CIPM試験スタディガイド 無料模擬試験 最終更新日 2024年05月18日 [Q20-Q40]

4/5 - (1 投票)

CIPM試験勉強ガイド 無料模擬試験 最終更新日 2024年5月18日

新CIPM2024更新検証済み学習ガイド&ベストコース

IAPP CIPM(Certified Information Privacy Manager)認定試験は、組織内のプライバシーポリシーと慣行を管理するスキルと知識を提供する、世界的に認められた認定試験です。CIPM(Certified Information Privacy Manager)認定資格は、専門家がグローバルスタンダードおよび規制要件を満たすプライバシープログラム、ポリシー、および手順を開発し、実施することを支援するように設計されています。

IAPP CIPM認定資格は、プライバシー管理の分野でキャリアアップを目指すプロフェッショナルに最適な資格です。CIPM(Certified Information Privacy Manager)認定資格は、世界のプライバシーに関する法律や規制を包括的に理解し、組織内で効果的なプライバシー・プログラムを開発・実施できる専門家を育成します。今日のデジタル環境におけるデータ・プライバシーの重要性が高まる中、CIPM認定資格は、プライバシー管理の分野で働くすべての人にとって貴重な資産となります。

 

20位 技術的セキュリティ管理の使用に関して、間違っている記述はどれか。

 
 
 
 

NO.21 シナリオ
次の質問にお答えください:
ペニーはこのほど、ホームウェア・アクセサリーをオンラインで販売する企業、エース・スペース社に新しいプライバシー・オフィサーとして加わった。同社はカリフォルニアに本社を置くが、昨年ソーシャルメディアのインフルエンサーが大々的に宣伝したおかげで、EUからの売上が急増し、この拡大をサポートするためにアイルランドに支社を設立した。エース・スペースの実務に精通し、プライバシーの優先事項を見極めるため、ペニーは多くの同僚とミーティングを設定し、彼らが行ってきた仕事やコンプライアンスへの取り組みについて話を聞いた。
ペニーの同僚のマーケティング担当者は、新しい売上と会社の計画に興奮しているが、ペニーが計画している成長の機会を狭めてしまうのではないかと懸念している。休憩室で誰かが新しい個人情報保護法について話しているのを聞きましたが、私たちには関係ないと思います。私たちは小さな会社です。オンラインでアクセサリーを売っているだけなんだから、何のリスクもないでしょ?彼はまた、プロジェクトを急いで完了させるために、多くの小さな会社と協力していることを彼女に話している。「納期を守らないと赤字になる。私は契約書にサインし、ファイナンスのジムに支払いを進めてもらうだけです。契約書を見直すのに時間がかかり、私たちには時間がないのです」。ITチームのメンバーとの面談で、ペニーはエースペースがウェブサイトを悪意ある活動から守るために多くの予防策を講じているにもかかわらず、物理的なファイルや社内のインフラには同じレベルの注意を払っていないことを知った。ペニーのIT部門の同僚は、元従業員が退職する際に財務データの入った暗号化されたUSBキーを紛失したと話した。同社は昨年、フィッシング攻撃の被害に遭い、危うく顧客データベースにアクセスできなくなるところだった。ペニーはITチームの同僚から、ITチームは「何をすべきか、誰が何をすべきかわからなかった」と聞かされる。私たちは訓練を受けていませんでしたが、小さなチームなので、最終的にはうまくいきました」。ペニーは、これらの問題がエース・スペースのプライバシーとデータ保護を損なうことを懸念している。
ペニーは、同社が国際的な売上を伸ばす堅実な計画を持っていることを認識しており、CEOと緊密に協力して組織にデータの「揺り戻し」を与える予定だ。彼女の使命は、社内に強力なプライバシー文化を育てることだ。
ペニーは今日、エース・スペースのCEOとの面談を控えており、第一印象と次のステップの概要を話すよう求められている。
ペニーと彼女のCEOの目的を達成するために、彼女のITに関する悩みを解決するために最も役立つアプローチは何だろうか?

 
 
 
 

NO.22 シナリオ
次の質問にお答えください:
リチャード・マクダムスは最近ロースクールを卒業し、高齢の祖父が経営する法律事務所を手伝うためにバージニア州レキシントンの小さな町に戻ることにした。長老のマクアダムス氏は、自分が完全に引退した後、いずれ孫が後を継いでくれることを期待して、限定的で軽い役割の仕事を希望していた。リチャードの雇用に加え、マカダムス氏はパラリーガル2人、事務アシスタント1人、基本的なネットワーキングのニーズをすべて処理するパートタイムのITスペシャリストを雇用している。リチャードが落ち着き、事務所の成長戦略を見極めたら、さらに従業員を雇う予定だ。
到着してすぐに、リチャードはオフィスを近代化するために必要な作業の多さに驚いた。彼の最初の目標は、ファイルキャビネットに保管されているすべての記録をデジタル化することである。リチャードはまた、事務アシスタントが1日中大量のコピーをしていることにも気づいている。これは、ファイルキャビネットのファイル数を毎日増やすだけでなく、正式なポリシーがない限り、セキュリティ上の問題を引き起こす可能性がある。リチャードはまた、ビルに出入りする顧客の目につくところにある共同コピー機/プリンターの使いすぎにも懸念を抱いている。さらにもうひとつの懸念は、従業員全員が同じファックスを使用していることだ。リチャードは、個人情報のセキュリティと保護を徹底するため、ファックス使用を大幅に減らし、最終的には年末までに厳格なインターネット・ファックス・ポリシーに移行したいと考えている。
リチャードは祖父に懸念を伝えたが、祖父は、データ保存、データ・セキュリティの更新、あらゆる面で個人データの保護を強化する全体的なアプローチが必要であることに同意した。 マクアダムス氏は、リチャードに自由と権限を与えた。今、リチャードは弁護士としてのキャリアをスタートさせるだけでなく、小さな事務所のプライバシー・オフィサーとしても機能している。リチャードは翌日、オフィスのコンピューター・システムが現在どのようにセットアップされ、管理されているかを知るために、IT部門の従業員と会う予定だ。
次のうち、顧客の個人情報をさらに保護するために、追加の指示が必要な方針はどれか。

 
 
 
 

NO.23 シナリオ
次の質問にお答えください:
コンソリデーテッド・レコーズ・コーポレーションのデータ保護担当ディレクターとして、あなたはこれまでの業績に当然満足している。あなたの採用のきっかけは、比較的軽微なデータ漏えいが続き、規制当局から警告を受けたことでした。しかし、あなたが入社して3年間、報告すべきインシデントは発生していません。実際、あなたは自社のプログラムが、データ・ストレージ業界の他の企業が自社のプログラム開発において注目すべきモデルであると考えている。
あなたは、方針と手順がごちゃまぜになった状態からコンソリデーションのプログラムを開始し、部門間および業務全体の一貫性を目指して取り組みました。あなたは、プログラムのスポンサーである業務担当副社長や、変革の必要性を明確に理解してスタートしたプライバシー・チームに助けられました。
当初、あなたの仕事は、会社の経営陣と、データを扱い顧客と接する現場の従業員の両方の「守旧派」から、あまり信頼も熱意も持たれずに迎えられた。発生した情報漏えいのコストだけでなく、業務の現状から容易に発生する可能性のあるコストの予測を示す指標を使うことで、あなたはすぐにリーダーや主要な意思決定者をほぼ味方につけることができた。他の従業員の多くはもっと抵抗していたが、各部署との直接のミーティングと基本的なプライバシー・トレーニング・プログラムの開発によって、適切な手順を導入し始めるのに十分な「賛同」を得ることができた。
現在、プライバシー保護は、個人データや保護されたデータに関わる現在のすべての業務で受け入れられている要素であり、技術開発のあらゆるプロセスの最終成果物の一部でなければなりません。あなたのアプローチは体系的ではないが、かなり効果的である。
あなたは考え込んでしまう:プログラムを維持し、単なるデータ漏洩防止プログラム以上のものに発展させるためには、何をしなければならないのか?どのようにして成功を積み重ねていくのか?次のアクション・ステップは何か?
データ保護を実施するためのシステム・アプローチのガイドとして、最も効果的に使用できるのは次のうちどれでしょう?

 
 
 
 

NO.24 シナリオ
次の質問にお答えください:
CEOとして長年の経験を持つポール・ダニエルズは、息子カールトンの成功したベンチャー企業ガドゴを心配している。
通信業界の技術革新者であり、すぐに利益を上げるようになったGadgoは、スタートアップの段階を超えた。同社は活気に満ちたエネルギーを維持しているが、ポールはカールトンの指揮の下、同社がリスクや義務を必要なほど真剣に受け止めていないのではないかと懸念している。ポールは個人情報保護コンサルタントのあなたを雇い、会社を評価させ、父と息子の両方に報告させることにした。「カールトンは私の言うことを聞きません」とポールは言う、
「しかし、専門家には注意を払うかもしれない」。
ガドゴの職場は、ゲーム、おもちゃ、スナック、エスプレッソマシン、巨大な水槽、そしてイグアナまでがいる、イノベーションのためのクラブハウスだ。カールトンも退屈そうに、データ保護に関する会社の手続きや技術について説明する。一貫性に欠け、弱点だらけの管理体制の緩やかな集合体だ。「ここはテクノロジー企業だ。「私たちは創造します。我々は創造し、革新する。私は、人々のペースを落とし、思考を混乱させるだけの不必要な対策は望んでいません」。会議は夕方まで続いた。帰り際、オフィスの中を歩く。机やテーブル、そして床にまで書類が散乱している。A
ティーンエイジャー1人の "清掃員 "がゴミ箱を空にしている。数台のパソコンが夜間つけっぱなしになっている。カールトンはこのことに注意を払う:「私の部下のほとんどは、ノートパソコンを家に持ち帰るか、自分のタブレットや携帯電話を使っています。私は、彼らが考えるのに役立つものなら何でも使って、昼夜を問わず偉大な洞察に備えてほしいのです。一度しかないかもしれないのだからガドゴにお勧めの監査はどのようなものだろうか?

 
 
 
 

25位 次のうち、プライバシープログラムの指標の一種ではないものはどれか?

 
 
 
 

NO.26 データ保持ポリシーを策定する際に考慮すべき重要な要素でないものはどれか。

 
 
 
 

NO.27 あなたのマーケティングチームは、SMSのオプトインにチェックボックスが必要な理由を知りたがっています。あなたは、それが消費者の権利の一部であると説明します。

 
 
 
 

NO.28 次のすべての変更は、データインベントリ更新のトリガーとなる可能性が高いが、それを除きますか?

 
 
 
 

NO.29 シナリオ
次の質問にお答えください:
ベンは、顧客のために照明ソリューションをデザインする会社、イグナイト社のIT部門で働いている。イグナイト社の顧客ベースは主にアメリカ国内のオフィスだが、照明器具のユニークな美しさと省エネ設計に感銘を受け、世界中の自宅にイグナイト社の設置を依頼する個人もいる。
ある日曜日の朝、仕事用のノートパソコンを使って近々開催される音楽フェスティバルのチケットを購入していたベンは、会社のファイルに異常なユーザーの動きがあることに気づく。ざっと見たところ、すべてのデータはまだあるべき場所にあるように見えるが、彼は何かがおかしいという感覚を拭い去ることができない。彼は、同僚が予定外のメンテナンスを行っている可能性があることは知っていたが、会社のセキュリティ・チームから、特にこの業界をターゲットにしている既知の悪意あるグループからの攻撃に警戒するよう従業員に注意を促すメールが届いていたことを思い出す。
ベンは勤勉な従業員で、会社を確実に守りたいが、週末に勤勉な同僚に迷惑をかけたくない。彼は朝一番にこのマネージャーと話し合うつもりだが、この分野での自分の知識を示し、昇進を嘆願できるよう準備しておきたい。
今後、イグナイト社は、ITチームがこの種のセキュリティ・イベントを管理できるよう、どのような準備をすればよいのでしょうか?

 
 
 
 

30位 シナリオ
次の質問にお答えください:
レストラン・チェーン「Nationwide Grill」のCFOであるナタリアは、同僚の幹部たちがこれほど不安に思っているのを見たことがなかった。先週、同社が利用しているデータ処理会社から、システムがハッキングされ、名前、住所、誕生日などの顧客データが流出した可能性があるとの報告があった。この試みは失敗に終わったが、この恐怖のため、Nationwide Grillの幹部数名は、今日の会議で同社のプライバシー・プログラムについて質問した。
副社長のアリスは、この事件は訴訟への扉を開き、Nationwide Grillの市場での地位を損なう可能性があると言った。最高情報責任者(CIO)のブレンダンは、実際に情報漏洩があったとしても、会社に対する訴訟が成功する可能性は低いと断言しようとした。しかしアリスは納得しなかった。
元CEOで現在は上級顧問を務めるスペンサー氏は、データ処理に請負業者を使うことには常に警告を発してきたという。少なくとも、セキュリティ・インシデントについて顧客に報告する契約上の責任を負うべきだと彼は主張した。彼の見解では、Nationwide Grill社は、自分たちが引き起こしたわけでもない問題で社名を汚すことを強いられるべきではない。
そして、事業開発(BD)の幹部の一人であるヘイリーが、皆に道理をわきまえるよう促した。
「組織の最善の努力にもかかわらず、情報漏洩は起こりうるのです。「合理的な備えが鍵です」。彼女は7年前、大手食料品チェーンTinkerton'sがNationwide Grillの冷凍ディナーを大量に注文した後、財務情報が漏洩した事件を思い出した。長年BDの経営に携わり、ティンカートンズの企業文化をよく理解し、長年にわたる人間関係の構築によって築き上げられたヘイリーは、同社のインシデント対応をうまく管理することができた。
スペンサーは、理性的に行動するということは、セキュリティをBDスタッフではなく、社内のセキュリティ部門に任せることだと答えた。同様に、人事部(HR)は従業員に対して、事件を未然に防ぐための教育をもっとしっかり行う必要があると述べた。同氏は、Nationwide Grillの従業員は、同社のプライバシー・プログラムに関連するポスター、電子メール、および人事部と倫理部の両方からのメモに圧倒されていると指摘した。情報の量も重複も、それがしばしば完全に無視されることを意味する。
スペンサーは、"会社はプライバシー・プログラムに専念し、月に一度、全スタッフを対象とした定期的な対面トレーニングを設定する必要がある "と言った。アリスは、その提案は善意ではあるが現実的ではないと答えた。多くの拠点があるため、各地域の人事部はトレーニングのスケジュールに柔軟性を持たせる必要がある。ナタリアは黙って同意した。
スペンサーのトレーニング提案に対する反対は、どのように対処できたのだろうか?

 
 
 
 

NO.31 シナリオ
次の質問にお答えください:
アルバートは15年間、トレジャー・ボックス社に勤めている。トレジャー・ボックス社はアメリカ(米国)の通信販売会社で、以前は装飾用キャンドルを世界中に販売していたが、最近になって出荷先をアメリカ国内の顧客に限定することを決めた。
48州長年の経験にもかかわらず、アルバートは管理職として見過ごされることが多い。昇進できないもどかしさに加え、最近はプライバシー保護の問題に関心を持つようになり、アルバートは前向きな変化をもたらす存在になりたいと思うようになった。
アルバートは近々、新しく募集されるポジションの面接を受ける予定だが、その面接で、会社のプライバシー・プログラムの不備を幹部に知らせようと考えている。彼は、会社の時代遅れの方針と手順から生じる悪影響を防いだことで、昇進という報いを受けられると確信している。
例えば、アルバートはAICPA(米国公認会計士協会)/CICA(カナダ勅許会計士協会)のプライバシー成熟度モデル(PMM)について学んだ。アルバートは、このモデルがTreasure Boxの個人データ保護能力を測定する有用な方法であると考えている。アルバートは、Treasure Boxがこのモデルの最高レベルの成熟度の要件を満たしていないことに気づいている。アルバートは面接で、顧客に最も厳格なセキュリティを提供するために、このレベルを満たすよう同社を支援することを誓う。
アルバートは面接で前向きな見通しを示したいと考えている。外部からの脅威に対する顧客や従業員の個人データのセキュリティに対する会社の取り組みを称賛するつもりだ。しかし、アルバートは社内の離職率の高さ、特にダイレクトフォンマーケティングの分野を心配している。彼は毎日、マーケティングのために雇われた見慣れない顔をたくさん見ており、ランチルームで長時間労働や低賃金、会社の手続きを無視するかのような不満の声をよく耳にする。
さらに、トレジャーボックスは最近2件のセキュリティ・インシデントを起こしている。同社は、内部監査とセキュリティ保護措置の更新でインシデントに対応している。しかし、利益はまだ影響を受けているようで、逸話的証拠によれば、多くの人々がまだ不信感を抱いている。アルバートは同社の回復を手助けしたいと考えている。
アルバートはその詳細を知らないが、世間が知らない事件が少なくともひとつあることを知っている。彼は、この事件を秘密にしておこうとする会社の主張が、会社の評判をさらに落とすことになりかねないと考えている。アルバートがトレジャーボックスの評判を回復させるためのさらなる方法として、顧客用のフリーダイヤルを設けること、また郵送による顧客からの問い合わせに対応するためのより効率的な手順を確立することを望んでいる。
改善提案に加え、アルバートは会社の最近の事業運営に関する知識も面接官の印象に残ると考えている。例えば、アルバートは会社が数週間以内に医療用品会社を買収するつもりであることを知っている。
アルバートはその前向きな考え方で、面接を受けるマネージャーたちに自分がこの仕事にふさわしいと思わせたいと考えている。
次のうち、アルバートが最も追加的な知識を必要としそうなトピックはどれか。

 
 
 
 

NO.32 シナリオ
次の質問にお答えください:
ペニーはこのほど、ホームウェア・アクセサリーをオンラインで販売する企業、エース・スペース社に新しいプライバシー・オフィサーとして加わった。同社はカリフォルニアに本社を置くが、昨年ソーシャルメディアのインフルエンサーが大々的に宣伝したおかげで、EUからの売上が急増し、この拡大をサポートするためにアイルランドに支社を設立した。エース・スペースの実務に精通し、プライバシーの優先事項を見極めるため、ペニーは多くの同僚とミーティングを設定し、彼らが行ってきた仕事やコンプライアンスへの取り組みについて話を聞いた。
ペニーの同僚のマーケティング担当者は、新しい売上と会社の計画に興奮しているが、ペニーが計画している成長の機会を狭めてしまうのではないかと懸念している。休憩室で誰かが新しい個人情報保護法について話しているのを聞きましたが、私たちには関係ないと思います。私たちは小さな会社です。オンラインでアクセサリーを売っているだけなんだから、何のリスクもないでしょ?彼はまた、プロジェクトを急いで完了させるために、多くの小さな会社と協力していることを彼女に話している。「納期を守らないと赤字になる。私は契約書にサインし、ファイナンスのジムに支払いを進めてもらうだけです。契約書を見直すのに時間がかかり、私たちには時間がないのです」。ITチームのメンバーとの面談で、ペニーはエースペースがウェブサイトを悪意ある活動から守るために多くの予防策を講じているにもかかわらず、物理的なファイルや社内のインフラには同じレベルの注意を払っていないことを知った。ペニーのIT部門の同僚は、元従業員が退職する際に財務データの入った暗号化されたUSBキーを紛失したと話した。同社は昨年、フィッシング攻撃の被害に遭い、危うく顧客データベースにアクセスできなくなるところだった。ペニーはITチームの同僚から、ITチームは「何をすべきか、誰が何をすべきかわからなかった」と聞かされる。私たちは訓練を受けていませんでしたが、小さなチームなので、最終的にはうまくいきました」。ペニーは、これらの問題がエース・スペースのプライバシーとデータ保護を損なうことを懸念している。
ペニーは、同社が国際的な売上を伸ばす堅実な計画を持っていることを認識しており、CEOと緊密に協力して組織にデータの「揺り戻し」を与える予定だ。彼女の使命は、社内に強力なプライバシー文化を育てることだ。
ペニーは今日、エース・スペースのCEOとの面談を控えており、第一印象と次のステップの概要を話すよう求められている。
エース・スペースのプライバシー成熟度の現在のベースラインを確立するために、ペニーは次の要素をすべて考慮する必要があります。

 
 
 
 

NO.33 シナリオ
次の質問にお答えください:
おそらくジャック・ケリーは米国にとどまるべきだったのだろう。彼は特定の「不正な」営業所の改革に尽力したことで、スペシャル・ハンドリング・シッピング社内で手ごわい評判を得ている。昨年、警察のおとり捜査によって、アメリカのロードアイランド州プロビデンス事務所で麻薬組織が活動していることが明らかになったというニュースが流れた。同事務所の監視カメラの映像が報道機関にリークされ、スペシャル・ハンドリング社のスタッフと覆面捜査官との間で薬物のやり取りが行われている様子が映し出された。
この事件をきっかけに、ケリーはプロビデンスに派遣され、上層部が犯罪者の不正取引を放置してきたと考える "ハンズ・オフ "の文化を変えようとしていた。ケリーの指揮下で数週間後、オフィスは効率性と顧客サービスの模範となった。ケリーは、以前の同僚たちの違法行為を記録していたのと同じカメラを使って、従業員たちの行動を監視した。
現在ケリーは、もうひとつのトラブルスポットであるアイルランドのコークにあるオフィスの立て直しを任されている。同社は、スタッフがオフィスを放置しているという報告を何度も受けていた。ケリーが到着したとき、彼は、たとえその場にいたとしても、スタッフがしばしば社交に明け暮れたり、携帯電話で個人的な用事を済ませたりしていることを発見した。ここでも彼は監視カメラを使って彼らの行動を観察した。彼は初日のビデオだけで、6人のスタッフに譴責書を発行した。
ケリーの驚きと悔しさは、彼と会社が従業員のプライバシー権を侵害した疑いでアイルランドのデータ保護委員会の調査を受けていることだ。ケリーは、会社のカメラ使用許可証には主な用途として施設警備が記載されていると聞いたが、なぜそれが重要なのかわからないという。彼は上司に、プライバシー保護とデータ収集に関する会社のトレーニング・プログラムには、監視ビデオに関する記述は何もないと指摘している。
あなたは個人情報保護コンサルタントで、このインシデントを評価し、法的およびコンプライアンス上の問題を報告し、次のステップを提案するために会社に雇われています。
規制当局が調査中であることを知った上で、どのような措置を取るのがベストだろうか?

 
 
 
 

NO.34 シナリオ
次の質問にお答えください:
Edufoxは、同社の有名なeラーニング・ソフトウェア・プラットフォームのユーザーを集めた年次大会を主催してきたが、時が経つにつれ、それは盛大なイベントとなった。ダウンタウンにある大きな会議用ホテルの1つが満杯になり、他のホテルにも溢れ、数千人の参加者が3日間にわたってプレゼンテーション、パネルディスカッション、ネットワーキングを楽しむ。このコンベンションは、同社の製品展開スケジュールの目玉であり、現在のユーザーにとっては絶好のトレーニングの機会でもある。また、営業部隊は、多様なニーズに対応するためにシステムをカスタマイズする方法をよりよく理解し、このシステムを購入するということは、家族のように感じられるコミュニティに加わるということを理解するために、見込み客にも参加を勧めている。
今年の大会まであと3週間となったが、この大会をサポートする新たな構想のニュースを耳にしたばかりだろう:
参加者向けのスマートフォンアプリをリリースした。このアプリは、レイト・レジストレーションをサポートし、注目のプレゼンテーションを紹介し、モバイル版カンファレンス・プログラムを提供する。また、紹介された地域で最高の料理を提供するレストラン予約システムともリンクする。「開発者のデイドレ・ホフマンは、"素晴らしいものになりますよ "と言う。彼女は緊張した面持ちで笑いながら、アプリを作るために与えられた時間が限られていたため、地元の会社に仕事を委託したと説明した。「たった3人の若者ですが、素晴らしい仕事をしてくれます」と彼女は言う。彼女は、彼らが作った他のアプリについても説明してくれた。彼らがこの仕事に抜擢された経緯を尋ねると、デイドラは肩をすくめた。"彼らはいい仕事をしているので、私が彼らを選びました"。デイドラは実績のある素晴らしい社員だ。だからこそ、彼女はこの急ぎのプロジェクトを任されたのだ。あなたは、彼女が会社の利益を一番に考えていることを確信しているし、延期できない期限を守らなければならないというプレッシャーにさらされていることを疑わない。しかし、あなたはアプリの個人データの取り扱いやセキュリティ対策に懸念を抱いている。休憩室で昼食をとりながら、あなたは彼女にそのことを話し始めたが、彼女はすぐにあなたを安心させようとした。この人たちは生活のためにアプリを作っているし、自分たちが何をしているのかもわかっている。君は心配しすぎだが、だからこそ君は仕事ができるんだ!」。あなたは、この件に関して通常のプロトコルが守られていないことを指摘したいのだろう。
特にどのプロセスが軽視されてきたのか?

 
 
 
 

NO.35 御社はB2BサービスのSaaSツールを提供しており、個人消費者とのやり取りは行っていません。クライアントの現従業員から削除要求がありました。

 
 
 
 

NO.36 シナリオ
次の質問にお答えください:
同社の新最高経営責任者として、トーマス・ゴダードはデータ保護のリーダーとして知られることを望んでいる。ゴダードは最近、世界中に数百万人のユーザーを持つオンラインビデオ視聴のパイオニア、Hoopy.comの最高財務責任者を務めていた。残念なことに、Hoopyはマーケティング担当者への個人データの無許可販売など、倫理的に疑問のある行為でプライバシー保護界では悪名高い。フーピーはまた、少なくとも200万件以上のクレジットカード番号が盗まれたとして、世界中で話題となったクレジットカード・データ盗難の標的でもあった。このスキャンダルは、競合他社が同様のエンターテインメントやメディア・コンテンツを提供しながら、より高い保護レベルをいち早く売り出したため、同社のビジネスに影響を与えた。このスキャンダルが発覚してから3週間も経たないうちに、フーピーの創業者でゴダードの恩師でもあるCEOのマックスウェル・マーティンは退任を余儀なくされた。
しかし、ゴダードは、スタートアップの段階から抜け出したばかりのあなたの会社、メディアライトのCEOの座を確保し、自分の足で着地したようだ。ゴダードは、業界をリードするデータ保護基準や手順に基づいてメディアライトのブランドを構築するというビジョンを、同社の取締役会や投資家たちに売り込んだ。
彼は、プライバシーの問題において、周回遅れの、あるいは不正な組織の重要な一員であったかもしれないが、今は改心し、プライバシー保護の真の信奉者であると主張している。着任して最初の週、彼はあなたをオフィスに呼び、プライバシーのビジョンを実現することがあなたの主な仕事だと説明した。しかし、あなたはいくつかの不安も感じていた。「メディアライトには絶対的に最高水準を求めます。「実際、私たちはプライバシーとデータ保護において業界をリードしていると言えるようにしたいのです。とはいえ、私は会社の財務を管理する責任者である必要もあります。ですから、あらゆる面で最高のソリューションが欲しいのですが、同時に費用対効果も求められるのです」。一週間後に提案内容を報告するように言われた。この曖昧な使命を負わされたあなたは、すでに次のステップを考えながら重役室を後にした。
あなたは、プライバシー・プログラムの成熟度についてCEOにプレゼンテーションを行います。AICPA/CICAのプライバシー成熟度モデルによると、プライバシー・プログラムが「管理されている」とはどういう意味ですか?

 
 
 
 

NO.37 シナリオ
次の質問にお答えください:
あなたは、ヨーロッパとアメリカ大陸の数カ国に住む個人の情報を扱う会社の個人情報保護事務局を率いている。その日の朝、契約担当者があなたに電話を依頼するメッセージを送ってきたとき、あなたはプライバシーの見直しを始めました。メッセージには明確さと詳細さが欠けていますが、あなたはデータが紛失したと推測します。
契約担当者に連絡すると、あるベンダーから、そのベンダーが貴社の顧客に関する情報を不適切に共有したという内容の書簡が郵送されてきたという。ベンダーに電話で確認したところ、御社は最近、ちょうど2000人を対象に直近の医療体験についてアンケートを実施し、そのアンケートをデータベースに転記するためにベンダーに送ったが、ベンダーは契約で約束したとおりデータベースを暗号化するのを忘れていた。その結果、ベンダーはデータを管理できなくなりました。
その業者は非常に申し訳なさそうに、通知を発送する責任を負うと申し出た。2000枚の切手を貼ったハガキを用意したと言う。片面にはロゴを入れるが、もう片面は白紙で、何を書いても構わないという。あなたは相手の申し出を保留にし、スペースの制約の中で文章を練り始める。あなたは、業者のロゴが通知に関連付けられることに満足する。
この通知には、貴社が最近、聖セバスチャン病院感染症クリニックでの直近の経験に関する情報を保存するためにベンダーを雇ったと説明されています。その業者は情報を暗号化せず、もはや管理していない。影響を受けた2000人全員に、自分の情報に関する電子メール通知に登録するよう呼びかけています。あなたの会社のウェブサイトにアクセスし、簡単な広告を見た後、氏名、電子メールアドレス、生年月日を入力するだけです。
この状況で何か問題が起きた場合、あなたは同僚全員に責任を分散させたい。その後8時間にわたって、全員がメールでコメントをやり取りする。インシデント対応チームを率いるコンサルタントは、入社初日だが、他業界で45年の経験があるのでベストを尽くすと述べる。協議会に参加している3人の弁護士のうちの1人が、話を脱線させるが、結局は軌道修正する。結局、あなたが書いた通達を実行し、業者のハガキを使用することが決議される。
業者がハガキを郵送した直後、あなたはデータが盗まれたサーバーにあったことを知り、自社にクレジット・モニタリング・サービスを提供させる決断をする。インターネットで検索すると、クレジット・アンダー・ロック・アンド・キー(CRUDLOK)という説得力のある名前のクレジット・モニタリング会社が見つかった。貴社の営業担当者は2000人分の契約を扱ったことはないが、CRUDLOKが請け負うという提案書を約1日で作成する:
1.契約成立の翌日、全員に入会案内を送る。
2.姓と国籍の下4桁だけで登録する。
3.加入日から2年間、各加入者のクレジットを監視する。
4.信用格付けとクレジット関連サービスを市場価格で提供するEメールを毎月送信する。
5.信用回復にかかる費用の20%を貴社に請求する。
あなたは契約を締結し、入会案内を2000人に電子メールで送った。その3日後、あなたは席に着き、うまくいったこと、もっとうまくいったかもしれないことをすべて記録する。次に何かあったときに参照できるよう、ファイルにまとめておくのだ。
クレジット・モニタリングについて、最も懸念されるのは次のうちどれですか?

 
 
 
 

第38位 次のうちどれが、あなたの組織にとって適切なプライバシーフレームワークを構築したことを示していますか?

 
 
 
 

NO.39 シナリオ
次の質問にお答えください:
まさにあなたが恐れていたことだ。あなたの組織の情報技術責任者は、あなたに相談することなく、従業員に個人用デバイスを業務に使用することを奨励する新しいイニシアチブを開始した。この取り組みでは、新しいハイスペック・ノートパソコンの購入が魅力的な選択肢となり、割引されたノートパソコンが1年間の給与天引きとして支払われた。消費税も組織が負担している。1ヵ月後には、半数以上の従業員が契約し、新しいノートパソコンを手に入れた。施設内を歩いていると、彼らが新しいコンピューターで楽しそうにカスタマイズしたり、ノートを見比べたりしているのが見える。一日の終わりには、ほとんどの人がノートパソコンを持ち出し、個人データを自宅や他の知らない場所に持ち運ぶ可能性がある。データ保護の悪夢を見るには十分で、あなたは情報技術部長をはじめ、組織内の多くの人々に、最終的なデータ紛失や盗難の可能性を含め、この新しい習慣の潜在的な危険性を指摘した。
今日、あなたは組織のマーケティング部門の代表をオフィスに迎え、彼は不本意ながら、深刻な結果を招きかねない話をした。前日の夜、彼は仕事から直行し、ノートパソコンを片手にパブのブル・アンド・ホーンへ友人たちとビリヤードに出かけた。スポーツと社交の素晴らしい夜が始まったが、ノートパソコンはベンチの上着の下に「安全に」しまってあった。その夜、出発の時間になり、彼はジャケットを取り出したが、ノートパソコンはなくなっていた。ベンチの下にも、近くの別のベンチにもなかった。店員も見ていなかった。友人たちの悪ふざけではなかった。眠れない夜を過ごした後、彼は今朝、パブに立ち寄って清掃スタッフに話を聞き、それを確認した。彼らは見つけていなかった。ノートパソコンはなくなっていた。盗まれたようです彼は恥ずかしそうに、そして動揺してあなたを見ている。
そのノートパソコンに顧客の個人情報が入っているかどうか尋ねると、彼は「はい」とうなずく。名前、住所、政府識別番号など、約100人の顧客に関するファイルが入っていると彼は考えている。彼はため息をつき、両手で頭を抱えて絶望している。
ビジネス上の観点から、従業員が業務関連で個人用機器を使用する際の最も生産的な見方は何でしょうか?

 
 
 
 

40位 PCI DSS フレームワークが要求していない管理は次のどれですか?

 
 
 
 

182問題集でCIPM試験の準備をします: https://www.examslabs.com/IAPP/Certified-Information-Privacy-Manager/best-CIPM-exam-dumps.html