CIPM 문제 91
대본
다음 질문에 답하려면 다음을 사용하세요.
회사의 신임 CEO인 토마스 고다드는 데이터 보호 분야의 리더로 알려지기를 원합니다. 고다드는 최근 전 세계 수백만 명의 사용자를 보유한 온라인 동영상 시청 분야의 선구자 후피닷컴(Hoopy.com)의 최고재무책임자(CFO)를 역임했습니다. 안타깝게도 후피닷컴은 마케터에게 개인 정보를 무단 판매하는 등 윤리적으로 문제가 있는 행위로 개인정보 보호계에서 악명을 떨치고 있습니다.
Hoopy는 또한 회사의 주장에도 불구하고 최소 200만 개의 신용 카드 번호가 도난당한 것으로 추정되는 등 전 세계적으로 헤드라인을 장식한 신용 카드 데이터 도난의 표적이 되었습니다.
"적절한" 데이터 보호 조치가 마련되어 있었습니다. 이 스캔들은 경쟁사들이 유사한 엔터테인먼트 및 미디어 콘텐츠를 제공하면서 강화된 보호 수준을 빠르게 홍보함에 따라 회사 사업에 영향을 미쳤습니다. 스캔들이 터진 지 3주 만에 고다드의 멘토였던 후피(Hoopy)의 설립자이자 CEO인 맥스웰 마틴(Maxwell Martin)은 사임해야 했습니다.
하지만 고다드는 이제 막 창업 단계를 벗어난 귀사 미디어라이트의 CEO 자리를 확보하며 자리를 굳건히 다진 것으로 보입니다. 그는 미디어라이트가 업계 최고의 데이터 보호 표준 및 절차를 기반으로 브랜드를 구축한다는 비전을 회사 이사회와 투자자들에게 설득했습니다.
그는 개인정보 보호 문제에 있어 낡거나 심지어 악덕 조직에서 핵심적인 역할을 했을지 모르지만, 이제는 개혁을 이루었고 개인정보 보호의 진정한 신봉자라고 주장합니다. 취임 첫 주에 그는 당신을 사무실로 불러 개인정보 보호에 대한 그의 비전을 실현하는 것이 당신의 주된 업무라고 설명합니다. 하지만 당신은 몇 가지 의구심을 느낍니다. "저희는 Medialite가 절대적으로 최고의 기준을 갖기를 바랍니다."라고 그는 말합니다. "사실, 저는 저희가 개인정보 보호 및 데이터 보호 분야에서 업계 선두주자라고 자부할 수 있기를 바랍니다. 하지만 동시에 저는 회사 재정을 책임감 있게 관리해야 합니다. 따라서 모든 면에서 최고의 솔루션을 제공해야 하지만, 비용 효율성도 갖춰야 합니다." 일주일 후에 권고안을 보고하라는 지시를 받습니다. 이 모호한 사명을 맡은 당신은 이미 다음 단계를 고려하며 임원실을 떠납니다.
이 회사는 업계의 새로운 모범 사례를 확립한 수준의 개인정보 보호를 달성했습니다.
높은 수준의 보호를 보장하기 위한 논리적인 다음 단계는 무엇입니까?
다음 질문에 답하려면 다음을 사용하세요.
회사의 신임 CEO인 토마스 고다드는 데이터 보호 분야의 리더로 알려지기를 원합니다. 고다드는 최근 전 세계 수백만 명의 사용자를 보유한 온라인 동영상 시청 분야의 선구자 후피닷컴(Hoopy.com)의 최고재무책임자(CFO)를 역임했습니다. 안타깝게도 후피닷컴은 마케터에게 개인 정보를 무단 판매하는 등 윤리적으로 문제가 있는 행위로 개인정보 보호계에서 악명을 떨치고 있습니다.
Hoopy는 또한 회사의 주장에도 불구하고 최소 200만 개의 신용 카드 번호가 도난당한 것으로 추정되는 등 전 세계적으로 헤드라인을 장식한 신용 카드 데이터 도난의 표적이 되었습니다.
"적절한" 데이터 보호 조치가 마련되어 있었습니다. 이 스캔들은 경쟁사들이 유사한 엔터테인먼트 및 미디어 콘텐츠를 제공하면서 강화된 보호 수준을 빠르게 홍보함에 따라 회사 사업에 영향을 미쳤습니다. 스캔들이 터진 지 3주 만에 고다드의 멘토였던 후피(Hoopy)의 설립자이자 CEO인 맥스웰 마틴(Maxwell Martin)은 사임해야 했습니다.
하지만 고다드는 이제 막 창업 단계를 벗어난 귀사 미디어라이트의 CEO 자리를 확보하며 자리를 굳건히 다진 것으로 보입니다. 그는 미디어라이트가 업계 최고의 데이터 보호 표준 및 절차를 기반으로 브랜드를 구축한다는 비전을 회사 이사회와 투자자들에게 설득했습니다.
그는 개인정보 보호 문제에 있어 낡거나 심지어 악덕 조직에서 핵심적인 역할을 했을지 모르지만, 이제는 개혁을 이루었고 개인정보 보호의 진정한 신봉자라고 주장합니다. 취임 첫 주에 그는 당신을 사무실로 불러 개인정보 보호에 대한 그의 비전을 실현하는 것이 당신의 주된 업무라고 설명합니다. 하지만 당신은 몇 가지 의구심을 느낍니다. "저희는 Medialite가 절대적으로 최고의 기준을 갖기를 바랍니다."라고 그는 말합니다. "사실, 저는 저희가 개인정보 보호 및 데이터 보호 분야에서 업계 선두주자라고 자부할 수 있기를 바랍니다. 하지만 동시에 저는 회사 재정을 책임감 있게 관리해야 합니다. 따라서 모든 면에서 최고의 솔루션을 제공해야 하지만, 비용 효율성도 갖춰야 합니다." 일주일 후에 권고안을 보고하라는 지시를 받습니다. 이 모호한 사명을 맡은 당신은 이미 다음 단계를 고려하며 임원실을 떠납니다.
이 회사는 업계의 새로운 모범 사례를 확립한 수준의 개인정보 보호를 달성했습니다.
높은 수준의 보호를 보장하기 위한 논리적인 다음 단계는 무엇입니까?
CIPM 문제 92
대본
다음 질문에 답하려면 다음을 사용하세요.
시카고(미국)에 본사를 둔 귀 단체인 도시녹지공간협회(Society for Urban Greenspace)는 수년간 온라인 스토어 운영 전반에 동일한 업체를 이용해 왔습니다. 소규모 비영리 단체인 협회는 고가의 옵션을 감당할 수 없지만, 귀 단체는 이 저렴한 업체인 쇼핑카트 세이버(Shopping Cart Saver, SCS)에 비교적 만족해 왔습니다. 네, 몇 가지 문제가 있었습니다. 이 매장에서 상품을 구매한 사람들의 신용카드 정보가 귀 사이트 거래 후 두 번이나 부정하게 사용되었지만, 두 경우 모두 조사 결과 협회 매장이 해킹당했다는 확실한 증거는 없었습니다. 도난 사건은 직원과 관련이 있었을 가능성이 있습니다.
SCS가 고객으로부터 수집한 정보를 제3자에게 판매했다는 사실이 발견된 사건 또한 당혹스러웠습니다. 하지만 SCS 계정 담당자인 제이슨 롤랜드가 지적했듯이, 단 한 번의 전화 통화로 기대치를 명확히 밝혔고, 그 "오해"는 다시 발생하지 않았습니다.
협회의 정보 기술 프로그램 관리자로서 개인정보 보호 전문가의 역할은 여러분이 담당하는 여러 역할 중 하나일 뿐입니다. 하지만 모든 사안에서 재정적인 측면을 고려해야 합니다. 개인정보 보호와 관련된 이러한 문제들이 심각했지만, 매장에서 셔츠나 커피잔과 같은 품목을 판매하여 얻은 추가 수입도 상당했습니다. 협회의 운영 예산은 부족하며, 모든 수입원이 필수적입니다.
이제 새로운 과제가 생겼습니다. 제이슨이 전화해서 2주 후부터 매장의 고객 데이터가 데이터 클라우드에 저장될 것이라고 말했습니다. "좋은 소식은 핀란드에서 저렴한 데이터 제공업체를 찾았다는 것입니다. 거기에도 데이터가 저장될 것입니다. 따라서 소액의 비용이 발생할 수 있지만, 특히 클라우드의 장점을 고려하면 터무니없지는 않을 것입니다." 최근 클라우드 컴퓨팅에 대해 들어보셨을 텐데, 다양한 애플리케이션의 새로운 패러다임으로 빠르게 자리 잡고 있다는 것을 알고 계실 겁니다. 하지만 개인정보 보호에 미칠 수 있는 잠재적 영향에 대해서는 엇갈린 평가를 접하게 되었습니다. 조사를 시작하니 여러 주요 클라우드 서비스 제공업체가 개인정보 보호를 위한 공동 규약 및 기술 개발에 협력하기로 의향서에 서명했다는 것을 알게 되었습니다. 제이슨의 핀란드 제공업체가 서명하는지 확인하기 위해 메모를 남깁니다.
조사 결과, 클라우드 컴퓨팅의 주요 데이터 보호 문제를 발견했습니다. 다음 중 가장 우려되는 사항은 무엇입니까?
다음 질문에 답하려면 다음을 사용하세요.
시카고(미국)에 본사를 둔 귀 단체인 도시녹지공간협회(Society for Urban Greenspace)는 수년간 온라인 스토어 운영 전반에 동일한 업체를 이용해 왔습니다. 소규모 비영리 단체인 협회는 고가의 옵션을 감당할 수 없지만, 귀 단체는 이 저렴한 업체인 쇼핑카트 세이버(Shopping Cart Saver, SCS)에 비교적 만족해 왔습니다. 네, 몇 가지 문제가 있었습니다. 이 매장에서 상품을 구매한 사람들의 신용카드 정보가 귀 사이트 거래 후 두 번이나 부정하게 사용되었지만, 두 경우 모두 조사 결과 협회 매장이 해킹당했다는 확실한 증거는 없었습니다. 도난 사건은 직원과 관련이 있었을 가능성이 있습니다.
SCS가 고객으로부터 수집한 정보를 제3자에게 판매했다는 사실이 발견된 사건 또한 당혹스러웠습니다. 하지만 SCS 계정 담당자인 제이슨 롤랜드가 지적했듯이, 단 한 번의 전화 통화로 기대치를 명확히 밝혔고, 그 "오해"는 다시 발생하지 않았습니다.
협회의 정보 기술 프로그램 관리자로서 개인정보 보호 전문가의 역할은 여러분이 담당하는 여러 역할 중 하나일 뿐입니다. 하지만 모든 사안에서 재정적인 측면을 고려해야 합니다. 개인정보 보호와 관련된 이러한 문제들이 심각했지만, 매장에서 셔츠나 커피잔과 같은 품목을 판매하여 얻은 추가 수입도 상당했습니다. 협회의 운영 예산은 부족하며, 모든 수입원이 필수적입니다.
이제 새로운 과제가 생겼습니다. 제이슨이 전화해서 2주 후부터 매장의 고객 데이터가 데이터 클라우드에 저장될 것이라고 말했습니다. "좋은 소식은 핀란드에서 저렴한 데이터 제공업체를 찾았다는 것입니다. 거기에도 데이터가 저장될 것입니다. 따라서 소액의 비용이 발생할 수 있지만, 특히 클라우드의 장점을 고려하면 터무니없지는 않을 것입니다." 최근 클라우드 컴퓨팅에 대해 들어보셨을 텐데, 다양한 애플리케이션의 새로운 패러다임으로 빠르게 자리 잡고 있다는 것을 알고 계실 겁니다. 하지만 개인정보 보호에 미칠 수 있는 잠재적 영향에 대해서는 엇갈린 평가를 접하게 되었습니다. 조사를 시작하니 여러 주요 클라우드 서비스 제공업체가 개인정보 보호를 위한 공동 규약 및 기술 개발에 협력하기로 의향서에 서명했다는 것을 알게 되었습니다. 제이슨의 핀란드 제공업체가 서명하는지 확인하기 위해 메모를 남깁니다.
조사 결과, 클라우드 컴퓨팅의 주요 데이터 보호 문제를 발견했습니다. 다음 중 가장 우려되는 사항은 무엇입니까?
CIPM 문제 93
Which of the following is an example of Privacy by Design (PbD)?
CIPM 문제 94
기술적 통제를 평가할 때 가장 중요한 개인정보 보호 목표는 무엇입니까?
CIPM 문제 95
대본
다음 질문에 답하려면 다음을 사용하세요.
Consolidated Records Corporation의 데이터 보호 책임자로서, 당신은 지금까지의 성과에 당연히 만족하고 있습니다. 당신의 채용은 비교적 경미한 일련의 데이터 유출 사고 이후 규제 기관의 경고를 계기로 이루어졌으며, 그 사고들은 더 심각해질 수도 있었습니다. 하지만 회사에 근무한 지 3년 동안 보고해야 할 사고는 단 한 건도 발생하지 않았습니다. 사실, 당신은 당신의 프로그램을 데이터 저장 업계의 다른 사람들이 자체 프로그램 개발에 참고할 만한 모범 사례로 여기고 있습니다.
Consolidated에서 프로그램을 시작할 당시, 정책과 절차가 뒤죽박죽 섞여 있었고 부서 간, 그리고 운영 전반에 걸쳐 일관성을 유지해 나가기 위해 노력하셨습니다. 프로그램 후원자인 운영 부사장과 변화의 필요성을 명확히 이해하고 시작한 개인정보보호팀의 도움을 받았습니다.
처음에는 경영진과 데이터 및 고객 접점을 담당하는 일선 직원들로 구성된 회사의 "구세대"들이 당신의 업무를 신뢰하거나 열광적으로 받아들이지 않았습니다. 하지만 발생한 보안 침해로 인한 비용뿐만 아니라 현재 운영 상황을 고려할 때 발생할 수 있는 비용 예측까지 보여주는 지표를 활용함으로써, 곧 경영진과 주요 의사 결정권자들의 지지를 얻게 되었습니다. 다른 직원들은 다소 저항적이었지만, 각 부서와의 대면 회의와 기본 개인정보 보호 교육 프로그램 개발을 통해 적절한 절차를 구축할 수 있는 충분한 "동의"를 얻었습니다.
이제 개인정보 보호는 개인 정보 또는 보호되는 데이터와 관련된 모든 현행 운영에서 허용되는 요소이며, 모든 기술 개발 과정의 최종 결과물에 반드시 포함되어야 합니다. 귀하의 접근 방식이 체계적이지는 않지만, 상당히 효과적입니다.
이제 고민이 시작됩니다. 프로그램을 유지하고 단순한 데이터 유출 방지 프로그램 이상으로 발전시키려면 어떻게 해야 할까요? 성공을 어떻게 발전시킬 수 있을까요? 다음 단계는 무엇일까요?
What analytic can be used to track the financial viability of the program as it develops?
다음 질문에 답하려면 다음을 사용하세요.
Consolidated Records Corporation의 데이터 보호 책임자로서, 당신은 지금까지의 성과에 당연히 만족하고 있습니다. 당신의 채용은 비교적 경미한 일련의 데이터 유출 사고 이후 규제 기관의 경고를 계기로 이루어졌으며, 그 사고들은 더 심각해질 수도 있었습니다. 하지만 회사에 근무한 지 3년 동안 보고해야 할 사고는 단 한 건도 발생하지 않았습니다. 사실, 당신은 당신의 프로그램을 데이터 저장 업계의 다른 사람들이 자체 프로그램 개발에 참고할 만한 모범 사례로 여기고 있습니다.
Consolidated에서 프로그램을 시작할 당시, 정책과 절차가 뒤죽박죽 섞여 있었고 부서 간, 그리고 운영 전반에 걸쳐 일관성을 유지해 나가기 위해 노력하셨습니다. 프로그램 후원자인 운영 부사장과 변화의 필요성을 명확히 이해하고 시작한 개인정보보호팀의 도움을 받았습니다.
처음에는 경영진과 데이터 및 고객 접점을 담당하는 일선 직원들로 구성된 회사의 "구세대"들이 당신의 업무를 신뢰하거나 열광적으로 받아들이지 않았습니다. 하지만 발생한 보안 침해로 인한 비용뿐만 아니라 현재 운영 상황을 고려할 때 발생할 수 있는 비용 예측까지 보여주는 지표를 활용함으로써, 곧 경영진과 주요 의사 결정권자들의 지지를 얻게 되었습니다. 다른 직원들은 다소 저항적이었지만, 각 부서와의 대면 회의와 기본 개인정보 보호 교육 프로그램 개발을 통해 적절한 절차를 구축할 수 있는 충분한 "동의"를 얻었습니다.
이제 개인정보 보호는 개인 정보 또는 보호되는 데이터와 관련된 모든 현행 운영에서 허용되는 요소이며, 모든 기술 개발 과정의 최종 결과물에 반드시 포함되어야 합니다. 귀하의 접근 방식이 체계적이지는 않지만, 상당히 효과적입니다.
이제 고민이 시작됩니다. 프로그램을 유지하고 단순한 데이터 유출 방지 프로그램 이상으로 발전시키려면 어떻게 해야 할까요? 성공을 어떻게 발전시킬 수 있을까요? 다음 단계는 무엇일까요?
What analytic can be used to track the financial viability of the program as it develops?