このページはExams Labs Braindumps [ http://blog.examslabs.com ] からエクスポートされました。 エクスポート日時:Mon Dec 23 12:42:44 2024 / +0000 GMT ___________________________________________________ タイトルCIPP-E実践問題集で素晴らしい結果を出すために [Q88-Q106] を受講してください。 --------------------------------------------------- 驚くべき結果のためにCIPP-E試験問題集を受験してください。 IAPP CIPP-E試験ダンプレートはよい成績を得るために不可欠である 問題88GDPRは、管理者に対し、データ処理に関する詳細な情報をデータ当事者に提供することを義務付けています。 受領者または受領者のカテゴリー 関係する個人データのカテゴリー アクセス、消去、制限、およびポータビリティの権利。 監督機関に苦情を申し立てる権利。 参考https://gdpr-info.eu/art-13-gdpr/QUESTION 89SCENARI次の質問に答えるために以下を使用してください:ABC保険の長年の顧客であるジェイソンは、数カ月前に軽度の交通事故に巻き込まれた。誰も怪我をしなかったにもかかわらず、ジェイソンはエルビウム保険という会社から、人身傷害の補償金を取り戻す手助けをするというメールや電話に悩まされている。ジェイソンは、保険会社が顧客のデータを第三者に売るという話を聞いたことがあり、エルビウム保険が彼の情報をABCから入手したに違いないと確信している。ジェイソンはまた、ABCからのマーケティング情報を受け取る機会が増え、同社のあらゆる保険契約を売り込もうとしている。新しい保険契約を有効にするために、ジェイソンはノークレーム・ボーナス、車、運転歴に関する情報をXentronに提供する必要がある。GDPRにおける自分の権利を調べた後、彼はABCに自分の情報を直接Xentronに転送するよう依頼する。ABCはジェイソンのノークレーム証明書のPDFとXML(Extensible Markup Language)バージョンを提供したが、技術的に不可能であるため、彼のデータを直接Xentronに転送することはできないとジェイソンに伝えた。ABCはまた、ジェイソンの契約には、彼のデータがマーケティング目的で使用されることに同意する条項が含まれていたと説明する。一方、ジェイソンはエルビウム保険から迷惑電話を受け続けている。その一方で、ジェイソンはエルビウム保険からの迷惑電話を受け続けている。彼はエルビウム保険に自分の詳細を提供した組織の名前を尋ねるため、エルビウム保険に手紙を書いた。彼はエルビウム社に、同社が自分のデータを違法に使用していると考えているため、データ保護当局に苦情を申し立てるつもりだと警告する。エルビウムからの回答は、ジェイソンの疑念を裏付けるものだった。エルビウムはジェイソンに、ジェイソンの契約にはビジネス目的のためにABCの関連会社と彼の情報を共有することに同意する条項が含まれていたため、GDPR違反はなかったと保証した。ジェイソンはABCに扱われた方法にうんざりしており、彼の情報をコンピュータシステムからすべて消去するよう、ABCに手紙を書いた。ジェイソンのデータポータビリティ要求に関するABCの義務を正確に要約した記述はどれか。 ABCには、ジェイソンのデータをXentronに転送する義務はない。 データポータビリティの権利は、個人情報が公共の利益のために処理される場合には適用されないので、ABCはジェイソンのデータをXentronに転送する必要はない。 個人情報が自動化された手段で処理され、顧客との契約履行に必要な場合、この義務は適用される。 ABC は、すべての顧客データを要求に応じて他の保険会社に移植できるように、一般的に使用され、機械が読め、相互運用可能なフォーマットを開発する義務があるため、ジェイソンのデータを Xentron に転送する義務を遵守しなかった。 質問 90 データ管理者がデータ保護責任者を任命した。次の条件のうち、GDPR 第 37 条から第 39 条の違反にならないものはどれか。 データ保護責任者が ISO 27001 審査員資格を持たない場合。 データ保護責任者がデータ処理者によって提供される場合。 データ保護責任者がマーケティング予算も管理している場合。 データ保護責任者がデータ管理者から指示を受ける場合。 参考 https://www.itgovernance.eu/fr-lu/data-protection-officer-dpo-under-the-gdpr-luQUESTION 91監督当局の調査権限の1つはどれか。 GDPR違反の疑いを管理者または処理者に通知すること。 管理者または処理者に対し、承認されたデータ保護認証メカニズムの採用を要求すること。 管理者または処理者が、彼らに対してなされた補償決定に関して司法救済を受ける権利を有するかどうかを判断すること。 データ管理者に対し、すべての新しい処理活動について書面による通知を提供することを要求すること。 参考https://gdpr-info.eu/art-58-gdpr/QUESTION 92SCENARI次の質問にお答えください:WonderkKidsは保育のオンライン予約サービスを提供しています。ワンダーキッズはフランスを拠点としていますが、スイスの会社を通じてウェブサイトを運営しています。サービスの一環として、ワンダーキッズは提供されたすべての個人データを、同社のシステムを通じて予約した保育提供者に渡します。ウェブサイト上で収集される個人データの種類には、保育を予約する人の氏名、住所、連絡先の詳細のほか、氏名、年齢、性別、健康情報など、保育を受ける子どもに関する情報が含まれます。ワンダーキッズのウェブサイトに掲載されているプライバシーステートメントには、次のように記載されています。「ワンダーキッズは、このウェブサイトを通じてお客様が当社に開示した情報を、スケジュール管理および安全衛生上の理由から、保育提供者に提供します。当社はまた、当社自身の合法的な事業目的のために、お客様とお子様の個人情報を使用することがあります。スイスにある設備に保存されたデータは、お客様とお子様の個人情報に対する適切な保護措置を保証するための欧州委員会の規定に適合しています。当社は、お客様およびお子様の個人情報を、お客様にとって真の付加価値をもたらすと当社が判断した企業とのみ共有します。当社に個人情報を提供することにより、お客様は、その個人情報が提携企業に転送されること、およびお客様にプロモーション情報を送信することに同意したものとみなされます。""当社は、お客様およびお客様のお子様の個人情報を28日以内保持することがあります。ただし、お客様の個人情報が28日を超えて正当な事業目的のために使用される場合は、最長2年間保持されることがあります。""当社は、お客様の同意を得て、お客様およびお客様のお子様の個人情報を処理しています。特定の情報を当社に提供しないことを選択された場合、当社のサービスをご利用いただけない場合があります。お客様は、以下の権利を有します:お客様およびお客様のお子様の個人情報へのアクセスを要求する権利、お客様およびお客様のお子様の個人情報を修正または消去する権利、お客様および/またはお客様のお子様の個人情報の修正または消去を請求する権利、お客様およびお客様のお子様の個人情報の処理に反対する権利。また、お客様は、当社のデータ処理活動について監督当局に苦情を申し立てる権利を有します。"ワンダーキッズとホスティングサービスプロバイダー間の契約には何が含まれていなければなりませんか? データを保護するための技術的および組織的措置を実施する義務。 管理者間モデル契約条項。 データ主体の監査権 秘密保持契約。 質問93Biofaceは米国に本社を置く企業です。欧州連合にはサーバーも人員も資産もない。ソーシャルメディアや新聞、ブログなどのウェブベースのサービスから写真を収集し、機械学習を使って顔認識アルゴリズムを開発している。このアルゴリズムは、アルゴリズムと既存のデータに基づいて、データセットにない写真に写っている個人を識別する。バイオフェイスは、そのサービスを米国およびカナダの政府機関および企業に提供しているが、欧州連合内の政府機関および企業には提供していない。なぜBiofaceは一般データ保護規則の適用範囲に入るのですか? バイオフェイスは欧州連合のウェブサイトからデータを収集しており、これは欧州連合における事業所となります。 欧州連合内のデータ主体を特定することにより、欧州連合内でサービスを提供している。 データ主体からデータを収集し、自動処理に使用する。 欧州連合内のデータ主体の行動を監視している。 質問94 2016年のガイダンスで、英国の情報コミッショナー事務局(ICO)は、データ主体に何を提供するために「レイヤー通知」を使用することの重要性を再確認したか? 簡潔な情報を含む一方、さらなる詳細へのアクセスを提供するプライバシー通知。 ウェブサイトでのクッキーの使用をオプトアウトした場合の結果を説明するプライバシー通知。 個人データが第三者に転送される際に使用されるセキュリティ対策についての説明。 書面による同意が義務付けられている加盟国において、書面による同意を提供するための効率的な手段。 解説問題95GDPRで新たに導入された、第42条に基づく第三国への個人データ移転の可能性を可能にするメカニズムはどれか。 承認された証明書 拘束力のある企業規則 法執行機関の要請 標準契約条項 参考https://www.anonos.com/gdpr-chapter-5-transfers-of-personal-data-to-third-countries-or- international-organisationsquestion96SCENARI次の質問に答えるために以下を使用してください:ビルディング・ブロック社は、シカゴに本社を置き、米国、アジア、ヨーロッパ(ドイツ、イタリア、フランス、ポルトガルを含む)に拠点を持つ多国籍企業です。昨年、同社はフィッシング攻撃の被害に遭い、重大なデータ流出が発生しました。執行役員会は、ゼネラル・マネージャー、個人情報保護室、情報セキュリティ・チームと連携し、さらなるセキュリティ対策の導入を決定した。これには、意識向上プログラム、サイバーセキュリティ監査、SecurityScanと呼ばれる新しいソフトウェア・ツールの使用などが含まれる。SecurityScanは、従業員のコンピュータをスキャンし、ベンダーのサポートが終了してセキュリティ・アップデートが提供されていないソフトウェアがあるかどうかを確認するものである。これらの対策は従業員に影響を与える可能性があるため、ビルディング・ブロックの個人情報保護室は、情報セキュリティを強化し、将来のデータ漏洩を防止するための一連の取り組みを実施することを示す一般通知を全従業員に発行することを決定した。これらの対策の実施後、サーバーのパフォーマンスは低下した。ゼネラル・マネージャーは、セキュリティ・チームにSecurityScanの使用方法を指示し、従業員のコンピュータのアクティビティとその場所を監視した。これらの活動中、情報セキュリティ・チームは、イタリア出身の従業員が毎日映画のビデオ・ライブラリに接続していること、またドイツ出身の従業員が無許可でリモートで作業していることを発見した。セキュリティ・チームは、これらのインシデントを個人情報保護室とゼネラル・マネージャーに報告した。会社のセキュリティおよびプライバシーポリシーでは、従業員が会社のコンピュータにソフトウェアをインストールしたり、無許可でリモートで作業したりすることを禁止しているためです。 GDPRはこの状況には適用されないので、会社はイタリアの労働法で認められたあらゆる懲戒処分を適用する権利があります。 この従業員はサーバーのパフォーマンスとそのデータに対する重大なリスクの原因であったため、会社はこの従業員に対して公正な解雇を含む懲戒処分を適用する権利があります。 従業員は、セキュリティ対策が監視など他の目的に使用されることを知らされていなかったため、会社はこの従業員に対して懲戒処分を適用することが困難になる可能性がある。 これは重大な違反行為であるが、従業員は新たなセキュリティー措置の結果について適切に知らされていなかったため、会社は懲戒処分を適用する権利があるが、解雇はできない。 質問 97 EU 域外の国におけるデータ保護水準の妥当性を確認する調査結果を採択する権限を有する機関はどこ ですか? 欧州議会 欧州委員会 第29条作業部会 欧州理事会 Reference https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/ adequacy-decisions_jaQUESTION 98 1973年にデータ保護に関する国内法を最初に施行したのは次のうちどれですか? フランス スウェーデン ドイツ イギリス 参照:https://scandinavianlaw.se/pdf/47-18.pdfQUESTION 99ある小学校が、生徒の出席状況を追跡するために顔認識を使用することを計画している。次のうち、この処理の合法的根拠となり得るものはどれですか。 学校は各カメラの近くに掲示を置く。 学校は生徒から明示的な同意を得る。 学校が求める正当な利益のために処理が必要である。 州法が出席確認のために顔認証を義務付けている。 参考https://www.jdsupra.com/legalnews/let-s-face-it-facial-recognition-1134180/QUESTION 100欧州人権条約(ECHR)第8条に基づくプライバシーの権利について考えるとき、正しい記述はどれか。 プライバシー権は絶対的な権利である。 プライバシーの権利は、ECHRの他の権利とのバランスを考慮しなければならない。 ECHR第10条に基づく表現の自由に対する権利は、常にプライバシーに対する権利に優先する プライバシーの権利は、干渉されることなく意見を持ち、思想を受け、伝える権利を保護する。 参考https://www.echr.coe.int/Documents/Guide_Art_8_ENG.pdf (15)問題101GDPR第5条が明示的に要求している「公平性」、「適法性」、「透明性」の概念を最もよく要約した文はどれか。 公平性と透明性とは、データを収集する前に重要な情報を伝えることであり、適法性とは、政府の規制を遵守することである。 公平性とは、個人から収集するデータの量を制限することであり、適法性とは、企業ガイドラインが国によって承認されることであり、透明性とは、データを収集する前に重要な情報を伝達することのみである。 公正性とは、個人データの安全性を意味し、適法性と透明性とは、条例が統一的に施行されるよう分析することを意味する。 公平性とは、多様な対象からデータを収集することであり、適法性とは、法的ルールの統一が必要であることであり、透明性とは、個人が自分のデータにアクセスできるようにすることである。 説明質問102欧州データ保護指令95/46/ECの目的は何ですか? 欧州人権条約の履行を全加盟国に調和させること。 プライバシーの保護と個人データの国境を越えた流通に関するOECDガイドラインを実施するため。 個人データのEU域外への移転を完全に防止する。 個人の基本的権利の保護と、加盟国間のデータの自由な流れをさらに調和させる。 参考https://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf (3)質問103個人データを偽名にするために、データ管理者は何をしなければなりませんか? データとデータ主体との関連付けを可能にするあらゆる情報を別途保持する。 不正なアクセスや改変を防ぐためにデータを暗号化する。 間接的なデータ識別子をすべて削除し、安全に廃棄する。 調査目的のために集計された形式でのみデータを使用する。 質問104GDPRによると、偽名個人データはどのように定義されますか? 別個に保管されている追加情報を使用することなく、特定のデータ対象者に帰属させることができなくなったデータ。 特定のデータ主体に帰属させることができなくなったデータで、データを再特定する可能性がないもの。 データ対象者を識別できないように匿名化されたデータ。 暗号化されたデータ、またはその他の技術的保護措置が講じられたデータ。 説明/参照:https://www.chino.io/blog/what-is-pseudonymous-data-according-to-the-gdpr/QUESTION 105SCENARI次の質問に答えてください。アンナはデータ保護を担当する弁護士で、フランクは工学部の講師です。氏名、学籍番号、自宅住所、大学入学前の情報、大学への出席と成績の記録、特別な教育ニーズの詳細、財務情報など。自伝的資料(カリキュラム、職業上の連絡先ファイル、学生評価、その他関連する教育ファイルなど)を含む職員の記録。これらの記録は、グランチェスターの同窓会ポータルから登録した元生徒が閲覧することができます。教育省の記録:特定の人口統計学的グループ(第一世代の学生など)の平均的な進度を示しています。これらの記録には氏名や識別番号は含まれていません。セキュリティポリシーに基づき、大学はすべての個人データ記録を転送中および保管中に暗号化しています。フランクは、指導を改善するために、工学部の学生が教育省の期待に照らしてどのような成績を収めているかを調査したいと考えています。彼はアンナのデータ保護トレーニングコースに参加し、目的を達成するために必要以上の個人データを使用すべきではないことを知っています。彼は、以前通った学校、当初取得した成績、現在取得した成績、初めて通った大学など、一部の学生データのみをエクスポートするプログラムを作成します。彼は学生個人のレベルで記録を保持したいと考えている。フランクは、アンナのトレーニングを意識して、学生番号をアルゴリズムに通し、異なる参照番号に変換します。アンナの仕事の1つは、GDPRで義務付けられている処理活動の記録を完成させることです。リマインダーの電子メールを受け取った後、GDPRが要求しているように。アンはフランクに、個人データを最小限に抑えるだけでなく、既存のデータを新たに使用することが許容されるかどうかを確認する必要があると説明します。また、GDPRの下では、データ処理を行う前にリスク分析を行う必要があるのではないかと考えている。フランクは空き時間に分析に取り組めるようにしたいと考え、自宅のノートパソコン(暗号化されていない)にデータを転送する。残念なことに、フランクは大学にノートパソコンを持ち込んだとき、電車の中でなくしてしまう。フランクはその日、互換性のある処理について相談するためにアンナに会わなければならない。彼はセキュリティインシデントを報告する必要があることを知っているので、アンナにノートPCを紛失したことを同時に伝えることにしました。 データ対象者はもはやフランクの学生ではない その処理はデータ対象者の権利に悪影響を及ぼさない。 フランクが処理に使用するアルゴリズムが技術的に健全である。 データ対象者が当初の処理に明確な同意をしている。 質問106ダイレクトマーケティングに関して、どのような状況で「ソフトオプトイン」ルールが適用される可能性がありますか? 個人がマーケティングに同意していない場合。 商品購入に関する問い合わせから個人情報を入手した場合。 個人の詳細情報が、買い取った