このページはExams Labs Braindumps [ http://blog.examslabs.com ] からエクスポートされました。 エクスポート日時:Mon Dec 23 12:36:42 2024 / +0000 GMT ___________________________________________________ タイトルCIPM試験スタディガイド 無料模擬試験 最終更新日 2024年5月18日 【Q20-Q40 --------------------------------------------------- CIPM試験勉強ガイド無料模擬試験最終更新日2024年5月18日 新しいCIPM 2024更新された検証済みの勉強ガイドと最高のコース IAPP CIPM(Certified Information Privacy Manager)認定試験は、組織内のプライバシーポリシーと慣行を管理するスキルと知識を提供する世界的に認められた認定資格です。CIPM(Certified Information Privacy Manager)認定資格は、専門家がグローバルスタンダードと規制要件を満たすプライバシープログラム、ポリシー、および手順を開発し、実施することを支援するように設計されています。 IAPP CIPM認定資格は、プライバシー管理の分野でキャリアアップを目指す専門家に最適です。Certified Information Privacy Manager (CIPM)認定資格は、世界のプライバシーに関する法律と規制を包括的に理解し、組織内で効果的なプライバシープログラムを開発・実施できる専門家を育成します。今日のデジタル環境におけるデータ・プライバシーの重要性が高まる中、CIPM認定資格は、プライバシー管理の分野で働くすべての人にとって貴重な資産となります。 NO.20 技術的セキュリティ管理に関する記述のうち、間違っているものはどれですか? 技術的セキュリティ管理は、データガバナンス戦略の一部です。 ある管轄区域のために導入された技術的セキュリティ管理は、別の管轄区域を満足させることが多い。 ほとんどの個人情報保護法には、実施しなければならない技術的セキュリティ管理の種類が記載されている。 技術的セキュリティ管理の展開には、セキュリティの知識を持つ者が関与すべきである。 NO.21SCENARI次の設問に答えてください:ペニーは最近、家庭用品のアクセサリーをオンラインで販売する会社、エース・スペースに新しい個人情報保護責任者として入社した。同社はカリフォルニアに本社を置いていますが、昨年あるソーシャルメディア・インフルエンサーが大々的に宣伝したおかげで、EUからの売上が急増し、この拡大をサポートするためにアイルランドに地域オフィスを設立しました。ペニーは、エース・スペースの実務に精通し、プライバシーの優先事項を評価するために、多くの同僚とミーティングを設定し、彼らが行ってきた仕事やコンプライアンスへの取り組みについて話を聞いた。マーケティング部門のペニーの同僚は、新しい売上と会社の計画に興奮しているが、ペニーが計画している成長機会の一部を抑制するのではないかと懸念している。休憩室で誰かが新しい個人情報保護法について話しているのを聞きましたが、私たちには関係ないと思います。私たちは小さな会社です。オンラインでアクセサリーを売っているだけなんだから、何のリスクもないだろう?彼はまた、プロジェクトを急いで完了させるために、多くの小さな会社と協力していることを彼女に話している。「納期を守らないと赤字になる。私は契約書にサインし、ファイナンスのジムに支払いを進めてもらうだけです。契約書を見直すのに時間がかかり、私たちには時間がないのです」。ITチームのメンバーとの面談で、ペニーはエースペースがウェブサイトを悪意ある活動から守るために多くの予防策を講じているにもかかわらず、物理的なファイルや社内のインフラには同じレベルの注意を払っていないことを知った。ペニーのIT部門の同僚は、元従業員が退職する際に財務データの入った暗号化されたUSBキーを紛失したと話した。同社は昨年、フィッシング攻撃の被害に遭い、危うく顧客データベースにアクセスできなくなるところだった。ペニーはITチームの同僚から、ITチームは「何をすべきか、誰が何をすべきかわからなかった」と聞かされる。私たちは訓練を受けていませんでしたが、小さなチームなので、最終的にはうまくいきました」。ペニーは、これらの問題がエース・スペースのプライバシーとデータ保護を損なうことを懸念している。ペニーは、同社が国際的な売上を伸ばす堅実な計画を持っていることを認識しており、CEOと緊密に協力して組織にデータの「揺り戻し」を与えるつもりだ。彼女の使命は、社内に強力なプライバシー文化を育成することです。ペニーは今日、エース・スペースのCEOとミーティングを行い、第一印象と次のステップの概要を伝えるよう依頼されました。ペニーとCEOの目的を支援するために、彼女のITに関する懸念に対処するために最も役立つアプローチは何でしょうか? 暗号化ポリシーを導入する 卓上演習を実施する IT資産のインベントリを確実に管理する 全IT従業員を対象としたタウンホールディスカッションを開催する NO.22SCENARI次の設問に答えてください:リチャード・マクダムス氏は最近ロースクールを卒業し、高齢の祖父が経営する法律事務所を手伝うため、バージニア州レキシントンの小さな町に戻ることにした。長老のマクダムズ氏は、いずれ孫が完全に引退したときに後を継いでくれることを期待し、限定的で軽い役割を希望していた。リチャードの雇用に加え、マカダムス氏はパラリーガル2人、事務アシスタント1人、基本的なネットワーキングのニーズをすべて処理するパートタイムのITスペシャリストを雇用している。着任早々、リチャードはオフィスを近代化するために必要な作業の多さに驚かされた。主にクライアントの個人データの取り扱いに関してだ。彼の最初の目標は、ファイルキャビネットに保管されているすべての記録をデジタル化することである。リチャードはまた、事務アシスタントが1日中大量のコピーをしていることにも気づいている。これは、ファイルキャビネットのファイル数を毎日増やすだけでなく、正式なポリシーがない限り、セキュリティ上の問題を引き起こす可能性がある。リチャードはまた、ビルに出入りする顧客の目につくところにある共同コピー機/プリンターの使いすぎにも懸念を抱いている。さらにもうひとつの懸念は、従業員全員が同じファックスを使用していることだ。リチャードは、個人データのセキュリティと保護を徹底させるため、その使用を大幅に減らし、最終的には年末までに厳格なインターネット・ファックス・ポリシーに移行したいと考えている。リチャードは祖父に懸念を伝えたが、祖父は、データ・ストレージ、データ・セキュリティ、そしてあらゆる面で個人データの保護を強化する全体的なアプローチの更新が必要であることに同意した。今、リチャードは弁護士としてのキャリアをスタートさせるだけでなく、小さな事務所のプライバシー・オフィサーとしても機能している。リチャードは翌日、オフィスのコンピュータシステムが現在どのようにセットアップされ、管理されているかを把握するために、IT部門の従業員と会う予定である。クライアントの個人データをさらに保護するために、次の方針のうち追加の指示が必要なものはどれか。 オフィスから送信されたファクスはすべて文書化し、使用された電話番号を再確認して安全に到着するようにしなければならない。 未使用のコピー、プリント、FAXはすべて、ワークステーションの近くにある指定のリサイクルボックスに廃棄し、毎日空にしなければならない。 コピー機、プリンター、ファックスを交換または転売する場合は、これらの機器のハードディスクを削除してから退社すること。 個人情報を含む印刷ジョブを送信する場合、ユーザーは、印刷コマンドの後にコンピュータの画面上に情報を表示したままにしてはならず、印刷された文書を直ちに回収しなければならない。 NO.23SCENARI次の設問に答えてください:コンソリデーテッド・レコーズ・コーポレーションのデータ保護担当ディレクターとして、あなたはこれまでの業績に満足している。あなたの採用は、もっと深刻になる可能性もあった一連の比較的軽微なデータ漏えいの後、規制機関からの警告がきっかけでした。しかし、あなたが入社して3年間、報告すべきインシデントは発生していません。実際、あなたは自社のプログラムが、データ・ストレージ業界の他の企業が自社のプログラム開発において注目すべきモデルであると考えています。あなたは、方針と手順がごちゃ混ぜになった状態からコンソリデーテッドでプログラムを開始し、部門間および業務全体の一貫性を目指して取り組みました。あなたは、プログラムのスポンサーであるオペレーション担当副社長と、変革の必要性を明確に理解した上でスタートしたプライバシー・チームに助けられました。当初、あなたの仕事は、経営陣と、データを扱い顧客と接する最前線の従業員の両方において、会社の「守旧派」からは自信も熱意もなく迎えられました。発生した情報漏えいのコストだけでなく、業務の現状から容易に発生する可能性のあるコストの予測を示す指標を使うことで、あなたはすぐにリーダーや主要な意思決定者をほぼ味方につけることができた。他の従業員の多くはもっと抵抗していたが、各部門との直接のミーティングと基本的なプライバシー・トレーニング・プログラムの開発により、適切な手順を導入し始めるのに十分な「賛同」を得ることができた。現在、プライバシー保護は、個人データや保護されるべきデータに関わる現在のすべての業務で受け入れられている要素であり、技術開発のどのようなプロセスにおいても最終的な成果物の一部でなければならない。あなたのアプローチは体系的ではないが、かなり効果的である:このプログラムを維持し、単なるデータ漏洩防止プログラムを超えて発展させるためには何をしなければならないか?成功の上にどのように構築できるか?データ保護を実施するためのシステム・アプローチのガイドとして、次のうちどれを使用するのが最も効果的でしょうか? データ・ライフサイクル管理基準 国連プライバシー機関基準 国際標準化機構9000シリーズ 国際標準化機構 27000 シリーズ 解説/参考:https://www.itgovernance.co.uk/blog/what-is-the-iso-27000-series-of-standardsNO.24 SCENARI次の問いに答えるために以下を使用してください:CEOとして長年の経験を持つポール・ダニエルズは、息子カールトンの成功したベンチャー企業Gadgoについて心配している。同社は活気に満ちたエネルギーを維持しているが、ポールはカールトンの指揮の下、同社がリスクや義務を必要なほど真剣に受け止めていないのではないかと懸念している。ポールは個人情報保護コンサルタントのあなたを雇い、会社を評価させ、父と息子の両方に報告させることにした。「ガドゴの職場はイノベーションのためのクラブハウスで、ゲーム、おもちゃ、スナック、エスプレッソマシン、巨大な魚の水槽があり、イグアナもほとんど興味なさそうにあなたを見ている。カールトンも退屈そうに、データ保護に関する会社の手順や技術を説明してくれる。一貫性に欠け、弱点だらけの管理体制の緩やかな集合体だ。「ここはテクノロジー企業だ。「私たちは創造します。我々は創造し、革新する。私は、人々のペースを落とし、思考を混乱させるだけの不必要な対策は望んでいません」。会議は夕方まで続いた。帰り際、オフィスの中を歩く。机やテーブル、そして床にまで書類が散乱している。ティーンエイジャー1人の "清掃員 "がゴミ箱を空にしている。数台のコンピューターは一晩中つけっぱなしで、他のコンピューターは行方不明だ。カールトンはこのことに注意を払う:「私の部下のほとんどは、ノートパソコンを家に持ち帰るか、自分のタブレットや携帯電話を使っています。私は、彼らが考えるのに役立つものなら何でも使って、昼夜を問わず偉大な洞察に備えてほしいのです。一度しかないかもしれないのだからGadgoにとって、どのような監査が最適でしょうか? サプライヤー監査 内部監査 第三者監査 自己認証 NO.25 プライバシー・プログラムの評価指標のタイプでないものはどれですか? ビジネスイネーブルメント測定基準。 データ強化メトリクス。 価値創造メトリクス。 商業的メトリクス。 プライバシープログラムメトリクスの種類には、ビジネスイネーブルメントメトリクス、データエンハンスメントメトリクス、およびコマーシャルメトリクスが含まれます。ビジネス・イネーブルメント・メトリクスは、プライバシーを損なうことなくビジネスを機能させるためのプライバシー・プログラムの有効性を測定します。データ強化メトリクスは、データ最小化、アクセス制御、データ・セキュリティなど、データ保護を強化する上でのプライバシー・プログラムの有効性を測定します。商業的メトリクスは、新しい製品、サービス、顧客体験の開発などを通じて、価値を創造する上でのプライバシー・プログラムの有効性を測定します。プライバシー・プログラムのメトリクスは、プライバシー・プログラムの有効性を評価し、その進捗を測定するために使用されます。プライバシー・プログラムのメトリクスは、プライバシー・プログラムの有効性を評価し、その進捗を測定するために使用されます。これらのメトリクスには、ビジネス実現メトリクス、データ強化メトリクス、および商業メトリクスが含まれます。NO.26 次のうち、データ保持ポリシーを策定する際に考慮すべき重要な要素でないものはどれですか? 技術リソース。 ビジネス要件。 組織文化。 コンプライアンス要件 説明組織文化は、データ保持ポリシーを策定する際に考慮すべき重要な要因ではありません。データ保持ポリシーとは、組織が様々な目的のために個人情報を保持する期間と、不要になった場合にそれを安全に廃棄する方法を定義した文書である。データ保持方針は、業務上のニーズ、顧客の期待、契約上の義務、業界標準などのビジネス要件、法的義務、規制上の義務、監査勧告などのコンプライアンス要件、ストレージ容量、バックアップシステム、暗号化方法、廃棄ツールなどの技術リソースなどの要因に基づいて策定されるべきである。組織文化とは、組織がどのように運営され、利害関係者とどのように相互作用するかを形成する価値観、信念、規範、行動を指す。参考文献:* CIPM Body of Knowledge (2021), Domain IV: Privacy Program Operational Life Cycle, Section B:Protecting Personal Information, Subsection 4: Data Retention* CIPM Study Guide (2021), Chapter 8: Protecting Personal Information, Section 8.4: Data Retention* CIPM Textbook (2019), Chapter 8: Protecting Personal Information, Section 8.4: Data Retention* CIPM Practice Exam (2021), Question 141NO.27あなたのマーケティングチームは、SMSオプトインにチェックボックスが必要な理由を知りたがっています。あなたは、それが消費者の権利の一部であると説明します。 訂正を要求する。 苦情を申し立てる。 アクセスする。 情報を得る。 説明マーケティングチームは、SMSオプトインにチェックボックスを付ける必要があります。この権利は、消費者が自分の個人データがどのように収集され、使用され、共有され、組織によって保護されているかを知る権利があることを意味します。このチェックボックスにより、消費者は組織からSMSメッセージを受け取ることに同意し、オプトインすることができ、また、そのようなメッセージの目的と範囲についても知ることができる。その他の権利は、訂正、苦情、アクセスなど、データ処理の他の側面に関連するものであるため、本件とは無関係である。参考文献CIPM Body of Knowledge, Domain IV: Privacy Program Communication, Section A: Communicating to Stakeholders, Subsection 1: Consumer Rights.NO.28次のすべての変更は、データインベントリの更新の引き金になる可能性が高いが、それを除きますか? 顧客関係管理(CRM)機能のアウトソーシング。 新しい子会社の買収 新しいベンダーのオンボーディング 新しい個人情報保護規制の可決 NO.29SCENARI次の問いに答えてください:ベンは、顧客のために照明ソリューションを設計する会社であるIgNight社のIT部門で働いている。IgNight社の顧客基盤は主に米国内のオフィスで構成されているが、照明器具のユニークな美的感覚と省エネ設計に感銘を受け、世界中の自宅にIgNight社の設置を依頼する個人もいる。ある日曜日の朝、仕事用のノートパソコンを使って次の音楽フェスティバルのチケットを購入していたとき、Benは偶然、会社のファイルに異常なユーザー操作があることに気づく。ざっと見たところ、すべてのデータはまだあるべき場所にあるように見えるが、彼は何かがおかしいという感覚を拭い去ることができない。ベンは勤勉な従業員で、会社を確実に守りたいが、週末に勤勉な同僚に迷惑をかけたくない。ベンは勤勉な従業員で、会社を確実に守りたいのですが、週末に勤勉な同僚に迷惑をかけたくありません。彼は、朝一番にこの問題をこのマネジャーと話し合うつもりですが、この分野での自分の知識を示し、昇進を嘆願できるように準備したいと考えています。 卓上演習を行う。 データ・インベントリの更新。 ITセキュリティ意識向上トレーニング。 定期メンテナンスに関する連絡を共有する。 NO.30SCENARI次の設問に答えてください:レストランチェーンNationwide GrillのCFOであるナタリアは、彼女の同僚幹部がこれほど心配しているのを見たことがなかった。先週、同社が利用しているデータ処理会社から、システムがハッキングされ、名前、住所、誕生日などの顧客データが漏洩した可能性があるとの報告があった。アリス副社長は、この事件は訴訟への扉を開く可能性があり、Nationwide Grillの市場での地位を損なう可能性があると述べた。最高情報責任者(CIO)のブレンダンは、実際に情報漏洩があったとしても、会社に対する訴訟が成功する可能性は低いと断言しようとした。しかし、アリスは納得しないままだった。スペンサー(元CEOで現在は上級顧問)は、データ処理に請負業者を使うことには常に警告を発してきたと語った。少なくとも、セキュリティ・インシデントについて顧客に伝える契約上の責任を負うべきだと彼は主張した。事業開発(BD)担当役員の一人であるヘイリー氏は、「情報漏洩は、組織の最善の努力にもかかわらず、起こりうるものです。「合理的な備えが重要です。彼女は7年前、大手食料品チェーンTinkerton'sがNationwide Grillの冷凍ディナーを大量注文した後、財務情報が漏洩した事件を皆に思い出させた。スペンサーは、理性を持って行動するということは、セキュリティはBDのスタッフではなく、社内のセキュリティ部門に任せることだと答えた。同様に、人事部(HR)はインシデントを未然に防ぐため、従業員のトレーニングをもっとうまくやる必要があると彼は言う。同氏は、Nationwide Grillの従業員は、同社のプライバシー・プログラムに関連するポスター、電子メール、および人事部と倫理部の両方からのメモに圧倒されていると指摘した。スペンサーは、「会社はプライバシー・プログラムに専念し、月に一度、全スタッフを対象とした定期的な対面トレーニングを設定する必要がある」と述べた。アリスは、その提案は善意ではあるが現実的ではないと答えた。多くの拠点があるため、各地域の人事部はトレーニングのスケジュールに柔軟性を持たせる必要がある。黙ってナタリアも同意した。スペンサーの研修提案に対する反対意見にはどう対処すればいいのだろうか? 研修は必要なときだけ行うようにする。 代替の研修方法を提供する。 定期的なリフレッシュ・トレーニングのシステムを導入する。 従業員の勤続年数に応じて研修をカスタマイズする。 NO.31SCENARI次の設問に答えてください:アルバートは15年間、トレジャー・ボックスという米国の通信販売会社に勤めている。長年の経験にもかかわらず、アルバートはしばしば管理職に抜擢されない。昇進できないことへの不満と、プライバシー保護の問題に対する最近の関心とが相まって、アルバートは前向きな変化をもたらす存在になりたいと思うようになった。彼は近々、新しく募集されるポジションの面接を受ける予定だが、面接の中でアルバートは、会社のプライバシー・プログラムの不備を幹部に気づかせようと考えている。例えば、アルバートはAICPA(米国公認会計士協会)/CICA(カナダ勅許会計士協会)のプライバシー成熟度モデル(PMM)について学んだ。アルバートは、このモデルがTreasure Boxの個人データ保護能力を測定する有用な方法であると考えている。アルバートは、Treasure Boxがこのモデルの最高レベルの成熟度の要件を満たしていないことに気づいている。アルバートは面接で、顧客に最も厳格なセキュリティを提供するために、このレベルを満たすよう同社を支援することを誓うつもりだ。アルバートは面接で前向きな見通しを示したいと考えている。彼は、外部からの脅威に対する顧客と従業員の個人データのセキュリティに対する会社の取り組みを称賛するつもりだ。しかし、アルバートは社内の離職率の高さ、特にダイレクトフォンマーケティングの分野を心配している。また、トレジャー・ボックスでは最近2件のセキュリティ事故があった。さらに、トレジャー・ボックスでは最近2件のセキュリティ・インシデントが発生した。しかし、利益はまだ影響を受けているようで、逸話的な証拠によれば、多くの人々がまだ不信感を抱いているようだ。アルバートは会社の回復を助けたいと考えている。アルバートは詳細を知らないが、世間が知らない事件が少なくとも1つあることを知っている。アルバートはその詳細を知らないが、世間に知られていない事件が少なくとも一つあることを知っている。アルバートがトレジャーボックスの評判を回復させるためのさらなる方法として、顧客用のフリーダイヤルを設けることと、郵送による顧客からの問い合わせにより効率的に対応することである。アルバートは、改善案に加えて、会社の最近の経営戦略についての知識も面接官の印象に残ると考えている。例えば、アルバートは会社が数週間以内に医療用品会社を買収する意向であることを知っている。彼の前向きな考え方で、アルバートは面接を行うマネージャーたちに、自分がこの仕事に適していると納得させたいと考えている。アルバートが最も追加知識を必要とする可能性が高いのは、次のどのトピックだろうか? 小売企業におけるプライバシーの役割 プライバシー・プログラムに必要な成熟度 プライバシーに関する責任の委譲の可能性 個人情報保護を担当する管理職の要件 NO.32SCENARI次の設問に答えてください:ペニーは最近、家庭用品のアクセサリーをオンラインで販売する会社、エース・スペースに新しいプライバシー責任者として入社しました。同社はカリフォルニアに本社を置いていますが、昨年ソーシャルメディアのインフルエンサーが大々的に宣伝したおかげで、EUからの売上が急増し、この拡大をサポートするためにアイルランドに支社を設立しました。ペニーは、エース・スペースの実務に精通し、プライバシーの優先事項を評価するために、多くの同僚とミーティングを設定し、彼らが行ってきた仕事とコンプライアンスへの取り組みについて話を聞いた。休憩室で誰かが新しい個人情報保護法について話しているのを聞きましたが、私たちには関係ないと思います。私たちは小さな会社です。オンラインでアクセサリーを売っているだけなんだから、何のリスクもないでしょ?彼はまた、プロジェクトを急いで完了させるために、多くの小さな会社と協力していることを彼女に話している。「納期を守らないと赤字になる。私は契約書にサインし、ファイナンスのジムに支払いを進めてもらうだけです。契約書を見直すのに時間がかかり、私たちには時間がないのです」。ITチームのメンバーとの面談で、ペニーはエースペースがウェブサイトを悪意ある活動から守るために多くの予防策を講じているにもかかわらず、物理的なファイルや社内のインフラには同じレベルの注意を払っていないことを知った。ペニーのIT部門の同僚は、元従業員が退職する際に財務データの入った暗号化されたUSBキーを紛失したと話した。同社は昨年、フィッシング攻撃の被害に遭い、危うく顧客データベースにアクセスできなくなるところだった。ペニーはITチームの同僚から、ITチームは「何をすべきか、誰が何をすべきかわからなかった」と聞かされる。私たちは訓練を受けていませんでしたが、小さなチームなので、最終的にはうまくいきました」。ペニーは、これらの問題がエース・スペースのプライバシーとデータ保護を損なうことを懸念している。ペニーは、同社が国際的な売上を伸ばす堅実な計画を持っていることを認識しており、CEOと緊密に協力して組織にデータの「揺り戻し」を与えるつもりだ。彼女の使命は、社内に強力なプライバシー文化を育成することです。ペニーは今日、エース・スペースのCEOとミーティングを行い、彼女の第一印象と次のステップの概要を説明するよう依頼されました。エース・スペースのプライバシー成熟度の現在のベースラインを確立するために、ペニーは次の要素をすべて考慮する必要があります。 エース・スペースの文書化された手順 エース・スペースの従業員研修プログラム エースペース社のベンダーとの契約プロトコル エースペース社のソーシャルメディアにおけるコンテンツ共有慣行 NO.33SCENARI次の問いに答えてください:おそらくジャック・ケリーは米国にとどまるべきだったのだろう。昨年、警察のおとり捜査によって、アメリカのロードアイランド州プロビデンス事務所で麻薬組織が活動していることが明らかになったというニュースが流れた。この事件を受けて、ケリーは、上層部が犯罪組織に不正な取引をさせてきたと考える「手を出さない」文化を変えるためにプロビデンスに派遣された。ケリーの指揮下で数週間後、オフィスは効率性と顧客サービスの模範となった。ケリーは、以前の同僚たちの違法行為を記録していたのと同じカメラを使って、従業員たちの行動を監視していた。現在ケリーは、もうひとつのトラブルスポットであるアイルランドのコークにあるオフィスの立て直しを任されている。同社は、スタッフがオフィスを放置しているという報告を何度も受けている。ケリーが着任したとき、彼は、たとえその場にいたとしても、スタッフがしばしば社交に明け暮れたり、携帯電話で個人的な用事を済ませたりしていることを発見した。ここでも彼は監視カメラを使って彼らの行動を観察した。ケリーの驚きと悔しさをよそに、彼と会社は現在、従業員のプライバシー権を侵害した疑いでアイルランドデータ保護委員会の調査を受けている。ケリーは、会社のカメラ使用許可証には主な用途として施設警備が記載されていると聞いたが、なぜそれが重要なのかわからないという。あなたはプライバシー保護コンサルタントで、この事件を評価し、法的およびコンプライアンス上の問題を報告し、次のステップを推奨するために会社に雇われました。 プライバシー法と訴訟の経験が豊富な弁護士に相談する。 あなたの経歴と知識を使って、行動方針を決めてください。 その組織が有罪であることを知っているのであれば、処罰を受け入れるよう助言する。 正式な法的措置が取られる前に、和解の条件を交渉する。 NO.34SCENARI次の問いに答えるために、以下を使用してください:Edufoxは、有名なeラーニングソフトウェアプラットフォームのユーザーを集めた年次大会を主催しており、時が経つにつれて、それは壮大なイベントになってきた。ダウンタウンにある大きな会議用ホテルの1つが満杯になり、他のホテルにも溢れ、数千人の参加者が3日間にわたってプレゼンテーションやパネルディスカッション、ネットワーキングを楽しみます。このコンベンションは、同社の製品展開スケジュールの目玉であり、現在のユーザーにとっては絶好のトレーニングの機会でもある。営業部隊はまた、多様なニーズに対応するためにシステムをカスタマイズする方法をよりよく理解し、このシステムを購入するということは、家族のように感じられるコミュニティに参加するということを理解するために、見込み客に参加することを勧めている。今年のカンファレンスまであと3週間しかないが、それをサポートする新しい取り組み、つまり参加者用のスマートフォンアプリのニュースを聞いたばかりだろう。このアプリは、レイト・レジストレーションをサポートし、注目のプレゼンテーションをハイライトし、モバイル版カンファレンス・プログラムを提供する。また、注目のエリアで最高の料理を提供するレストラン予約システムにもリンクしている。「開発者のデイドレ・ホフマンは、"素晴らしいものになりますよ "と言う。彼女は緊張した面持ちで笑いながら、アプリを作るために与えられた時間が限られていたため、地元の会社に仕事を委託したと説明した。「たった3人の若者ですが、素晴らしい仕事をしてくれます」と彼女は言う。彼女は、彼らが作った他のアプリについても説明してくれた。彼らがこの仕事に抜擢された経緯を尋ねると、デイドラは肩をすくめた。"彼らはいい仕事をしているので、私が彼らを選びました"。デイドラは実績のある素晴らしい社員だ。だからこそ、彼女はこの急ぎのプロジェクトを任されたのだ。あなたは、彼女が会社の利益を一番に考えていることを確信しているし、延期できない期限を守らなければならないというプレッシャーにさらされていることを疑わない。しかし、あなたはアプリの個人データの取り扱いやセキュリティ対策に懸念を抱いている。休憩室で昼食をとりながら、あなたは彼女にそのことを話し始めたが、彼女はすぐにあなたを安心させようとした。この人たちは生活のためにアプリを作っているし、自分たちが何をしているのかもわかっている。君は心配しすぎだが、だからこそ君は仕事ができるんだ!」。あなたは、この問題で通常のプロトコルが守られていないことを指摘したいのでしょう。 科学捜査。 データマッピング プライバシー侵害の防止 ベンダーのデューデリジェンス審査 NO.35 あなたの会社は、B2BサービスのためのSaaSツールを提供しており、個人消費者とやり取りすることはありません。クライアントの現在の従業員が、削除の権利を求めて連絡してきました。 クライアントの担当者にリクエストを転送し、どのように対応してほしいか尋ねます。 個人の権利を理解し、会社のツールへのアクセスにどのような影響があるかを理解するために、個人を雇用主に戻す。 個人情報が削除された場合の組織への影響を本人が理解していることを前提に、リクエストを処理する。 業務上の連絡先情報および関連データは、プライバシー権に関する法律の対象外であるため、リクエストを処理できないことを説明する。 説明あなたの組織がB2Bサービス用のSaaSツールを提供し、個人消費者とやりとりしない場合、クライアントの現在の従業員が削除の権利を求めて連絡してきた場合、最も適切な対応は、個人の権利を理解し、これが会社のツールへのアクセスにどのような影響を与える可能性があるかを理解するために、その個人を雇用者に戻すことです。これは、あなたの組織が、従業員の個人データの管理者であるクライアントの処理者として機能しているためです。管理者は、個人データ処理の目的と手段を決定し、データ対象者の要求に対応する責任を負います。処理者は、管理者に代わり、管理者の指示に従ってのみ個人データを処理する必要があります。したがって、依頼者に依頼を転送したり、依頼者と相談せずに依頼を処理したり、業務上の連絡先情報がプライバシー権法1, 2の適用除外であることを理由に依頼を拒否したりしてはなりません。参考文献CIPM - 国際プライバシー・プロフェッショナル協会、無料CIPM学習ガイド - 国際プライバシー・プロフェッショナル協会NO.36 SCENARI次の設問に答えるために以下を使用してください。ゴダード氏は最近、世界中に数百万人のユーザーを持つオンラインビデオ視聴のパイオニア、Hoopy.comの最高財務責任者を務めていた。残念なことに、Hoopyはマーケティング担当者への個人データの無許可販売など、倫理的に疑問のある行為でプライバシー保護界では悪名高い。フーピーはまた、少なくとも200万件以上のクレジットカード番号が盗まれたとして、世界中で話題となったクレジットカード・データ盗難の標的でもあった。このスキャンダルは、競合他社が同様のエンターテインメントやメディア・コンテンツを提供しながら、より高い保護レベルをいち早く売り出したため、同社のビジネスに影響を与えた。スキャンダルが発覚してから3週間も経たないうちに、フーピーの創業者でゴダードの恩師であるマックスウェル・マーティンCEOは退任を余儀なくされた。しかし、ゴダードは立ち直ったようで、スタートアップの段階から抜け出したばかりのあなたの会社メディアライトのCEOの地位を確保した。彼は、業界をリードするデータ保護基準と手順に基づいて、部分的にMedialiteのブランドを構築するというビジョンを会社の取締役会と投資家に売り込んだ。着任して最初の週、彼はあなたをオフィスに呼び、プライバシーのビジョンを実現することがあなたの主な仕事だと説明した。しかし、あなたはいくつかの不安も感じていた。「メディアライトには絶対的に最高水準を求めます。「実際、私たちはプライバシーとデータ保護において業界をリードしていると言えるようにしたいのです。とはいえ、私は会社の財務を管理する責任者である必要もあります。ですから、あらゆる面で最高のソリューションが欲しいのですが、同時に費用対効果も求められるのです」。一週間後に提案内容を報告するように言われた。この曖昧な使命を負わされたあなたは、次のステップを検討しながら重役室を後にした。AICPA/CICAのプライバシー成熟度モデルによると、プライバシー・プログラムが「管理されている」とはどういうことでしょうか? 手順やプロセスは存在するが、完全に文書化されておらず、関連するすべての側面をカバーしていない。 手順やプロセスが完全に文書化され、実施されており、関連するすべての側面をカバーしている。 統制の有効性を評価するためのレビューが実施されている。 定期的なレビューとフィードバックにより、所定のプロセスの最適化に向けた継続的な改善が行われている。 NO.37SCENARI次の質問に答えてください:あなたは、ヨーロッパとアメリカ大陸の数カ国に住む個人の情報を扱う会社の個人情報保護事務局を率いています。その日の朝、契約担当者があなたに電話を依頼するメッセージを送ってきたため、あなたは個人情報保護レビューを開始しました。契約担当者に連絡すると、彼はベンダーから、そのベンダーがあなたの顧客に関する情報を不適切に共有したという内容の手紙を郵便で受け取ったと言います。そのベンダーに電話で確認したところ、御社は最近、ちょうど2000人を対象に直近の医療体験に関するアンケートを実施し、そのアンケートをデータベースに転記するためにベンダーに送ったが、ベンダーは契約で約束したとおり、データベースを暗号化するのを忘れていたとのことだった。その結果、ベンダーはデータを管理できなくなりました。ベンダーは非常に申し訳なさそうにし、通知を送った責任を取ると申し出てきました。2000枚の切手を貼ったハガキを用意したと言う。その方が郵送にかかる時間を短縮できるからだ。片面にはロゴを入れるが、もう片面は白紙で、何を書いても構わないという。あなたは相手の申し出を保留にし、スペースの制約の中で文章を練り始める。その通知には、あなたの会社が最近、聖セバスチャン病院の感染症クリニックでの直近の経験に関する情報を保存するためにベンダーを雇ったことが説明されている。その業者は情報を暗号化せず、もはや管理していません。影響を受けた2000人全員に、自分の情報に関する電子メール通知に登録するよう呼びかけています。あなたの会社のウェブサイトにアクセスし、簡単な広告を見て、名前、メールアドレス、生年月日を入力するだけでよい。その後8時間にわたって、全員がメールでコメントをやり取りする。インシデント対応チームを率いるコンサルタントは、入社初日だが、他業界で45年の経験があるのでベストを尽くすと述べる。協議会に参加している3人の弁護士のうちの1人が、話を脱線させるが、結局は軌道修正する。業者がハガキを郵送した直後、あなたはデータが盗まれたサーバーにあったことを知り、自社に信用監視サービスを提供させる決断をする。インターネットで検索すると、クレジット・アンダー・ロック・アンド・キー(CRUDLOK)という説得力のある名前のクレジット・モニタリング会社が見つかった。営業担当者は2000人分の契約を扱ったことはないが、CRUDLOKは次のような提案書を約1日で作成する:1.契約締結の翌日に全員に入会案内を送付する。4.信用格付けと信用関連サービスを市場価格で提供するEメールを毎月送信する。5.信用回復にかかった費用の20%を貴社に請求する。3日後、あなたは席を立ち、うまくいったこと、もっとうまくいったかもしれないことをすべて記録する。信用モニタリングに関して、次のうちどれが最も懸念されるでしょうか? ベンダーの担当者に十分な経験がない。 CRUDLOKとの契約が1年を超えている。 会社は信用を監視するのに十分な識別子を収集していない あなたは、影響を受ける個人に対して、手紙と電子メールで通知するつもりです。 NO.38 次のうち、あなたの組織にとって適切なプライバシーフレームワークを開発したことを示すものはどれですか? 各主要システムのプライバシー評価が含まれている プライバシープログラムの一貫性を向上させる 異なるタイプの組織で機能する すべての主要な利害関係者の名前を特定している 説明/参照:NO.39 SCENARI次の設問に答えるために以下を使用してください:それはあなたが恐れていたことです。あなたの組織の情報技術責任者は、あなたに相談することなく、従業員に個人用デバイスを業務に使用することを奨励する新しいイニシアチブを開始した。この取り組みでは、新しいハイスペックノートパソコンの購入が魅力的な選択肢となり、割引されたノートパソコンが1年間の給与天引きとして支払われることになった。消費税も組織が負担している。1ヵ月後には、半数以上の従業員が契約し、新しいノートパソコンを手に