CIPP-E 試験問題 126
スタートアップ企業MagicAIは、皮膚がんを検出する医療機器に搭載されるAIシステムを開発しています。AIシステムにおける潜在的なバイアス対策として、ITチームはユーザーの民族的出身、国籍、性別に関するデータを収集することを決定しました。
GDPR 第 9 条 (特別なカテゴリの個人データの処理) に基づくこの処理の最も適切な法的根拠はどれでしょうか?
GDPR 第 9 条 (特別なカテゴリの個人データの処理) に基づくこの処理の最も適切な法的根拠はどれでしょうか?
CIPP-E 試験問題 127
シナリオ
次の質問に答えるには、以下を使用してください。
ザンデレイファッション(「ザンデレイ」)は、約1000人の従業員を擁する国際的なオンライン衣料品小売業者です。
アイルランドのダブリンに本社を置く同社は、650名の従業員を抱えています。マーティンは最近任命されたデータ保護責任者であり、一般データ保護規則(GDPR)およびその他のプライバシー法の遵守を監督しています。
同社は、子供を含むあらゆる年齢層を対象に、男性用と女性用の衣料品ラインを提供しています。その過程で、顧客の嗜好やクレジットカード番号や銀行口座番号といった機密性の高い金融情報など、大量の顧客情報を処理しています。
収益成長を積極的に図るため、CEOのジェリーはマーティンに対し、顧客の購入履歴を分析し、プロファイリングに重点を置いた新しいモバイルアプリとロイヤルティプログラムを導入することを伝えました。マーティンはCEOに対し、(a) こうした活動に伴う潜在的なリスクを考慮すると、ザンデレイ社はこの新しい取り組みとそのプライバシーへの影響を評価するためにデータ保護影響評価を実施する必要があること、(b) この評価結果から、適切な保護措置を講じない場合に高いリスクが生じる可能性があることを示唆しました。ザンデレイ社は、アプリとロイヤルティプログラムを導入する前に、アイルランドのデータ保護コミッショナーとの事前協議を行う必要があるかもしれません。
ジェリーはマーティンに対し、監督当局と直接交渉し、ザンデレイの事業計画と関連する処理活動の詳細を開示しなければならない可能性について不満を述べている。
事前協議の際に、Zandelay は監督当局に何を提供する必要がありますか?
次の質問に答えるには、以下を使用してください。
ザンデレイファッション(「ザンデレイ」)は、約1000人の従業員を擁する国際的なオンライン衣料品小売業者です。
アイルランドのダブリンに本社を置く同社は、650名の従業員を抱えています。マーティンは最近任命されたデータ保護責任者であり、一般データ保護規則(GDPR)およびその他のプライバシー法の遵守を監督しています。
同社は、子供を含むあらゆる年齢層を対象に、男性用と女性用の衣料品ラインを提供しています。その過程で、顧客の嗜好やクレジットカード番号や銀行口座番号といった機密性の高い金融情報など、大量の顧客情報を処理しています。
収益成長を積極的に図るため、CEOのジェリーはマーティンに対し、顧客の購入履歴を分析し、プロファイリングに重点を置いた新しいモバイルアプリとロイヤルティプログラムを導入することを伝えました。マーティンはCEOに対し、(a) こうした活動に伴う潜在的なリスクを考慮すると、ザンデレイ社はこの新しい取り組みとそのプライバシーへの影響を評価するためにデータ保護影響評価を実施する必要があること、(b) この評価結果から、適切な保護措置を講じない場合に高いリスクが生じる可能性があることを示唆しました。ザンデレイ社は、アプリとロイヤルティプログラムを導入する前に、アイルランドのデータ保護コミッショナーとの事前協議を行う必要があるかもしれません。
ジェリーはマーティンに対し、監督当局と直接交渉し、ザンデレイの事業計画と関連する処理活動の詳細を開示しなければならない可能性について不満を述べている。
事前協議の際に、Zandelay は監督当局に何を提供する必要がありますか?
CIPP-E 試験問題 128
シナリオ
次の質問に答えるには、以下を使用してください。
ジョーは、DNA鑑定サービスを提供するカナダ企業Who-RUの新しいプライバシーマネージャーです。本社はモントリオールにあり、従業員全員がそこに勤務しています。同社はカナダ人のみにサービスを提供しています。ウェブサイトは英語とフランス語で提供され、カナダの通貨のみを受け付け、カナダ国外からのインターネットトラフィックをブロックしています(ただし、この対策でカナダ国外からのトラフィックをすべてブロックできるわけではありません)。また、DNAレポートをカナダ国外に送付するよう要求する注文は処理せず、カナダ国外の返送先住所が記載されている注文は返品されます。
Who-RU の社長ボブ氏は、EU でこの製品に対する関心が非常に高いと考えており、同社は顧客基盤を拡大するためのさまざまな計画を検討しています。
最初の計画は、共同でWe-Track-Uと名付けられ、アプリを用いて既存のカナダの顧客基盤に関する情報を収集します。この拡張により、カナダの顧客は海外旅行中にアプリを使用できるようになります。ボブは、このアプリを用いて位置情報の収集を行うことを提案します。この計画が有望であれば、ボブはプッシュ通知とテキストメッセージを用いて既存顧客にEU版サービスの事前登録を促すことを提案します。ボブはこの作業計画をWe-Text-Uと呼んでいます。十分な事前登録数を集めた後、EU向けのコンテンツとサービスを開発する予定です。
もう一つのプランは「Customer for Life」と呼ばれる。これは、同社のアプリを通じて、DNA情報の保存や、他のアプリや医療機関との共有といった追加サービスを提供するという構想だ。同社の契約書には、顧客のDNAを無期限に保管し、新サービスの提供や顧客へのマーケティングに活用できることが明記されている。また、顧客はダイレクトマーケティングへの同意を撤回しないことに同意する、と明記されている。マーケティングディレクターのポール氏は、同社がこれらの条項を最大限に活用し、契約によって同意が無効となるため、顧客が同意を撤回しようとしても回避できると提案している。
最終計画は、EUにおけるブランドプレゼンスの構築です。同社はすでにこのプロセスに着手しており、ドイツにあるビルの命名権を購入する手続きを進めています。このビルには、Who-RUの幹部が海外旅行中に利用できるオフィススペースがいくつか設けられる予定です。このオフィスにはテクノロジーやインフラ設備は一切なく、机と椅子がいくつか置かれただけのシンプルな部屋です。
命名権契約に関する最近の出張中、ボブのノートパソコンが盗まれました。ノートパソコンには、カナダ在住のWHO-RU顧客5,000人の暗号化されていないDNAレポートが保存されていました。レポートには、顧客名、生年月日、民族、人種的背景、親族名、性別、そして時折健康情報も含まれていました。
Customer for Life プランは、どの GDPR 規定と矛盾する可能性がありますか?
次の質問に答えるには、以下を使用してください。
ジョーは、DNA鑑定サービスを提供するカナダ企業Who-RUの新しいプライバシーマネージャーです。本社はモントリオールにあり、従業員全員がそこに勤務しています。同社はカナダ人のみにサービスを提供しています。ウェブサイトは英語とフランス語で提供され、カナダの通貨のみを受け付け、カナダ国外からのインターネットトラフィックをブロックしています(ただし、この対策でカナダ国外からのトラフィックをすべてブロックできるわけではありません)。また、DNAレポートをカナダ国外に送付するよう要求する注文は処理せず、カナダ国外の返送先住所が記載されている注文は返品されます。
Who-RU の社長ボブ氏は、EU でこの製品に対する関心が非常に高いと考えており、同社は顧客基盤を拡大するためのさまざまな計画を検討しています。
最初の計画は、共同でWe-Track-Uと名付けられ、アプリを用いて既存のカナダの顧客基盤に関する情報を収集します。この拡張により、カナダの顧客は海外旅行中にアプリを使用できるようになります。ボブは、このアプリを用いて位置情報の収集を行うことを提案します。この計画が有望であれば、ボブはプッシュ通知とテキストメッセージを用いて既存顧客にEU版サービスの事前登録を促すことを提案します。ボブはこの作業計画をWe-Text-Uと呼んでいます。十分な事前登録数を集めた後、EU向けのコンテンツとサービスを開発する予定です。
もう一つのプランは「Customer for Life」と呼ばれる。これは、同社のアプリを通じて、DNA情報の保存や、他のアプリや医療機関との共有といった追加サービスを提供するという構想だ。同社の契約書には、顧客のDNAを無期限に保管し、新サービスの提供や顧客へのマーケティングに活用できることが明記されている。また、顧客はダイレクトマーケティングへの同意を撤回しないことに同意する、と明記されている。マーケティングディレクターのポール氏は、同社がこれらの条項を最大限に活用し、契約によって同意が無効となるため、顧客が同意を撤回しようとしても回避できると提案している。
最終計画は、EUにおけるブランドプレゼンスの構築です。同社はすでにこのプロセスに着手しており、ドイツにあるビルの命名権を購入する手続きを進めています。このビルには、Who-RUの幹部が海外旅行中に利用できるオフィススペースがいくつか設けられる予定です。このオフィスにはテクノロジーやインフラ設備は一切なく、机と椅子がいくつか置かれただけのシンプルな部屋です。
命名権契約に関する最近の出張中、ボブのノートパソコンが盗まれました。ノートパソコンには、カナダ在住のWHO-RU顧客5,000人の暗号化されていないDNAレポートが保存されていました。レポートには、顧客名、生年月日、民族、人種的背景、親族名、性別、そして時折健康情報も含まれていました。
Customer for Life プランは、どの GDPR 規定と矛盾する可能性がありますか?
CIPP-E 試験問題 129
シナリオ
次の質問に答えるには、以下を使用してください。
ジョーは2000年、米国バーモント州の自宅でグミベア・カンパニーを設立しました。現在、同社は数十億ドル規模のキャンディ会社に成長し、全大陸で事業を展開しています。同社のITサーバーはすべてバーモント州に設置されています。今年、ジョーは息子のベンを会社に迎え入れ、わずか5年で総売上高を3倍にするという大規模なマーケティング戦略「プロジェクト・ビッグ」の責任者に任命しました。ベンは一流大学でコンピュータソフトウェアの博士号を取得しています。ベンは父親の会社に加わることを決めましたが、同時に「ベン・ノウズ・ベスト」という新しいグローバルオンラインデートサイト会社の立ち上げにも密かに取り組んでいます。
ベンは、グミベア・カンパニーが何百万人もの顧客を抱えていることを認識しており、その多くが理想のパートナーを見つけることに興味を持っているかもしれないと考えています。プロジェクト・ビッグでは、ベンは同社のオンライン・ウェブポータルを再設計し、EUおよびその他の地域の顧客に、顧客維持のために追加の個人情報の提供を求めます。プロジェクト・ベンは、顧客の哲学的信条、政治的意見、婚姻状況に関するデータの収集を開始します。
顧客が独身の場合、ベンはその顧客の個人データをすべてベン・ノウズ・ベストの別のデータベースにコピーします。ベンは、顧客一人ひとりに情報提供前にチェックボックスにチェックを入れるよう明確に同意を求めているため、何も悪いことはしていないと考えています。プロジェクト・ビッグは重要なプロジェクトであるため、ベンの支援のため、コンピューターサイエンスを専攻する大学1年生のサムも採用しています。
ベンが声をかけると、サムはベン・ノウズ・ベストのデータベースを見つける。サムは10人の友人とスプリング・ビーク号でアイルランドへ行く予定なので、アイルランド在住の顧客情報をすべてコピーして、アイルランド滞在中に友人と連絡が取れるようにする。
ジョーは、親友の娘でアメリカのロースクールを卒業したばかりのアリスを、会社の新しい法務顧問として採用しました。アリスはGDPRについて聞いていたので、調べてみました。そしてジョーに近づき、EU域内の事業所から米国への社内データ転送のための法的メカニズムを整備することが会社にとって重要であるため、会社全員が遵守すべき拘束的企業準則(BCR)を起草したと伝えました。
ジョーはアリスの素晴らしい仕事ぶりを高く評価し、米国連邦裁判所で会社に対して提起された大規模な訴訟の処理もアリスに任せると伝えた。訴訟に備えるため、アリスは会社のIT部門に指示し、EUを含む全世界の営業チームのコンピューターのハードドライブのコピーを作成し、全てをアリスに送ってもらい、全員の情報を確認できるようにする。アリスは、自分が第一段階のレビューを担当してくれたことで、ジョーはきっと喜ぶだろうと確信している。なぜなら、これにより、本来であれば外部の法律事務所に支払うはずだった多額の費用を節約できるからだ。
サムの行為の結果、グミベア カンパニーは GDPR の第 33 条および第 34 条に違反した可能性があり、どのような措置を講じる必要がありますか?
次の質問に答えるには、以下を使用してください。
ジョーは2000年、米国バーモント州の自宅でグミベア・カンパニーを設立しました。現在、同社は数十億ドル規模のキャンディ会社に成長し、全大陸で事業を展開しています。同社のITサーバーはすべてバーモント州に設置されています。今年、ジョーは息子のベンを会社に迎え入れ、わずか5年で総売上高を3倍にするという大規模なマーケティング戦略「プロジェクト・ビッグ」の責任者に任命しました。ベンは一流大学でコンピュータソフトウェアの博士号を取得しています。ベンは父親の会社に加わることを決めましたが、同時に「ベン・ノウズ・ベスト」という新しいグローバルオンラインデートサイト会社の立ち上げにも密かに取り組んでいます。
ベンは、グミベア・カンパニーが何百万人もの顧客を抱えていることを認識しており、その多くが理想のパートナーを見つけることに興味を持っているかもしれないと考えています。プロジェクト・ビッグでは、ベンは同社のオンライン・ウェブポータルを再設計し、EUおよびその他の地域の顧客に、顧客維持のために追加の個人情報の提供を求めます。プロジェクト・ベンは、顧客の哲学的信条、政治的意見、婚姻状況に関するデータの収集を開始します。
顧客が独身の場合、ベンはその顧客の個人データをすべてベン・ノウズ・ベストの別のデータベースにコピーします。ベンは、顧客一人ひとりに情報提供前にチェックボックスにチェックを入れるよう明確に同意を求めているため、何も悪いことはしていないと考えています。プロジェクト・ビッグは重要なプロジェクトであるため、ベンの支援のため、コンピューターサイエンスを専攻する大学1年生のサムも採用しています。
ベンが声をかけると、サムはベン・ノウズ・ベストのデータベースを見つける。サムは10人の友人とスプリング・ビーク号でアイルランドへ行く予定なので、アイルランド在住の顧客情報をすべてコピーして、アイルランド滞在中に友人と連絡が取れるようにする。
ジョーは、親友の娘でアメリカのロースクールを卒業したばかりのアリスを、会社の新しい法務顧問として採用しました。アリスはGDPRについて聞いていたので、調べてみました。そしてジョーに近づき、EU域内の事業所から米国への社内データ転送のための法的メカニズムを整備することが会社にとって重要であるため、会社全員が遵守すべき拘束的企業準則(BCR)を起草したと伝えました。
ジョーはアリスの素晴らしい仕事ぶりを高く評価し、米国連邦裁判所で会社に対して提起された大規模な訴訟の処理もアリスに任せると伝えた。訴訟に備えるため、アリスは会社のIT部門に指示し、EUを含む全世界の営業チームのコンピューターのハードドライブのコピーを作成し、全てをアリスに送ってもらい、全員の情報を確認できるようにする。アリスは、自分が第一段階のレビューを担当してくれたことで、ジョーはきっと喜ぶだろうと確信している。なぜなら、これにより、本来であれば外部の法律事務所に支払うはずだった多額の費用を節約できるからだ。
サムの行為の結果、グミベア カンパニーは GDPR の第 33 条および第 34 条に違反した可能性があり、どのような措置を講じる必要がありますか?
CIPP-E 試験問題 130
第 17 条および検索エンジンの場合の RTBF 基準に関する EDPB ガイドライン S'2019 に従うと、次のすべてがデータ主体のリストからの削除要求の有効な根拠となりますが、次の例外はありません。