、大学にノートパソコンを持っていく途中、電車の中で紛失してしまいます。その日、フランクは互換性のある処理について話し合うため、アンナと面会する必要がありました。セキュリティインシデントを報告する必要があるため、同時にアンナにもノートパソコンの紛失について伝えることにしました。
アンナは、この状況ではリスク分析は必要ないと考えるでしょうか?
次の質問に答えるには、以下を使用してください。
アンナとフランクは二人ともグランチェスター大学で働いています。アンナはデータ保護を担当する弁護士で、フランクは工学部の講師です。大学では様々な種類の記録を保管しています。
* 学生記録には、氏名、学生番号、自宅住所、大学入学前の情報、大学の出席および成績記録、特別な教育ニーズの詳細、財務情報が含まれます。
* 自伝的資料(カリキュラム、専門家の連絡先ファイル、学生の評価、その他の関連する教育ファイルなど)を含むスタッフの記録。
* 卒業生の記録(出身地、生年、入学日、学位授与日など)。
これらの記録は、グランチェスターの卒業生ポータルに登録した卒業生が閲覧できます。
* 教育省の記録。特定の人口統計グループ(第一世代の生徒など)の平均的な進級見込みを示しています。これらの記録には、氏名や身分証明書番号は含まれていません。
* 大学はセキュリティ ポリシーに従い、転送中および保存中のすべての個人データ記録を暗号化します。
フランクは、教育の質を向上させるため、工学部の学生の成績が教育省の期待値とどの程度一致しているかを調査したいと考えています。彼はアンナのデータ保護研修コースを受講しており、目標達成に必要な範囲を超えて個人データを使用するべきではないことを理解しています。そこで、学生の過去出身校、当初の成績、現在の成績、初めて進学した大学など、一部のデータのみをエクスポートするプログラムを作成しました。記録は個々の学生レベルで保存したいと考えています。
フランクはアンナの訓練を踏まえ、生徒番号をアルゴリズムにかけ、異なる参照番号に変換します。彼は毎回同じアルゴリズムを使用することで、時間の経過とともに各記録を更新していきます。
アンナの業務の一つは、GDPRの要件に従い、処理活動の記録を完了することです。GDPRの要件に従い、アンナからメールによるリマインダーを受け取った後、フランクはアンナにパフォーマンスデータベースについて連絡します。
アンはフランクに、個人データを最小限に抑えるだけでなく、大学は既存データの新たな利用が許容されるかどうかを確認する必要があると説明した。また、GDPRの下では、データ処理を実施する前にリスク分析を実施する必要があるのではないかとも考えている。アンナは追加調査を行った後、フランクとこの件についてさらに話し合う予定だ。
フランクは空き時間に分析作業を行いたいと考え、データを自宅のノートパソコン(暗号化されていない)に転送しました。ところが、大学にノートパソコンを持っていく途中、電車の中で紛失してしまいます。その日、フランクは互換性のある処理について話し合うため、アンナと面会する必要がありました。セキュリティインシデントを報告する必要があるため、同時にアンナにもノートパソコンの紛失について伝えることにしました。
アンナは、この状況ではリスク分析は必要ないと考えるでしょうか?
CIPP-E 試験問題 105
GDPR では、企業が何を行うかによって発生する「フォーラム ショッピング」行為を禁止していますか?