CIPM 문제 61

대본
다음 질문에 답하실 때 아래 내용을 참고해 주세요.
당신은 최근 InStyle Data Corp에 개인정보 관리자로 채용되어 InStyle Data Corp가 새로운 데이터 보호법을 준수하도록 지원하는 업무를 맡게 되었습니다. 이 법은 기업이 개인 데이터를 보호하기 위해 합리적이고 적절한 보안 조치를 마련하도록 의무화하고 있습니다. 이 법을 위반할 경우 막대한 벌금이 부과되며, 입법부는 새로운 법을 준수하지 않는 기업에 대해 강력한 조치를 취할 것이라고 밝혔습니다. 당신은 보안 관리자와 함께 InStyle Data Corp의 현황을 검토하고 "합리적이고 적절한 보안" 요건을 충족할 수 있는 방안을 제시하는 임무를 맡았습니다. InStyle Data Corp는 급속도로 성장했지만 데이터 인벤토리나 데이터 매핑을 제대로 구축하지 못했습니다. 또한, 보안 관련 정책을 임시방편으로 수립했으며, 그중 상당수는 실제로 시행되지 않았습니다. InStyle Data Corp 제품 개발 및 테스트에 참여하는 여러 팀은 인력 변동이 잦고 역할 분담이 명확하지 않습니다. 어떤 제품이 어떤 목적으로 어떤 개인 데이터를 처리하는지에 대한 문서도 부족합니다. InStyle Data Corp가 법 시행 전에 법규를 준수할 수 있도록 이 프로젝트는 즉시 시작해야 합니다. 귀하와 귀하의 파트너는 InStyle Data Corp가 민감한 개인 정보가 포함된 파일을 고객에게 정기적으로 이메일로 전송하며, 때로는 InStyle Data Corp 직원의 개인 이메일 계정을 사용하는 것을 발견했습니다. 또한, InStyle Data Corp의 개인정보 보호 및 정보 보안 팀은 새로운 개인 정보 흐름, 개인 정보를 처리하는 InStyle Data Corp에서 개발한 새로운 제품, 또는 개인 정보 처리 방식이 변경될 수 있는 기존 InStyle Data Corp 제품 업데이트에 대해 제품 출시 이후에야 통보받는다는 사실을 알게 되었습니다.
InStyle Data Corp의 테스트 및 개발 환경 로그를 검토한 결과, InStyle Data Corp가 요청하는 모든 InStyle Data Corp 직원이나 계약업체에게 로그인 자격 증명을 제공하는 경우가 있음을 발견했습니다.
테스트 환경에는 더미 데이터만 포함되어 있지만 개발 환경에는 사회 보장 번호, 가족 정보 및 금융 정보를 포함한 개인 데이터가 포함되어 있습니다. InStyle Data Corp의 모든 자격을 갖춘 직원과 계약자는 직책이나 담당 프로젝트에 관계없이 두 환경 모두에서 개인 데이터를 수정하고 삭제할 수 있습니다.
귀하와 귀하의 파트너는 발견한 문제점과 권장되는 개선 조치, 그리고 이행 정도를 측정할 수 있는 방법을 명시한 격차 분석 보고서를 제출했습니다. InStyle Data Corp는 권장되는 모든 보안 통제를 구현했습니다. 귀하는 각 단계에서 개인 데이터를 적절하게 보호하기 위해 취해진 프로세스, 역할, 통제 및 조치를 검토했습니다. 그러나 모니터링 계획이 없고, 업데이트된 정책 및 절차 위반에 대한 제재 조치가 마련되어 있지 않다는 것을 알게 되었습니다. InStyle Data Corp는 그러한 모니터링을 위한 자원이 없다고 주장하며 반박했습니다.
규정을 준수하는 데 필요한 리소스를 확보하지 못하면 데이터 관리 수명 주기의 어떤 측면이 여전히 해결되지 않은 채로 남게 될까요?

CIPM 문제 62

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
리암은 미국에 본사를 두고 전 세계적으로 전자상거래 사업을 운영하는 아웃도어 의류 브랜드 메사에 새로 임명된 정보 기술(IT) 규정 준수 관리자입니다. 입사 2주 차에 그는 회사 IT 감사팀으로부터 연락을 받는데, 감사팀이 한 달 안에 메사의 개인정보 보호 규정 준수 위험에 대한 검토를 진행할 예정이라는 통보입니다.
감사에 대해 약간 불안해하던 리암은 상사에게 전임자가 퇴사하기 전에 개인정보 보호 규정 준수와 관련하여 어떤 업무를 처리했는지 물었다. 상사는 웹사이트에 동의 관리 도구를 추가했고, 작년에 소규모 컨설팅 회사에 의뢰하여 개인정보 위험 평가를 진행했는데, 현재의 통제 환경을 고려할 때 위험 노출도가 상대적으로 낮다는 결론을 내렸다고 답했다. 하지만 리암은 컨설팅 보고서를 읽고 나서야 평가 범위가 미국의 개인정보 유출 통지법과 PCI DSS(결제카드산업 데이터 보안 표준)에만 국한되어 있음을 깨달았다.
새로운 팀원들을 실망시키고 싶지 않았던 리암은 보고서에 대한 우려를 속으로만 간직한 채 감사 전에 추가적인 안전장치를 마련해 보기로 했다. 이전 직장에서 개인정보 보호 규정 준수 경험이 있었던 리암은 전자상거래 및 마케팅 팀과 논의를 시작하는 것이 좋겠다고 생각했다.
전자상거래 담당 이사는 CIO가 홈페이지에 강제로 배치한 쿠키 동의 도구를 여전히 사용하고 있지만, 사무실이 캘리포니아나 유럽에 있지 않은데 왜 필요한지 이해할 수 없다고 말했다. 마케팅 담당 이사는 이메일 목록 구매와 무차별적인 다이렉트 마케팅 전략을 통해 부서가 거둔 성공을 자랑했다. 두 이사 모두 웹사이트에 추적 도구를 도입하여 고객 경험을 개선하고 고객이 어디에서 쇼핑했는지 파악하는 것이 중요하다고 강조했다. 리암은 만나는 사람이 많아질수록 메사의 개인정보 보호 인식과 전반적인 통제 환경에 개선이 필요하다는 것을 더욱 분명히 깨달았다.
감사를 3주 앞두고 리암은 경쟁사 웹사이트에서 가져온 개인정보 보호 고지를 직접 수정하여 업데이트했습니다. 또한 메사 내 개인정보 보호 관련 역할과 책임을 명시한 정책 및 절차를 작성하여 개인정보에 접근 권한이 있는 모든 부서에 배포했습니다.
이 기간 동안 리암은 고객 서비스 관리자가 전달한 개인정보 삭제 요청 처리 업무도 마무리했습니다. 리암은 애플리케이션 담당자들과 협력하여 고객 관계 관리(CRM) 시스템, 전사적 자원 관리(ERP) 시스템, 데이터 웨어하우스 및 이메일 서버에서 해당 개인의 정보와 주문 내역을 삭제했습니다.
감사 착수 회의에서 리암은 상사와 팀원들에게 개선의 여지가 여전히 있을 수 있지만, 지금까지 자신이 수행한 업무를 바탕으로 위험은 적절한 수준으로 완화되었다고 생각한다고 설명했습니다.
감사가 완료된 후, 감사 관리자와 리암은 감사팀의 조사 결과를 논의하기 위해 만났고, 리암은 크게 실망했습니다. 감사 이전에 그가 수행했던 모든 업무가 지배구조 및 위험 완화에 대한 모범 사례를 따르지 않았다는 사실을 알게 된 것입니다. 실제로 그의 행동은 회사를 추가적인 위험과 조사에 노출시켰을 뿐이었습니다. 이러한 조사 결과를 바탕으로 리암은 외부 법률 고문 및 전문 개인정보보호 컨설턴트와 협력하여 시정 계획을 수립했습니다.
메사의 전자상거래 및 마케팅 활동이 GDPR을 준수해야 하는 이유는 무엇일까요?

CIPM 문제 63

GDPR에 따라 데이터 관리자 또는 데이터 처리자는 데이터 보호 책임자(DPO)를 임명한 후 어떤 의무를 지게 됩니까?

CIPM 문제 64

데이터 삭제 서비스를 아웃소싱할 때 가장 중요한 것은 무엇일까요?

CIPM 문제 65

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
존은 명망 높은 국제 로펌인 A&M LLP의 새로운 개인정보보호 책임자입니다. A&M LLP는 미국과 유럽 양국에서 신탁 및 상속, 인수합병 분야에서 쌓아온 명성을 매우 자랑스럽게 생각합니다.
정보기술부 동료와 점심을 먹던 중 존은 IT 부서장인 데릭이 회사의 이메일 연속성 서비스를 기존 이메일 보안 업체인 메시지세이프(MessageSafe)에 아웃소싱할 예정이라는 이야기를 들었습니다. 이메일 보안 업체로서 성공을 거둔 메시지세이프는 A&M LLP의 이메일 연속성 서비스를 호스팅하기 위해 클라우드 회사(Cloud Inc.)로부터 클라우드 인프라를 임대하여 사업을 확장하고 있었습니다.
존은 이 계획에 대해 매우 우려하고 있습니다. 그는 6개월 전 메시지세이프가 보안 침해 사고로 언론에 보도되었던 것을 떠올렸습니다. 존은 즉시 메시지세이프의 이전 침해 사고에 대해 조사했고, 그 사고가 IT 관리자의 부주의한 실수로 발생했다는 것을 알게 되었습니다. 그는 자신의 우려 사항을 전달하기 위해 데릭과 회의를 잡았습니다.
회의에서 데릭은 이메일이 로펌 변호사들이 고객과 소통하는 주요 수단이므로 이메일 시스템 중단을 방지하기 위해 이메일 연속성 서비스를 확보하는 것이 매우 중요하다고 강조했습니다.
데릭은 5년 동안 MessageSafe의 스팸 방지 서비스를 이용해 왔으며, MessageSafe가 제공하는 서비스 품질에 매우 만족하고 있습니다. MessageSafe가 제공하는 상당한 할인 혜택 외에도, 데릭은 이미 MessageSafe와 서비스 계약을 체결했기 때문에 온보딩 프로세스를 신속하게 진행할 수 있다는 점을 강조했습니다. 현재 사용 중인 사내 이메일 연속성 솔루션의 지원 종료 시점이 임박했으며, 데릭은 다른 솔루션을 찾을 시간과 자원이 부족한 상황입니다.
또한, 오프프레미스 이메일 연속성 서비스는 A&M LLP의 기본 및 보조 데이터 센터의 이메일 서비스가 모두 중단된 경우에만 활성화되며, 연속성 서비스를 위해 MessageSafe 사이트에 저장된 이메일 메시지는 30일 후 자동으로 삭제됩니다.
다음 중 조직 간의 관계에 대한 설명으로 옳은 것은 무엇입니까?