CIPP-E, IAPP 0 コメント

2024年11月27日 IAPP試験[Q134-Q151]のCIPP-E Dumps問題集を更新しました。

この記事を評価する

2024年11月27日 IAPP試験のための更新されたCIPP-E Dumps Questions

最もお得なCIPP-E試験準備ガイド

IAPP CIPP-E認定資格は、個人データを扱い、欧州のデータ保護法および規制の遵守を保証する責任を負う専門家にとって不可欠な資格です。これは、データプライバシーに関する専門家の能力を証明し、業界における信頼性を高める世界的に認められた認定資格です。Certified Information Privacy Professional/Europe (CIPP/E)資格はIAPPによって授与され、世界中のデータ保護当局によって認められています。

 

NO.134 シナリオ
次の質問にお答えください:
ジャックは、多国籍製薬会社のアイルランド支社で、COVID-19に関連する臨床試験のファーマコビジランス・オペレーション・スペシャリストとして働いていた。新入社員研修の一環として、ジャックは個人情報保護に関する研修を受け、業務上、患者の機密データを処理する必要があるが、いかなる場合においても、業務に関連すること以外の目的でこのデータを使用してはならないことを明示された。 これは、研修終了時にジャックが署名した個人情報保護方針にも明記されていた。
入社して数カ月後、ジャックは電話で患者と口論になった。怒りに駆られたジャックはその後、その患者の名前と心臓の情報を、中傷的なコメントとともにソーシャルメディアのウェブサイトに投稿した。これがファーマコビジランスの上司に発覚。ジャックは即刻解雇された。ジャックの弁護士は会社に書簡を送り、解雇は不釣り合いな制裁であり、もしジャックが14日以内に復職しなければ、彼の事務所は会社に対して法的手続きを開始する以外に選択肢はないと述べた。この書簡には、「ジャックが送受信した、または内容からジャックが直接的または間接的に特定できる社内メールを含むすべての個人データ」のコピーを要求するジャックからのデータアクセス要求が添付されていた。
同社はITシステムの最初の検索を行ったが、大量の情報が返された。その後ジャックに連絡し、的を絞った検索を行うために、必要な情報をより具体的に教えてほしいと要請した。
GDPR第82条(「補償と責任を負う権利」)に基づき、データ侵害によって生じた損害について責任を負うのはどの当事者か?

 
 
 
 

NO.135

 
 
 
 
 
 

NO.136 暗号化されていない個人データの盗難を含む侵入を検出した後、GDPRの要件に基づき、侵害された企業はまず誰に通知しなければならないか?

 
 
 
 

NO.137 従業員が雇用主に対して、自分に関する個人データへのアクセス要求を行った場合、何が正しいのでしょうか?

 
 
 
 

NO.138 シナリオ
次の質問にお答えください:
フィットネス会社のヴィゴトロンは、最近M-Healthという新しいアプリを開発した。ヴィゴトロンのマーケティングマネージャーは、アシスタントのエミリーに、アプリの説明と使用条件を明記したウェブページの作成を依頼する。ヴィゴトロンに入社したばかりのエミリーは、この仕事に興奮していた。彼女は前職でデータ保護のクラスを受講しており、詳細は少しうろ覚えだが、ヴィゴトロンがアプリの使用について、場合によってはユーザーの同意を得る必要があることを認識している。エミリーは、ヴィゴトロンの法務部に送る前に、できるだけ多くのことをカバーしようと、次の草案をスケッチする。
登録フォーム
Vigotronの新しいM-Healthアプリは、食事、運動、睡眠パターンなど、健康に関する様々な活動を簡単にモニターすることができます。M-Healthは、スマートフォンの設定(すでにお持ちの他のサードパーティ製アプリも含む)を利用して、これらの重要なライフスタイル要素すべてに関するデータを収集し、生活の質を高めるために必要な情報を提供します。(M-Healthが提供するサービスの詳細については、こちらをクリックしてください)Vigotronはお客様のプライバシーを大切にします。M-Heaithアプリでは、どの情報を保存し、どのアプリがあなたのデータにアクセスできるかを決めることができます。デバイスがパスコードでロックされている場合、健康とフィットネスのデータはすべてパスコードで暗号化されます。Healthアプリに保存されたデータは、VigotronのクラウドプロバイダーであるStratculousにバックアップすることができます。(Stratculousについての詳細はこちらをご覧ください。) Vigotronは、M-Healthアプリから収集した個人情報を取引、貸与、販売することは決してありません。さらに、裁判所からの命令、召喚状による指示、またはメーカーの法的権利の行使、ビジネスや財産の保護の場合を除き、アプリから収集したお客様の名前、電子メールアドレス、その他の情報をお客様の同意なしに第三者に提供することはありません。
M-Healthアプリを無料で提供させていただいております。ダウンロード、ご利用を希望される方は、まずこちらの登録フォームにご記入ください。(M-Healthアプリのご利用は16歳以上の成人の方に限らせていただきます。ただし、未成年の方がご利用になる場合は、保護者の方の同意が必要です)名前
苗字
生まれ年:
Eメール
住所(任意*):
健康状態:
*ニュースレターの配信を希望される方は、ご住所もご記入ください。後日、ニュースレターの配信を希望されない場合は、[email protected] までEメールをお送りいただくか、このページの一番下に記載されている住所まで、ご希望を明記した手紙をお送りいただくことで、配信を停止することができます。
ご利用条件
1.管轄。[...]
2.準拠法[...]
3.責任の制限[...]
同意
この登録フォームに記入することにより、お客様は16歳以上であることを証明し、M-Healthアプリを使用する目的でVigotronがお客様の個人データを処理することに同意するものとします。お客様は、広告またはマーケティングをオプトアウトする権利を有しますが、お客様は、Vigotronが電子メールまたはその他の電子的手段により、必要な通知、契約、またはサービスに関するその他の情報をお客様に連絡または提供することに同意するものとします。また、お客様は、当社が、お客様の健康に影響を及ぼす可能性のあるM-Healthアプリの問題に関して、アラートを含む自動電子メールを送信する場合があることに同意するものとします。
エミリーは草案をサムに送り、確認してもらう。サムがエミリーの同意条項の最大の問題点として最も指摘しそうなのはどれか。

 
 
 
 

NO.139 シナリオ
次の質問にお答えください:
ABCホテルチェーンとXYZ旅行会社は、米国に本拠を置く多国籍企業である。両社は、マーケティング活動を統合するために、インターネットベースの共通プラットフォームを使用して、顧客データを収集し、互いに共有している。さらに、保存されるデータ、予約と確認の方法、保存されたデータへのアクセス権者についても合意している。
EU在住のMikeは、過去にXYZ Travel Agencyを通じてABC Hotel Chainの宿泊施設を予約したことがある。XYZ Travel Agencyは、顧客が登録してポイントを貯め、後で無料旅行と交換できる特典プログラムを提供している。マイクはリワード・プログラムの会員になるための同意書にサインした。
マイクは今、同社が自分についてどのような個人情報を保有しているのかを知りたがっている。彼は、データ主体の権利を行使するために、自分のデータへのアクセスを要求するメールを送った。
マイクが彼のリクエストに対する返答を受け取るべき期間は?

 
 
 
 

NO.140 BYOD(Bring Your Own Device)プログラムを導入している組織にとって、どのGDPR要件が最も大きな課題となるでしょうか。

 
 
 
 

NO.141 以下の手順を読んでください:
* どの従業員が、どのデバイスやアプリからクラウドサービスにアクセスしているかを発見する。
* アプリやデバイスのデータをロックする
* アプリとデバイスのコンプライアンス監視と分析
* アプリケーション・ライフサイクルの管理
* データ共有の監視
組織がこれらの手順を実行すべきなのは、次のうちどれか?

 
 
 
 

NO.142 データ処理業者を雇用する場合、データ管理者がセキュリティ侵害の際の責任を回避するために、どのような行動をとればよいか?

 
 
 
 

NO.143 シナリオ
次の質問にお答えください:
プロストレージはオランダに本社を置く多国籍クラウドストレージ・プロバイダーである。CEOはルース・ブラウン。ルース・ブラウンは、成長のために2つの戦略を立てている。1)ProStorageのグローバルな顧客基盤を拡大すること、2)効果的なチームを効率的に雇用してProStorageの営業力を高めること。この戦略の実行は、ルースの健康状態によって労働時間が制限され、潜在顧客に会うための出張も制限されるなど、最近複雑になってきた。ProStorageの人事部門とルースのチーフスタッフは現在、彼女のスケジュールを管理し、彼女がすべての医療アポイントメントを確実にこなせるように協力しています。ルースの家族と連絡が取れなかったため、病院はProStorageに連絡し、彼女のチーフスタッフとつながることができました:より多くの営業担当者を雇用するというルースの戦略的目標をサポートするため、人事チームは新入社員の発掘、面接、採用、入社を効率的に行うプロセスの改善に注力しています。これを支援するため、メアリーはドイツを拠点とするHRYourWay社とオーストラリアを拠点とするInstaHR社という2つのベンダーを特定した。彼女は、ルースと協力して最終決定を下せるよう、両ベンダーにProStorageのベンダーリスク審査プロセスを通過してもらうことにした。レビュープロセスの一環として、ProStorageのプライバシープログラム(コントローラBCRの維持とベンダリスクアセスメントの実施を含む)の維持を担当するジャッキーは、両方のベンダをレビューしましたが、InstaHRについてのみ移転影響アセスメントを完了しました。彼女のレビューの結果、InstaHRとHRYourWayはより確立された個人情報保護プログラムを誇り、第三者による証明書を提供していたのに対し、HRYourWayはデータ保護業務が最小限の小規模なベンダーであった。
そこで彼女はInstaHRを勧めた。
ProStorageのマーケティング・チームはまた、市場シェアを拡大する必要のある業界に焦点を当てることで、同社の戦略的目標を達成するよう努めた。これを支援するため、チームは、金融業界の顧客と深いつながりを持つ米国を拠点とするUpFinance社をパートナーに選んだ。ProStorageのディリジェンス過程で、プライバシー・チームのジャッキーは、アップファイナンスがエンド・ツー・エンドの暗号化を含むいくつかのデータ保護対策を実施しており、暗号化キーは顧客が保有していることを移転影響評価で指摘した。
注目すべきは、UpFinanceは7年間の事業期間中、政府からの要請を受けていないことである。それでもジャッキーは、アップファイナンスがProStorageに代わって処理する個人データについて政府からの要請を受けた場合、そのようなデータを開示する前に、アップファイナンスがProStorageに通知することを契約に義務付けることを勧めた。
なぜジャッキーが推奨する追加措置はアップファイナンスを利用するのに十分なのでしょうか?

 
 
 
 

NO.144 シナリオ
次の質問にお答えください:
イタリアに本社を置くBHealthy社は、日焼け止めを中心とした自然派製品の新ラインを発売する準備が整った。製品発売前の最後のステップは、BHealthy社がヨーロッパ全土で新ラインの日焼け止めをどの程度広範囲に販売するかを決めるための調査を行うことだ。そのためにBHealthy社は、ナチュラル製品の価格決定を専門とするNatural Insight社と提携した。BHealthy社は、既存の顧客情報(名前、所在地、過去の購入履歴)をNatural Insight社と共有することにした。ナチュラル・インサイト社は、この情報を使ってアルゴリズムを訓練し、Bヘルシー社が新しい日焼け止めを販売できる価格帯を決定するのに役立てようと考えている。
顧客リストの共有に先立ち、BHealthy社はNatural Insight社のセキュリティ慣行のレビューを実施し、同社は連絡先情報を保護する十分なセキュリティ対策を持っていると結論づけた。さらに、BHealthyとNatural Insight社とのデータ処理契約条項は、技術的および組織的対策の継続的な実施を求めている。また、契約書には、BHealthy社が提供したデータを、Natural Insight社の機械学習アルゴリズムの継続的な改良のために使用することを含む、サービス提供以外の目的で使用することの制限が示されています。
どのような場合、Natural Insight社がBHealthy社のデータをそのアルゴリズムの改良のために使用することは、データ処理者の活動とみなされますか?

 
 
 
 

NO.145 欧州人権裁判所(ECHR)と欧州連合司法裁判所(CJEU)の役割と機能に関する重要な違いは何ですか?

 
 
 
 

NO.146 サブプロセッサーと契約するプロセッサーの義務は何ですか?

 
 
 
 

NO.147 プラネット49のCJEU判決はどのような場合に適用されるのか?

 
 
 
 

NO.148 シナリオ
次の質問にお答えください:
ビルディング・ブロック社は、シカゴに本社を置き、米国、アジア、ヨーロッパ(ドイツ、イタリア、フランス、ポルトガルを含む)に拠点を持つ多国籍企業である。昨年、同社はフィッシング攻撃の被害に遭い、重大なデータ流出が発生した。執行役員会は、ゼネラル・マネージャー、個人情報保護室、情報セキュリティ・チームと連携し、さらなるセキュリティ対策の導入を決定した。これには、意識向上プログラム、サイバーセキュリティ監査、SecurityScanと呼ばれる新しいソフトウェアツールの使用などが含まれる。SecurityScanは、従業員のコンピュータをスキャンし、ベンダーによるサポートが終了し、セキュリティアップデートが提供されていないソフトウェアがあるかどうかを確認するものである。しかし、このソフトウェアは、従業員のコンピュータの監視など、他の機能も提供している。
これらの措置は従業員に影響を与える可能性があるため、ビルディング・ブロックの個人情報保護室は、情報セキュリティを強化し、将来のデータ漏洩を防止するための一連の取り組みを実施することを示す一般的な通知を全従業員に発行することを決定した。
これらの対策の実施後、サーバーのパフォーマンスは低下した。ゼネラル・マネージャーは、セキュリティ・チームにSecurityScanを使用して従業員のコンピュータのアクティビティとその場所を監視する方法を指示した。
こうした活動の中で、情報セキュリティー・チームは、イタリア出身の従業員が日常的に映画のビデオ・ライブラリーに接続していること、またドイツ出身の従業員が無許可でリモート・ワークを行っていることを発見した。
セキュリティ・チームは、個人情報保護室とゼネラル・マネージャーにこれらのインシデントを報告した。チームは報告書の中で、サーバーのパフォーマンスが低下した原因はイタリア出身の従業員にあると結論づけた。
会社のセキュリティおよびプライバシー・ポリシーでは、従業員が会社のコンピューターにソフトウェアをインストールすることや、許可なくリモートで作業することを禁じていたため、これらの違反行為の重大性から、会社は両従業員に対して懲戒処分を適用することを決定した。
GDPRを遵守するために、ビルディング・ブロックはSecurityScan対策を実施する前に、最初のステップとして何をすべきでしたか?

 
 
 
 

NO.149 DPIAを実施した管理者は、どのような場合に監督当局と協議する必要があるでしょうか。

 
 
 
 

NO.150 ある住宅所有者が、フロント・ドックと玄関を撮影する動体検知監視システ ムを設置した。カメラが撮影するのは、公共の場所ではなく、家主の所有物である場所だけである。このシステムは、住宅所有者の国の法律に従って当局に申告されており、敷地内に入る際には、そのエリアがビデオ監視されていることを示すプラカードが見えるようになっている。 なぜ住宅所有者は、監視カメラシステムによって録画されたビデオ画像の処理に関して、世帯免責に依存することができないのか?

 
 
 
 

NO.151 GDPRの「ワンストップ・ショップ」の仕組みに関する記述として、正しいものはどれか。

 
 
 
 

完全なCIPP-E模擬試験と270のユニークな問題、今すぐ手に入れよう! https://www.examslabs.com/IAPP/Certified-Information-Privacy-Professional/best-CIPP-E-exam-dumps.html