CIPM 문제 131
한 회사의 인사 담당자가 직원 급여 데이터가 담긴 노트북이 기차에서 분실되었다고 보고했습니다. 회사는 즉시 어떤 조치를 취해야 할까요?
CIPM 문제 132
미국의 다국적 온라인 소매 회사의 임원이 법률에서 구체적으로 요구하는 것 이상으로 회사의 개인정보 보호 프로그램을 개발하는 데 있어 지침을 찾고 있습니다.
임원이 상담할 수 있는 가장 효과적인 리소스는 무엇일까요?
임원이 상담할 수 있는 가장 효과적인 리소스는 무엇일까요?
CIPM 문제 133
SCENARIO
Please use the following to answer the next QUESTION:
Amira is thrilled about the sudden expansion of NatGen. As the joint Chief Executive Officer (CEO) with her long-time business partner Sadie, Amira has watched the company grow into a major competitor in the green energy market. The current line of products includes wind turbines, solar energy panels, and equipment for geothermal systems. A talented team of developers means that NatGen's line of products will only continue to grow.
With the expansion, Amira and Sadie have received advice from new senior staff members brought on to help manage the company's growth. One recent suggestion has been to combine the legal and security functions of the company to ensure observance of privacy laws and the company's own privacy policy. This sounds overly complicated to Amira, who wants departments to be able to use, collect, store, and dispose of customer data in ways that will best suit their needs. She does not want administrative oversight and complex structuring to get in the way of people doing innovative work.
새디도 비슷한 전망을 가지고 있습니다. 새디는 신임 최고정보책임자(CIO)가 새로운 개인정보 보호 프로그램 설계에 불필요하게 긴 일정을 제안했다고 생각합니다. 새디는 NatGen이 고객 및 직원 데이터의 전자 저장에 최상의 장비를 사용할 것이라고 약속했습니다. 새디에게 필요한 것은 장비 목록과 예상 비용뿐입니다. 하지만 CIO는 회사가 그 단계에 도달하기 전에 고려해야 할 많은 사항들이 있다고 주장합니다.
그럼에도 불구하고, 세이디와 아미라는 직원들에게 업무 수행에 필요한 공간을 제공하는 것을 고집합니다. 두 CEO 모두 직원 정책 준수 여부 모니터링을 하위 관리자에게 맡기고 싶어 합니다. 아미라와 세이디는 이러한 관리자들이 각 부서에 가장 적합한 방식으로 회사 개인정보 보호정책을 조정할 수 있다고 생각합니다. NatGen의 CEO들은 데이터가 정상적인 사업 활동에 항상 사용되는 한, 친환경 에너지 증진이라는 명분으로 개인정보 보호정책을 유연하게 해석하더라도 고객들에게 우려를 불러일으킬 가능성은 매우 낮다는 것을 알고 있습니다.
아마도 세이디와 아미라에게 가장 당혹스러웠던 것은 CIO가 개인정보 보호 준수 핫라인을 설치하자고 제안한 것이었을 것입니다. 세이디와 아미라는 이 부분에 대해서는 양보했지만, 직원들이 개인정보 보호 정책 위반 신고를 번갈아 처리하도록 허용함으로써 타협점을 찾고자 합니다. 직원들은 특별한 준비가 필요 없기 때문에 구현이 쉬울 것입니다. 접수된 우려 사항은 간단히 문서화하기만 하면 됩니다.
세이디와 아미라는 원칙을 고수하고 기업 문화가 창의성과 직원 사기를 저해하는 것을 막는 것이 쉽지 않다는 것을 잘 알고 있습니다. 모든 고위 직원들이 독특한 접근 방식을 시도하는 것의 이점을 깨닫기를 바랍니다.
아미라와 세이디가 회사의 개인정보 보호 정책을 준수하겠다는 생각을 견제하지 않는다면, 연방통신위원회(FCC)가 NatGen에 대해 무슨 이유로 조치를 취할 가능성이 있을까?
Please use the following to answer the next QUESTION:
Amira is thrilled about the sudden expansion of NatGen. As the joint Chief Executive Officer (CEO) with her long-time business partner Sadie, Amira has watched the company grow into a major competitor in the green energy market. The current line of products includes wind turbines, solar energy panels, and equipment for geothermal systems. A talented team of developers means that NatGen's line of products will only continue to grow.
With the expansion, Amira and Sadie have received advice from new senior staff members brought on to help manage the company's growth. One recent suggestion has been to combine the legal and security functions of the company to ensure observance of privacy laws and the company's own privacy policy. This sounds overly complicated to Amira, who wants departments to be able to use, collect, store, and dispose of customer data in ways that will best suit their needs. She does not want administrative oversight and complex structuring to get in the way of people doing innovative work.
새디도 비슷한 전망을 가지고 있습니다. 새디는 신임 최고정보책임자(CIO)가 새로운 개인정보 보호 프로그램 설계에 불필요하게 긴 일정을 제안했다고 생각합니다. 새디는 NatGen이 고객 및 직원 데이터의 전자 저장에 최상의 장비를 사용할 것이라고 약속했습니다. 새디에게 필요한 것은 장비 목록과 예상 비용뿐입니다. 하지만 CIO는 회사가 그 단계에 도달하기 전에 고려해야 할 많은 사항들이 있다고 주장합니다.
그럼에도 불구하고, 세이디와 아미라는 직원들에게 업무 수행에 필요한 공간을 제공하는 것을 고집합니다. 두 CEO 모두 직원 정책 준수 여부 모니터링을 하위 관리자에게 맡기고 싶어 합니다. 아미라와 세이디는 이러한 관리자들이 각 부서에 가장 적합한 방식으로 회사 개인정보 보호정책을 조정할 수 있다고 생각합니다. NatGen의 CEO들은 데이터가 정상적인 사업 활동에 항상 사용되는 한, 친환경 에너지 증진이라는 명분으로 개인정보 보호정책을 유연하게 해석하더라도 고객들에게 우려를 불러일으킬 가능성은 매우 낮다는 것을 알고 있습니다.
아마도 세이디와 아미라에게 가장 당혹스러웠던 것은 CIO가 개인정보 보호 준수 핫라인을 설치하자고 제안한 것이었을 것입니다. 세이디와 아미라는 이 부분에 대해서는 양보했지만, 직원들이 개인정보 보호 정책 위반 신고를 번갈아 처리하도록 허용함으로써 타협점을 찾고자 합니다. 직원들은 특별한 준비가 필요 없기 때문에 구현이 쉬울 것입니다. 접수된 우려 사항은 간단히 문서화하기만 하면 됩니다.
세이디와 아미라는 원칙을 고수하고 기업 문화가 창의성과 직원 사기를 저해하는 것을 막는 것이 쉽지 않다는 것을 잘 알고 있습니다. 모든 고위 직원들이 독특한 접근 방식을 시도하는 것의 이점을 깨닫기를 바랍니다.
아미라와 세이디가 회사의 개인정보 보호 정책을 준수하겠다는 생각을 견제하지 않는다면, 연방통신위원회(FCC)가 NatGen에 대해 무슨 이유로 조치를 취할 가능성이 있을까?
CIPM 문제 134
대본
다음 질문에 답하려면 다음을 사용하세요.
헨리 홈 퍼니싱(Henry Home Furnishings)은 거의 40년 동안 고급 가구를 제작해 왔습니다. 그러나 새 주인인 안톤(Anton)은 회사 본사를 둘러본 후 다소 혼란스러운 상황을 발견했습니다. 삼촌 헨리는 항상 데이터 처리보다는 생산에 집중했기 때문에 안톤은 걱정이 되었습니다. 여러 창고에서 그는 현직 및 전직 직원과 고객의 개인 정보가 담긴 것으로 보이는 서류 파일, 디스크, 그리고 오래된 컴퓨터를 발견했습니다. 안톤은 단 한 번의 침입만으로도 단골 고객과의 관계가 돌이킬 수 없을 정도로 손상될 수 있다는 것을 알고 있습니다. 그는 개인 정보 유출을 완전히 차단하는 것을 목표로 삼고 있습니다.
이를 위해 안톤은 원래 회사 건물에 출입하는 인원을 제한할 계획이었습니다. 그러나 삼촌의 부사장이자 오랜 친구인 케네스는 회사에 보관된 모든 종이 기록을 전자 저장 장치로 전환하는 방안을 선호하며 안톤의 제안을 보류하려 합니다. 케네스는 이 과정이 1~2년밖에 걸리지 않을 것이라고 생각합니다. 안톤은 이 아이디어를 좋아합니다. 그는 자신과 케네스만 접근할 수 있는 비밀번호로 보호되는 시스템을 구상하고 있습니다.
안톤은 또한 대부분의 자회사를 매각할 계획입니다. 이는 그의 업무를 더 쉽게 할 뿐만 아니라 저장된 데이터 관리도 간소화할 것입니다. 길 건너편에 있는 미술관이나 주방용품점 같은 자회사의 책임자들은 각자의 정보 관리를 담당하게 될 것입니다. 그렇게 되면 안톤이 보유하고 있는 불필요한 자회사 데이터는 향후 몇 년 안에 모두 폐기될 수 있습니다.
최근 보안 사고를 접한 안톤은 고객에게 알리는 것이 또 다른 중요한 단계라는 것을 깨달았습니다. 케네스는 문제의 두 개의 하드 드라이브 분실은 우려할 만한 일이 아니라고 주장합니다. 모든 데이터는 암호화되어 있었고 민감한 내용이 아니었습니다. 하지만 안톤은 위험을 감수하고 싶지 않았습니다. 그는 안전을 위해 모든 직원과 고객에게 안내문을 발송할 계획입니다.
안톤은 개인정보 보호와 관련된 모든 법률, 규제 및 시장 요건 준수 여부도 확인해야 합니다. 케네스는 약 10년 전 회사의 온라인 사업 개발을 감독했지만, 안톤은 최근 온라인 마케팅 법률에 대한 이해도가 부족합니다. 안톤은 법률 분야 경력이 있는 다른 신뢰할 수 있는 직원에게 규정 준수 평가 업무를 맡기고 있습니다. 철저한 분석 결과, 안톤은 회사가 향후 5년 동안 안전할 것으로 판단하고, 그 시점에 추가 점검을 요청할 수 있습니다.
이 분석을 문서화하면 감사인이 실사를 철저히 했다는 것을 보여줄 수 있습니다.
안톤은 회사 경영 개선을 위한 긴 여정을 시작했지만, 그 노력이 가치 있다는 것을 알고 있습니다. 안톤은 삼촌의 유산이 앞으로도 오랫동안 이어지기를 바랍니다.
시설의 데이터 보안 시스템을 개선하기 위해 Anton은 다음 중 어떤 계획을 따르는 것을 고려해야 할까요?
다음 질문에 답하려면 다음을 사용하세요.
헨리 홈 퍼니싱(Henry Home Furnishings)은 거의 40년 동안 고급 가구를 제작해 왔습니다. 그러나 새 주인인 안톤(Anton)은 회사 본사를 둘러본 후 다소 혼란스러운 상황을 발견했습니다. 삼촌 헨리는 항상 데이터 처리보다는 생산에 집중했기 때문에 안톤은 걱정이 되었습니다. 여러 창고에서 그는 현직 및 전직 직원과 고객의 개인 정보가 담긴 것으로 보이는 서류 파일, 디스크, 그리고 오래된 컴퓨터를 발견했습니다. 안톤은 단 한 번의 침입만으로도 단골 고객과의 관계가 돌이킬 수 없을 정도로 손상될 수 있다는 것을 알고 있습니다. 그는 개인 정보 유출을 완전히 차단하는 것을 목표로 삼고 있습니다.
이를 위해 안톤은 원래 회사 건물에 출입하는 인원을 제한할 계획이었습니다. 그러나 삼촌의 부사장이자 오랜 친구인 케네스는 회사에 보관된 모든 종이 기록을 전자 저장 장치로 전환하는 방안을 선호하며 안톤의 제안을 보류하려 합니다. 케네스는 이 과정이 1~2년밖에 걸리지 않을 것이라고 생각합니다. 안톤은 이 아이디어를 좋아합니다. 그는 자신과 케네스만 접근할 수 있는 비밀번호로 보호되는 시스템을 구상하고 있습니다.
안톤은 또한 대부분의 자회사를 매각할 계획입니다. 이는 그의 업무를 더 쉽게 할 뿐만 아니라 저장된 데이터 관리도 간소화할 것입니다. 길 건너편에 있는 미술관이나 주방용품점 같은 자회사의 책임자들은 각자의 정보 관리를 담당하게 될 것입니다. 그렇게 되면 안톤이 보유하고 있는 불필요한 자회사 데이터는 향후 몇 년 안에 모두 폐기될 수 있습니다.
최근 보안 사고를 접한 안톤은 고객에게 알리는 것이 또 다른 중요한 단계라는 것을 깨달았습니다. 케네스는 문제의 두 개의 하드 드라이브 분실은 우려할 만한 일이 아니라고 주장합니다. 모든 데이터는 암호화되어 있었고 민감한 내용이 아니었습니다. 하지만 안톤은 위험을 감수하고 싶지 않았습니다. 그는 안전을 위해 모든 직원과 고객에게 안내문을 발송할 계획입니다.
안톤은 개인정보 보호와 관련된 모든 법률, 규제 및 시장 요건 준수 여부도 확인해야 합니다. 케네스는 약 10년 전 회사의 온라인 사업 개발을 감독했지만, 안톤은 최근 온라인 마케팅 법률에 대한 이해도가 부족합니다. 안톤은 법률 분야 경력이 있는 다른 신뢰할 수 있는 직원에게 규정 준수 평가 업무를 맡기고 있습니다. 철저한 분석 결과, 안톤은 회사가 향후 5년 동안 안전할 것으로 판단하고, 그 시점에 추가 점검을 요청할 수 있습니다.
이 분석을 문서화하면 감사인이 실사를 철저히 했다는 것을 보여줄 수 있습니다.
안톤은 회사 경영 개선을 위한 긴 여정을 시작했지만, 그 노력이 가치 있다는 것을 알고 있습니다. 안톤은 삼촌의 유산이 앞으로도 오랫동안 이어지기를 바랍니다.
시설의 데이터 보안 시스템을 개선하기 위해 Anton은 다음 중 어떤 계획을 따르는 것을 고려해야 할까요?
CIPM 문제 135
대본
다음 질문에 답하려면 다음을 사용하세요.
당신은 유럽과 미주 여러 국가에 거주하는 개인들의 정보를 처리하는 회사의 개인정보보호실을 이끌고 있습니다. 그날 아침 계약 담당자가 전화 문의를 요청하는 메시지를 보내면서 개인정보보호 검토를 시작했습니다. 메시지 내용은 명확하지 않고 세부 사항도 부족했지만, 당신은 데이터가 유출되었을 것이라고 추측합니다.
계약 담당자에게 연락하니, 공급업체로부터 고객 정보를 부적절하게 공유했다는 내용의 편지를 우편으로 받았다고 합니다. 담당자는 공급업체에 전화를 걸어 귀사가 최근 2,000명을 대상으로 최근 의료 서비스 경험에 대한 설문조사를 실시하여 해당 설문조사 결과를 공급업체에 보내 데이터베이스에 저장하도록 했지만, 공급업체는 계약서에 약속된 대로 데이터베이스 암호화를 하지 않았습니다. 결과적으로 공급업체는 데이터 통제권을 상실했습니다.
공급업체는 매우 사과하며 알림 발송을 책임지겠다고 합니다. 2,000장의 우표가 붙은 엽서를 따로 준비해 두면 우편으로 알림을 받는 데 걸리는 시간이 단축될 것이라고 합니다. 한 면에는 로고만 있고, 다른 면은 빈칸으로 되어 있어서 원하는 대로 써도 된다고 합니다. 제안을 보류하고 공간 제약을 고려하여 텍스트를 작성하기 시작합니다. 공급업체 로고가 알림과 함께 표시되는 것에 만족합니다.
이 알림에는 귀사가 최근 세인트 세바스찬 병원 감염병 클리닉에서의 최근 경험에 대한 정보를 저장하기 위해 업체를 고용했다는 내용이 포함되어 있습니다. 해당 업체는 정보를 암호화하지 않았으며 더 이상 통제할 수 없습니다. 영향을 받은 2,000명 전원에게 정보 관련 이메일 알림 수신을 신청해 주시기 바랍니다. 귀사 웹사이트에 접속하여 간단한 광고를 시청한 후 이름, 이메일 주소, 생년월일을 입력하시면 됩니다.
오전 9시 전에 사고 대응 위원회에 이메일을 보내 협조를 구합니다. 이 상황에서 문제가 발생하면 동료들에게 책임을 분산시키고 싶을 것입니다. 그 후 8시간 동안 모든 사람이 이메일을 주고받습니다. 사고 대응 팀을 이끄는 컨설턴트는 오늘이 회사에 첫 출근이지만 45년 동안 다른 업계에 종사해 왔기에 최선을 다하겠다고 말합니다. 위원회에 있는 세 명의 변호사 중 한 명 때문에 대화가 엉뚱한 방향으로 흘러가지만, 결국 다시 원래대로 돌아갑니다. 결국 그들은 당신이 작성한 통지문을 사용하고 공급업체의 엽서를 사용하기로 투표합니다.
공급업체가 엽서를 발송한 직후, 데이터가 도난당한 서버에 있었다는 사실을 알게 되고, 회사에서 신용 모니터링 서비스를 제공하기로 결정했습니다. 인터넷 검색을 통해 CRUDLOK(Credit Under Lock and Key)라는 그럴듯한 이름의 신용 모니터링 회사를 찾았습니다. 영업 담당자는 2,000명 규모의 계약을 처리해 본 경험이 없지만, 약 하루 만에 CRUDLOK을 통해 다음과 같은 혜택을 누릴 수 있다는 제안서를 작성했습니다.
1. 계약서에 서명한 다음 날 모든 사람에게 등록 초대장을 보냅니다.
2. 이름과 국민식별번호의 마지막 4자리만 사용하여 누군가를 등록합니다.
3. 등록일로부터 2년 동안 각 등록자의 신용을 모니터링합니다.
4. 신용 등급과 시장 금리로 신용 관련 서비스를 제공하는 내용을 담은 이메일을 매달 보냅니다.
5. 신용 회복 비용의 20%를 회사에 청구하세요.
계약을 체결하고 2,000명에게 등록 초대장을 이메일로 발송합니다. 3일 후, 잘 진행된 모든 사항과 개선할 수 있었던 사항을 기록합니다. 다음에 사고가 발생할 때 참고할 수 있도록 파일에 저장합니다.
신용 모니터링과 관련하여, 다음 중 가장 큰 우려 사항은 무엇일까요?
다음 질문에 답하려면 다음을 사용하세요.
당신은 유럽과 미주 여러 국가에 거주하는 개인들의 정보를 처리하는 회사의 개인정보보호실을 이끌고 있습니다. 그날 아침 계약 담당자가 전화 문의를 요청하는 메시지를 보내면서 개인정보보호 검토를 시작했습니다. 메시지 내용은 명확하지 않고 세부 사항도 부족했지만, 당신은 데이터가 유출되었을 것이라고 추측합니다.
계약 담당자에게 연락하니, 공급업체로부터 고객 정보를 부적절하게 공유했다는 내용의 편지를 우편으로 받았다고 합니다. 담당자는 공급업체에 전화를 걸어 귀사가 최근 2,000명을 대상으로 최근 의료 서비스 경험에 대한 설문조사를 실시하여 해당 설문조사 결과를 공급업체에 보내 데이터베이스에 저장하도록 했지만, 공급업체는 계약서에 약속된 대로 데이터베이스 암호화를 하지 않았습니다. 결과적으로 공급업체는 데이터 통제권을 상실했습니다.
공급업체는 매우 사과하며 알림 발송을 책임지겠다고 합니다. 2,000장의 우표가 붙은 엽서를 따로 준비해 두면 우편으로 알림을 받는 데 걸리는 시간이 단축될 것이라고 합니다. 한 면에는 로고만 있고, 다른 면은 빈칸으로 되어 있어서 원하는 대로 써도 된다고 합니다. 제안을 보류하고 공간 제약을 고려하여 텍스트를 작성하기 시작합니다. 공급업체 로고가 알림과 함께 표시되는 것에 만족합니다.
이 알림에는 귀사가 최근 세인트 세바스찬 병원 감염병 클리닉에서의 최근 경험에 대한 정보를 저장하기 위해 업체를 고용했다는 내용이 포함되어 있습니다. 해당 업체는 정보를 암호화하지 않았으며 더 이상 통제할 수 없습니다. 영향을 받은 2,000명 전원에게 정보 관련 이메일 알림 수신을 신청해 주시기 바랍니다. 귀사 웹사이트에 접속하여 간단한 광고를 시청한 후 이름, 이메일 주소, 생년월일을 입력하시면 됩니다.
오전 9시 전에 사고 대응 위원회에 이메일을 보내 협조를 구합니다. 이 상황에서 문제가 발생하면 동료들에게 책임을 분산시키고 싶을 것입니다. 그 후 8시간 동안 모든 사람이 이메일을 주고받습니다. 사고 대응 팀을 이끄는 컨설턴트는 오늘이 회사에 첫 출근이지만 45년 동안 다른 업계에 종사해 왔기에 최선을 다하겠다고 말합니다. 위원회에 있는 세 명의 변호사 중 한 명 때문에 대화가 엉뚱한 방향으로 흘러가지만, 결국 다시 원래대로 돌아갑니다. 결국 그들은 당신이 작성한 통지문을 사용하고 공급업체의 엽서를 사용하기로 투표합니다.
공급업체가 엽서를 발송한 직후, 데이터가 도난당한 서버에 있었다는 사실을 알게 되고, 회사에서 신용 모니터링 서비스를 제공하기로 결정했습니다. 인터넷 검색을 통해 CRUDLOK(Credit Under Lock and Key)라는 그럴듯한 이름의 신용 모니터링 회사를 찾았습니다. 영업 담당자는 2,000명 규모의 계약을 처리해 본 경험이 없지만, 약 하루 만에 CRUDLOK을 통해 다음과 같은 혜택을 누릴 수 있다는 제안서를 작성했습니다.
1. 계약서에 서명한 다음 날 모든 사람에게 등록 초대장을 보냅니다.
2. 이름과 국민식별번호의 마지막 4자리만 사용하여 누군가를 등록합니다.
3. 등록일로부터 2년 동안 각 등록자의 신용을 모니터링합니다.
4. 신용 등급과 시장 금리로 신용 관련 서비스를 제공하는 내용을 담은 이메일을 매달 보냅니다.
5. 신용 회복 비용의 20%를 회사에 청구하세요.
계약을 체결하고 2,000명에게 등록 초대장을 이메일로 발송합니다. 3일 후, 잘 진행된 모든 사항과 개선할 수 있었던 사항을 기록합니다. 다음에 사고가 발생할 때 참고할 수 있도록 파일에 저장합니다.
신용 모니터링과 관련하여, 다음 중 가장 큰 우려 사항은 무엇일까요?