[2026-01-05更新,179問] 無料IAPP CIPP-E試験問題集、CIPP-E日本語版(ページ 23)

次の質問に答えるには、以下を使用してください。
ProStorageは、オランダに本社を置く多国籍クラウドストレージプロバイダーです。CEOのルース・ブラウン氏は、成長のために2本柱の戦略を立てました。1) ProStorageの顧客ベースを世界中に拡大し、2) 効果的なチームを効率的に採用してProStorageの営業部隊を増強することです。この戦略の実行は、ルースの健康状態により、最近、労働時間が制限され、潜在顧客に会うために出張することも困難になったため、複雑になっています。ProStorageの人事部とルースの首席スタッフは現在協力して、彼女のスケジュールを管理し、彼女がすべての医療予約を確実に受けられるようにしています。後者は、ルースが前回インドを旅行した際に健康上の緊急事態に見舞われ、ニューデリーで入院して以来、特に重要になっています。ルースの家族と連絡が取れなかったため、病院はProStorageに連絡し、首席スタッフと連絡を取ることができました。首席スタッフは、人事部長のメアリーと連携していました。ルースが ProStorage を開始したときのリクエストに応じて、医師に情報を提供しました。ジャッキーが HRYourWay の転送影響評価を完了しなかったのはなぜ正しかったのでしょうか?

A. ProStorage はすべての譲渡について同意を得ます。

B. HRYourWay は第三国に所在していません。

C. ProStorageは拘束的企業準則に依拠できる

D. HRYourWayは最終的に選択されませんでした

EUの管理者が、処理者を介して個人データを第三国に移転することを計画しています。EDPB意見22/2024によれば、推奨される最初のステップは何ですか？

A. プロセッサとの適切な安全対策を特定します。

B. プロセッサへの転送の法的根拠を確認します。

C. 転送マッピングがプロセッサによって実行されることを確認します。

D. プロセッサに関する移転影響評価を実施します。

GDPRおよび欧州司法裁判所のSchrems II判決に準拠するため、欧州委員会は、一般的に新しい標準契約条項（SCC）と呼ばれるものを発行しました。その結果、企業は以下のすべてを実施する必要がありますが、次の項目は除きます。

A. SCC に新しい当事者を追加することを明示的に許可する、新しいオプションのドッキング条項を検討してください。

B. 2021 年 9 月 27 日より前に締結され、古い SCC を使用しているすべての契約を、2022 年 12 月 27 日までに新しい SCC に移行します。

C. 企業がデータ輸入者である場合は、2021 年 9 月 27 日時点で新しい SCC を使用して、新しい SCC をサプライチェーンの関連部分に伝達するための手順を実行します。

D. 英国情報コミッショナー事務局には独自の SCC セットを公開する権限がないため、Brexit 後に英国で新しい SCC を実装します。

正解: D

一般データ保護規則（GDPR）は、承認された認証に基づき、適切なデータ保護水準を確保していない第三国または国際機関への個人データ移転のためのメカニズムを導入しています。GDPR第46条によれば、適切なデータ保護措置を保証する契約条項は、EUから第三国へのデータ移転の根拠として使用することができます。これには、欧州委員会によって「事前承認」されたモデル契約条項、いわゆる標準契約条項（SCC）が含まれます。
2021年6月4日、欧州委員会は、EU/EEA域内（またはGDPRの適用対象となる）の管理者または処理者からEU/EEA域外（GDPRの適用対象外）に設立された管理者または処理者へのデータ移転について、GDPRに基づく最新の標準契約条項（SCC）を発行しました。これらの最新のSCCは、以前のデータ保護指令95/46に基づいて採択された3セットのSCCに代わるものです。欧州委員会は、SCCの活用に関する実用的なガイダンスを提供し、GDPRに基づくコンプライアンスへの取り組みにおいて関係者を支援するため、質疑応答（Q&A）を作成しました。
Q&A では、企業は以下のすべてを実行する必要があると述べられています。
SCC に新しい当事者を追加することを明示的に許可する、新しいオプションのドッキング条項を検討してください。
Q&Aによると、ドッキング条項は、当初の契約に含まれていなかった管理者および処理者が、後日、データの輸出者または輸入者としてSCCに加入することを可能にするものです。この条項は、複雑な処理チェーンにおけるSCCの利用を容易にし、複数の契約を締結する必要性を回避させることを目的としています。
2021 年 9 月 27 日より前に締結され、古い SCC を使用しているすべての契約を、2022 年 12 月 27 日までに新しい SCC に移行してください。Q&A によると、古い SCC は 2021 年 9 月 27 日に廃止される予定です。
ただし、その日付以前に古いSCCに基づいて締結された契約は12月まで有効です。
27, 2022, provided that the processing operations that are the subject matter of the contract remain unchanged and that reliance on those clauses ensures that the transfer of personal data is subject to appropriate safeguards within the meaning of Article 46(1) of the GDPR. After December 27, 2022, the old SCCs will no longer provide a valid legal basis for data transfers to third countries, and the new SCCs will have to be used instead.
Take steps to flow down the new SCCs to relevant parts of their supply chain using the new SCCs as of September 27, 2021, if the business is a data importer. According to the Q&As, the new SCCs require data importers to enter into contracts with any subprocessors that process the personal data transferred under the SCCs, and to include in those contracts the same data protection obligations as those imposed on the data importer under the SCCs. This means that data importers must ensure that the new SCCs are flowed down to their subprocessors as of September 27, 2021, and that any changes in the subprocessors are notified to the data exporter, who has the right to object.
The Q&As do not state that businesses must do the following:
Implement the new SCCs in the U.K. following Brexit, as the U.K. Information Commissioner's Office does not have the authority to publish its own set of SCCs. This is not a valid statement, as the U.K. has its own data protection regime after leaving the EU, and the U.K. Information Commissioner's Office (ICO) has the power to issue its own SCCs for data transfers from the U.K. to third countries. According to the ICO website, the ICO is currently developing bespoke U.K. SCCs, which will be subject to a public consultation and an opinion from the European Data Protection Board (EDPB). Until the U.K. SCCs are finalised, the ICO advises businesses to continue to use the EU SCCs for new contracts, as these clauses have been recognised as a valid transfer mechanism under the U.K. data protection law. However, the ICO also warns businesses that they may need to amend the EU SCCs to reflect that the U.K. is no longer an EU member state, and that they will need to update their contracts to the U.K. SCCs once they are available.
References:
GDPR, Articles 3, 4, 28, 29, 32, 44, 45, 46, 47, 48 and 49.
New Standard Contractual Clauses - Questions and Answers overview, paragraphs 1, 2, 3, 4, 5, 6, 7, 8, 9, 10 and 11.
Standard Contractual Clauses (SCC), paragraphs 1, 2, 3, 4, 5, 6, 7 and 8.
[Using international data transfers], paragraphs 1, 2, 3, 4, 5, 6, 7, 8, 9 and 10.

2016 年のガイダンスでは、英国の情報コミッショナー事務局 (ICO) は、データ主体に何を提供するために「階層化された通知」を使用することの重要性を再確認しましたか?

A. 書面による同意が求められる加盟国において、書面による同意を提供するための効率的な手段。

B. 簡単な情報が記載されたプライバシー通知で、詳細情報へのアクセスも提供します。

C. ウェブサイト上での Cookie の使用をオプトアウトした場合の結果を説明するプライバシー通知。

D. 個人データを第三者に転送する際に適用されるセキュリティ対策の説明。

シナリオ
次の質問に答えるには、以下を使用してください。
ジャックは、多国籍製薬会社のアイルランド支社で、COVID-19関連の臨床試験に携わる医薬品安全性運用スペシャリストとして勤務していました。入社手続きの一環として、ジャックはプライバシーに関する研修を受けました。業務上、患者の機密データを処理する必要はあるものの、いかなる状況においても、業務関連の（職務遂行上の）業務遂行以外の目的でこのデータを使用することは認められないことが明確に通知されました。これは、研修終了後にジャックが署名したプライバシーポリシーにも明記されていました。
入社数ヶ月後、ジャックは電話で患者と口論になりました。怒りのあまり、彼は後に患者の氏名と心臓情報、そして中傷的なコメントをソーシャルメディアに投稿しました。これが医薬品安全性監視部門の上司に発覚し、ジャックは直ちに解雇されました。ジャックの弁護士は会社に書簡を送り、解雇は不当な制裁であり、14日以内に復職しない場合は会社に対して法的措置を取らざるを得ないと述べました。この書簡には、ジャックからのデータアクセス要求が添付されており、「ジャックが送受信した社内メール、または内容から直接的もしくは間接的にジャックを特定できるメールを含む、すべての個人データ」のコピーを求めていました。* ジャックは、これらのメールに関して、アクセスを必要とする経営陣6名の名前を挙げていました。
同社はまず IT システムの検索を実施し、大量の情報が返されました。その後、ジャックに連絡し、ターゲットを絞った検索ができるよう、必要な情報をより具体的に提供するよう依頼しました。ジャックは、情報要求者の範囲を狭めるつもりはないと述べました。
Jacks のデータ主体のアクセス要求に対する最も適切な対応は何でしょうか?

A. 会社の本社は EU 外にあるため、情報を提供する必要はありません。

B. 要求された情報の量が 1 か月で提供するには多すぎるため、会社はいかなる情報も提供することを拒否する必要があります。

C. 会社は延長の必要性を主張し、ジャックの元の DSAR で要求された情報を 3 か月以内に提供することに同意する必要があります。

D. GDPR では電子メールはデータアクセス要求の要件から除外されているため、企業は電子メール以外の要求されたすべての情報を提供する必要があります。

正解: B

GDPR の第 15 条によれば、データ主体はデータ管理者から個人データのコピーやその他の補足情報にアクセスし、受け取る権利を有します1。ただし、この権利は絶対的なものではなく、制限や制約が課される場合があります。データ主体によるアクセス要求 (DSAR) を拒否または制限する根拠の 1 つは、要求が明らかに根拠がない、または過剰である場合、特にその反復的な性質のためにそうである場合です1。このような場合、管理者は、情報提供の管理コストを考慮して合理的な料金を請求するか、要求に応じることを拒否できます1。管理者は、データ主体に対して、対応しない理由と、監督機関に苦情を申し立てるか司法上の救済を求める可能性があることを通知する必要があります1。
このシナリオでは、ジャックの DSAR は過剰であると見なされる可能性があります。なぜなら、彼は、彼が送受信した、または内容から直接的もしくは間接的に彼を特定できる、社内メールを含むすべての個人データのコピーを要求しているからです。これは非常に広範で漠然とした要求であり、会社は大量の情報を検索して確認する必要があり、他の従業員または第三者に関する機密データや機微なデータを開示する可能性があります。会社はすでにジャックに連絡し、必要な情報をより具体的に求めるよう求めましたが、ジャックは要求の範囲を絞り込むことを拒否しました。したがって、要求された情報量は、GDPR1 に基づく DSAR への回答の一般的な期限である 1 か月以内に提供するには多すぎるため、会社には情報提供を拒否する正当な理由があります。よって、選択肢 B が正解です。
選択肢Aは誤りです。GDPRは、EU域内で処理が行われるかどうかに関わらず、EU域内の管理者または処理者の事業所の活動に関連する個人データの処理すべてに適用されるため、DSARの目的において会社の本社所在地は無関係です。2 会社はアイルランドに事業所を有しており、ジャックはそこで勤務していたため、GDPRの対象となります。
オプション C は不正解です。なぜなら、会社はジャックの元の DSAR で要求された情報を 3 か月以内に提供することに同意できないためです。これは、GDPR におけるデータ主体のアクセス権と説明責任の原則に違反することになります。会社が DSAR への回答期限を 2 か月延長できるのは、要求が複雑な場合、または管理者が同一のデータ主体から複数の要求を受け取った場合のみです1。ただし、会社は要求を受領してから 1 か月以内に、そのような延長について、遅延の理由とともにデータ主体に通知する必要があります1。この場合、会社はそうせず、代わりにジャックに要求をより具体的にするよう求めています。
選択肢Dは誤りです。企業は、データ主体のアクセス権およびGDPRに基づく透明性の原則に違反するため、電子メール以外の要求されたすべての情報を提供することはできません。企業は、他者の権利および自由に悪影響を与えない限り、処理中の個人データのコピーをデータ主体に提供する必要があります1。電子メールは処理中の個人データの一部であり、企業は正当な理由なくそれらをDSARから除外することはできません。また、データ主体が既に保有している場合を除き、企業は以下の補足情報をデータ主体に提供する必要があります1。
* 処理の目的
* 関係する個人データのカテゴリー
* 個人データが開示された、または開示される予定の受信者、特に第三国または国際機関の受信者。
* 可能な場合は、個人データが保存される予定期間、またはそれが不可能な場合は、その期間を決定するために使用される基準。
* 管理者に対して、データ主体に関する個人データの訂正または消去、個人データの処理の制限を要求する権利、またはそのような処理に異議を申し立てる権利の存在。
* 監督当局に苦情を申し立てる権利
* 個人データがデータ主体から収集されていない場合、その情報源に関する入手可能な情報。
* 第22条(1)および(4)に規定するプロファイリングを含む自動化された意思決定の存在、および少なくともその場合には、関連するロジックに関する有意義な情報、ならびにデータ主体にとってのそのような処理の重要性と予想される結果。
参考文献:
* アクセス権
* 領土範囲

CIPP-E 試験問題 106

CIPP-E 試験問題 107

CIPP-E 試験問題 108

CIPP-E 試験問題 109

CIPP-E 試験問題 110

PDFファイルをダウンロード