このページはExams Labs Braindumpsからエクスポートされました。 [ http://blog.examslabs.com ]
エクスポート日時: Mon Dec 23 13:03:41 2024 / +0000 GMT

CIPP-E模擬試験で驚異の結果を出す [Q88~Q106]




情報プライバシー・プロフェッショナル試験 CIPP-E対策問題集を受講してください。

 IAPP CIPP-E試験問題集は良い成績を取るために不可欠である

質問88
GDPRは、管理者に対し、データ処理に関する詳細な情報をデータ当事者に提供することを義務付けている。

 
 
 
 

質問89
シナリオ
次の質問にお答えください:
ABC保険の長年の顧客であるジェイソンは、数カ月前に軽い交通事故に巻き込まれた。
誰も怪我をしていないのに、ジェイソンはエルビウム保険という会社から、人身事故の補償金を取り戻す手助けをするというメールや電話に悩まされている。保険会社が顧客のデータを第三者に売るという話を聞いたことがあるジェイソンは、エルビウム保険がABCから彼の情報を得たに違いないと確信する。
ジェイソンはまた、ABCからのマーケティング情報を受け取る機会も増えている。
長年ABCの保険に加入しているにもかかわらず、ABCよりはるかに安い保険料が提示されているのだ。ABCの契約が更新の時期を迎え、彼はゼントロン保険に乗り換えることにした。
新しい保険契約を有効にするため、ジェイソンはXentronにノークレーム・ボーナス、車両、運転歴に関する情報を提供する必要がある。GDPRに基づく自分の権利を調査した後、彼はABCに自分の情報を直接Xentronに転送するよう依頼する手紙を書いた。また、この機会にABCに対し、マーケティング目的で個人データを使用しないよう要請する。
ABCはジェイソンのノークレーム証明書のPDFとXML(Extensible Markup Language)バージョンを提供するが、技術的に不可能であるため、彼のデータを直接Xentronに転送することはできないとジェイソンに告げる。ABCはまた、ジェイソンの契約には、彼のデータがマーケティング目的で使用されることに同意する条項が含まれていたと説明する。ABCによると、ジェイソンがこの件について考えを変えるには遅すぎるとのことだ。ジェイソンは、法律の専門用語で埋め尽くされ、非常にわかりにくかった契約書の文言を思い出し、腹を立てている。
その間にも、ジェイソンはエルビウム保険から迷惑電話を受け続けている。彼はアービウム社に自分の情報を提供した組織の名前を尋ねるために手紙を書いた。彼はエルビウム社に、同社が自分のデータを違法に使用していると考えているため、データ保護当局に苦情を申し立てるつもりだと警告する。彼の手紙には、自分のデータがどのような形であれエルビウム社に使用されることを望んでいないと書かれている。
エルビウムからの回答書は、ジェイソンの疑念を裏付けるものだった。エルビウムはABCの完全子会社であり、ジェイソンが事故のクレームを提出した直後、ABCからジェイソンの事故に関する情報を受け取った。
エルビウムは、ジェイソンの契約にはビジネス目的でABCの関連会社と情報を共有することに同意する条項が含まれていたため、GDPR違反はなかったとジェイソンに保証する。
ジェイソンはABCの扱いに呆れ、自分の情報をすべてコンピューターシステムから消去するよう、ABCに手紙を出した。
ジェイソンのデータポータビリティ要求に関するABCの義務を正確に要約した記述はどれか。

 
 
 
 

質問90
データ管理者がデータ保護責任者を任命した。次の条件のうち、GDPR第37条から第39条への違反にならないものはどれですか?

 
 
 
 

質問91
次のうち、監督当局の調査権限のひとつはどれですか?

 
 
 
 

質問92
シナリオ
次の質問にお答えください:
ワンダーキッズは保育のオンライン予約サービスを提供している。ワンダーキッズはフランスを拠点としていますが、スイスの会社を通じてウェブサイトをホストしています。サービスの一環として、ワンダーキッズは、提供されたすべての個人データを、同社のシステムを通じて予約された保育提供者に渡します。ウェブサイト上で収集される個人データの種類には、保育を予約する人の氏名、住所、連絡先の詳細のほか、氏名、年齢、性別、健康情報など、保育を受ける子どもに関する情報が含まれます。ワンダーキッズのウェブサイト上のプライバシー・ステートメントには、以下のように記載されている:
"ワンダーキッズは、本ウェブサイトを通じてお客様が当社に開示した情報を、スケジュール管理および安全衛生上の理由から、保育提供者に提供します。当社はまた、当社自身の合法的な事業目的のために、お客様とお子様の個人情報を使用することがあります。スイスにある設備に保存されたデータは、お客様とお子様の個人情報に対する適切な保護措置を保証するための欧州委員会の規定に適合しています。当社は、お客様およびお子様の個人情報を、お客様にとって真の付加価値をもたらすと当社が判断した企業とのみ共有します。当社に個人情報を提供することにより、お客様は、提携企業への個人情報の転送、およびプロモーションオファーの送付に同意したものとみなされます。"
「ただし、お客様の個人情報が正当な事業目的のために28日を超えて使用される場合は、最長2年間保持されることがあります。
"当社は、お客様の同意のもと、お客様およびお子様の個人情報を取り扱います。特定の情報を当社に提供しないことを選択された場合、当社のサービスをご利用いただけない場合があります。お客様は、以下の権利を有します:お客様およびお客様のお子様の個人情報へのアクセスを要求する権利、お客様およびお客様のお子様の個人情報を修正または消去する権利、お客様および/またはお客様のお子様の個人情報の修正または消去の権利、お客様およびお客様のお子様の個人情報の処理に異議を唱える権利。また、お客様は、当社のデータ処理活動について監督当局に苦情を申し立てる権利を有します。"ワンダーキッズとホスティングサービスプロバイダー間の契約には何が含まれていなければなりませんか?

 
 
 
 

質問93
バイオフェイスは米国に本社を置く企業である。欧州連合(EU)にはサーバーも人員も資産もない。ソーシャルメディアや新聞、ブログなどのウェブベースのサービスから写真を収集し、機械学習を用いて顔認識アルゴリズムを開発する。このアルゴリズムは、アルゴリズムと既存のデータに基づいて、データセットにない写真に写っている個人を識別する。バイオフェイスは、そのサービスを米国およびカナダの政府機関および企業に提供しているが、欧州連合内の政府機関および企業には提供していない。Biofaceは個人にはサービスを提供していない。
バイオフェイスが一般データ保護規則の適用範囲に含まれるのはなぜですか?

 
 
 
 

質問94
2016年のガイダンスの中で、英国情報コミッショナー事務局(ICO)は、データ主体に何を提供するために「レイヤード・ノーティス」を使用することの重要性を再確認した。

 
 
 
 

質問95
GDPRで新たに導入された、第42条に基づく第三国への個人データ移転の可能性を可能にするメカニズムは?

 
 
 
 

質問96
シナリオ
次の質問にお答えください:
ビルディング・ブロック社は、シカゴに本社を置き、米国、アジア、ヨーロッパ(ドイツ、イタリア、フランス、ポルトガルを含む)に拠点を持つ多国籍企業である。昨年、同社はフィッシング攻撃の被害に遭い、重大なデータ流出が発生した。執行役員会は、ゼネラル・マネージャー、個人情報保護室、情報セキュリティ・チームと連携し、さらなるセキュリティ対策の導入を決定した。これには、意識向上プログラム、サイバーセキュリティ監査、SecurityScanと呼ばれる新しいソフトウェアツールの使用などが含まれる。SecurityScanは、従業員のコンピュータをスキャンし、ベンダーによるサポートが終了し、セキュリティアップデートが提供されていないソフトウェアがあるかどうかを確認するものである。しかし、このソフトウェアは、従業員のコンピュータの監視など、他の機能も提供している。
これらの措置は従業員に影響を与える可能性があるため、ビルディング・ブロックの個人情報保護室は、情報セキュリティを強化し、将来のデータ漏洩を防止するための一連の取り組みを実施することを示す一般的な通知を全従業員に発行することを決定した。
これらの対策の実施後、サーバーのパフォーマンスは低下した。ゼネラル・マネージャーは、セキュリティ・チームにSecurityScanを使用して従業員のコンピュータのアクティビティとその場所を監視する方法を指示した。
これらの活動中、情報セキュリティー・チームは、イタリア出身の従業員が日常的に映画のビデオ・ライブラリに接続していたこと、またドイツ出身の従業員が無許可でリモート・ワークを行っていたことを発見した。セキュリティ・チームは、これらのインシデントをプライバシー・オフィスとゼネラル・マネージャーに報告した。同チームは報告書の中で、サーバーのパフォーマンス低下の原因はイタリア人従業員にあると結論づけた。
会社のセキュリティおよびプライバシー・ポリシーでは、従業員が会社のコンピューターにソフトウェアをインストールすることや、許可なくリモートで作業することを禁じていたため、これらの違反行為の重大性から、会社は両従業員に対して懲戒処分を適用することを決定した。
ビルディング・ブロックがイタリアからの従業員との状況に対処する最も適切な方法は何でしょうか?

 
 
 
 

質問97
EU域外国のデータ保護水準の妥当性を確認する調査結果を採択する権限を持つ機関はどこか?

 
 
 
 

質問98
1973年にデータ保護に関する国内法を最初に施行したのは次のうちどこでしょう?

 
 
 
 

質問99
ある小学校が、生徒の出席状況を把握するために顔認証を使用する予定です。この処理の合法的根拠となる可能性があるのは、次のうちどれでしょうか?

 
 
 
 

質問100
欧州人権条約(ECHR)第8条に基づくプライバシーの権利について考えるとき、正しい記述はどれか?

 
 
 
 

質問101
GDPR第5条が明示的に要求している「公平性」、「適法性」、「透明性」の概念を要約した文章はどれか。

 
 
 
 

質問102
欧州データ保護指令95/46/ECの目的は何ですか?

 
 
 
 

質問103
個人データを偽名にするために、データ管理者は何をしなければならないのか?

 
 
 
 

質問104
GDPRによると、仮名個人データはどのように定義されるのか?

 
 
 
 

質問105
シナリオ
次の質問にお答えください:
アンナとフランクはともにグランチェスター大学で働いている。アンナはデータ保護を担当する弁護士で、フランクは工学部の講師である。大学では様々な種類の記録を管理しています:
氏名、学籍番号、自宅住所、大学入学前情報、大学への出席および成績記録、特別教育ニーズの詳細、財務情報などの学生記録。
自伝的資料を含む職員の記録(教育課程、職業上の連絡先ファイル、生徒評価、その他関連する教 育ファイルなど)。
同窓生の出生地、生年月日、入学日、学位授与などの記録。これらの記録は、グランチェスターの同窓会ポータルから登録した元生徒が閲覧することができます。教育省の記録:特定の人口統計学的グループ(第一世代の学生など)の平均的な学習進度を示しています。これらの記録には氏名や識別番号は含まれていません。
同大学のセキュリティー・ポリシーに基づき、同大学は、輸送中および保管中のすべての個人データ記録を暗号化している。
授業を改善するため、フランクは工学部の学生が教育省の期待に照らしてどのような成績を収めているかを調査したいと考えている。彼はアンナのデータ保護トレーニングコースに参加し、目的を達成するために必要以上の個人データを使用すべきではないことを知っている。彼は、以前通った学校、当初取得した成績、現在取得した成績、初めて通った大学など、一部の学生データのみをエクスポートするプログラムを作成します。彼は学生個人のレベルで記録を保持したいと考えている。フランクは、アンナのトレーニングを意識して、学生番号をアルゴリズムに通し、異なる参照番号に変換します。彼は、時間の経過とともに各記録を更新できるように、毎回同じアルゴリズムを使用しています。
アナの仕事の1つは、GDPRで義務付けられている処理活動の記録を完成させることです。リマインダーの電子メールを受け取った後、GDPRの要求に従って。リマインダーのEメールを受け取った後、フランクは自分のパフォーマンス・データベースについてアンナに報告します。
アンはフランクに、個人データを最小限に抑えるだけでなく、大学は既存のデータの新たな利用が許されるかどうかを確認しなければならないと説明する。また、GDPRの下では、データ処理を行う前にリスク分析を行う必要があるのではないかと考えている。アンナは追加調査を行った後、フランクとさらに話し合うことにした。
フランクは空き時間に分析作業をしたいので、自宅のノートパソコン(暗号化されていない)に転送する。不運なことに、フランクが大学にノートパソコンを持ち込んだ際、電車の中でなくしてしまう。フランクはその日、互換性のある処理について相談するためにアンナに会わなければならない。彼はセキュリティ・インシデントを報告する必要があることを知っているので、同時にアンナにノートパソコンの紛失について話すことにした。
アンナは、このような状況であればリスク分析は必要ないと考えるだろう。

 
 
 
 

質問106
ソフトオプトイン」ルールは、どのような状況でダイレクトマーケティングに適用されるのか?