CIPM 문제 121

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
마틴 브리세뇨는 미국 호텔 체인 퍼시픽 스위트의 캐니언 시티 지점 인사부장입니다. 1998년, 브리세뇨는 현장 직원에서 관리자로 승진하는 직원들을 위한 표준화된 교육 프로그램으로 호텔의 사내 멘토링 모델을 바꾸기로 결정했습니다. 그는 일련의 강의, 시나리오, 평가로 구성된 커리큘럼을 개발하여 소규모 그룹을 대상으로 대면 교육을 진행했습니다. 교육에 대한 관심이 높아지자, 브리세뇨는 기업 인사 전문가 및 소프트웨어 엔지니어와 협력하여 프로그램을 온라인 형식으로 제공하기 시작했습니다. 온라인 프로그램 덕분에 강사 비용을 절감할 수 있었고, 참가자들은 자신의 속도에 맞춰 학습할 수 있었습니다.
브리세뇨의 프로그램 성공 소식을 접한 퍼시픽 스위트의 부사장 메리앤 실바-헤이즈는 교육 프로그램을 확대하여 회사 전체에 제공했습니다. 프로그램을 이수한 직원들은 퍼시픽 스위트 호텔리어 자격증을 받았습니다. 2001년에는 이 프로그램이 업계 전반으로 확대되어 전국 호텔 직원들이 온라인으로 등록하고 수강료를 지불할 수 있게 되었습니다.
프로그램의 수익성이 점차 높아짐에 따라, 퍼시픽 스위트는 퍼시픽 호스피탤리티 트레이닝(PHT)이라는 자회사를 설립했습니다. PHT는 호텔업계의 다양한 전문 자격증을 제공하는 여러 온라인 강좌 및 교육 과정을 개발하고 판매하는 데 전념했습니다.
PHT에 사용자 계정을 생성하면 교육 참가자는 정보 라이브러리에 접속하고, 교육 과정에 등록하고, 과정 수료증을 받을 수 있었습니다. 사용자가 새 계정을 만들면 이름, 생년월일, 연락처 정보, 신용카드 정보, 고용주 및 직책을 포함한 모든 정보가 기본적으로 저장되었습니다. 등록 페이지에는 사용자가 신용카드 번호를 저장하지 않도록 선택할 수 있는 옵션이 제공되었습니다. 사용자 이름과 비밀번호를 설정한 후에는 교육 과정 진행 상황을 확인하고, 수료증을 검토 및 재인쇄하고, 새로운 교육 과정에 등록하고 결제할 수 있었습니다. 2002년부터
2008년 PHT는 70만 건 이상의 전문 자격증을 발급했습니다.
PHT의 수익은 업계 구조조정과 온라인 교육 제공업체와의 경쟁 심화로 인해 2009년과 2010년에 감소했습니다. 2011년에는 퍼시픽 스위트가 온라인 자격증 사업에서 철수했고, PHT는 해체되었습니다. 교육 프로그램의 시스템과 기록은 퍼시픽 스위트의 디지털 아카이브에 그대로 남아 접근도 사용되지 않았습니다. 브리세뇨와 실바-헤이즈는 다른 회사로 이직했고, 프로그램 종료 후 아카이브 데이터를 처리할 계획은 없었습니다. PHT가 해체된 후, 퍼시픽 스위트 경영진은 중요한 일상 업무에 집중했습니다. 그들은 여력이 생기는 대로 PHT 자료를 처리할 계획이었습니다.
2012년, 퍼시픽 스위트 호텔의 컴퓨터 네트워크가 해킹당했습니다. 온라인 예약 시스템에 설치된 악성 소프트웨어로 인해 수백 명의 호텔 투숙객의 신용카드 정보가 유출되었습니다. 해커들은 예약 사이트의 금융 데이터를 노리는 과정에서 퍼시픽 호스피탤리티 트레이닝(PHT) 고객들의 교육 과정 데이터와 등록 계정 정보까지 발견했습니다. 이 해킹으로 인해 최근 호텔 투숙객들의 신용카드 번호와 PHT 데이터베이스 전체가 유출되는 참사가 발생했습니다.
퍼시픽 스위트의 시스템 분석가는 일상적인 활동 보고서 검토 중 정보 보안 침해 사실을 발견했습니다. 퍼시픽 스위트는 심각한 피해를 막기 위해 신용카드 회사와 최근 호텔 투숙객들에게 침해 사실을 신속하게 알렸습니다. 기술 보안 엔지니어들은 PHT 데이터 처리에서 어려움을 겪었습니다.
PHT의 교육 과정 관리자와 IT 엔지니어들은 정보 추적, 분류 및 저장 시스템을 갖추고 있지 않았습니다. 퍼시픽 스위트는 데이터 접근 및 저장에 대한 절차를 마련해 두었지만, PHT가 설립될 당시에는 이러한 절차가 실행되지 않았습니다. 퍼시픽 스위트가 PHT 데이터베이스를 인수했을 당시에는 소유자나 관리 책임자가 없었습니다. 기술 보안 엔지니어들이 어떤 개인 정보가 유출되었는지 파악했을 때는 이미 최소 8,000명의 신용카드 소지자가 사기 행위의 잠재적 피해자였을 가능성이 있었습니다.
강력한 데이터 수명 주기 관리 정책이 이번 데이터 유출을 막는 데 어떻게 도움이 되었을까요?

CIPM 문제 122

(고객의 거부권 행사에 적용되는 법률은 무엇입니까?)

CIPM 문제 123

네트워크 및 스토리지의 취약점을 신속하게 파악하는 데 어떤 솔루션이 가장 도움이 될까요?

CIPM 문제 124

개인정보보호 전문가가 수집할 지표를 선택할 때 무엇을 염두에 두어야 할까요?

CIPM 문제 125

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
앨버트는 15년 동안 미국에 있는 통신 판매 회사인 트레저 박스에서 일해 왔습니다. 이 회사는 예전에는 전 세계에 장식용 양초를 판매했지만, 최근에는 배송 대상을 미국 내 고객으로 제한하기로 결정했습니다.
미국 본토 48개 주. 오랜 경력에도 불구하고 앨버트는 관리직에서 자주 배제됩니다. 승진하지 못하는 것에 대한 좌절감과 최근 개인정보 보호 문제에 대한 관심이 맞물려 앨버트는 긍정적인 변화를 만들어내고자 하는 동기를 갖게 되었습니다.
앨버트는 곧 새로 공고된 자리에 면접을 볼 예정인데, 면접 과정에서 회사 임원들에게 회사 개인정보 보호 프로그램의 허점을 알릴 계획입니다. 그는 회사의 낡은 정책과 절차로 인해 발생할 수 있는 부정적인 결과를 막았으니 승진할 수 있을 거라고 확신하고 있습니다.
예를 들어, 알버트는 미국 공인회계사협회(AICPA)와 캐나다 공인회계사협회(CICA)의 개인정보보호 성숙도 모델(PMM)에 대해 알게 되었습니다. 알버트는 이 모델이 트레저 박스의 개인정보 보호 능력을 측정하는 데 유용한 방법이라고 생각합니다. 알버트는 트레저 박스가 이 모델의 최고 수준 성숙도 요건을 충족하지 못한다는 점을 파악했으며, 면접에서 고객에게 최고 수준의 보안을 제공할 수 있도록 회사가 이 수준을 달성하도록 돕겠다고 약속할 것입니다.
알버트는 면접에서 긍정적인 모습을 보여주고 싶어 합니다. 그는 외부 위협으로부터 고객과 직원의 개인 정보를 보호하기 위한 회사의 노력을 칭찬할 생각입니다. 하지만 알버트는 회사 내, 특히 전화 마케팅 부문의 높은 이직률을 우려하고 있습니다. 그는 매일 마케팅 업무를 위해 새로 고용된 낯선 얼굴들을 많이 보게 되고, 점심시간에 휴게실에서 장시간 근무와 낮은 임금, 그리고 회사 절차를 노골적으로 무시하는 듯한 태도에 대한 불만을 자주 듣습니다.
게다가 트레저 박스는 최근 두 차례의 보안 사고를 겪었습니다. 회사는 내부 감사와 보안 강화 조치를 통해 대응했지만, 수익에는 여전히 악영향을 받고 있으며, 많은 사람들이 여전히 불신을 품고 있다는 정황 증거도 있습니다. 알버트는 회사가 회복할 수 있도록 돕고 싶어합니다.
앨버트는 대중에게 알려지지 않은 사건이 적어도 하나 있다는 것을 알고 있지만, 자세한 내용은 알지 못합니다. 그는 회사가 그 사건을 비밀로 하려는 태도가 회사의 명성에 더욱 악영향을 미칠 수 있다고 생각합니다. 앨버트는 트레저 박스의 명성을 되찾는 또 다른 방법으로 고객을 위한 무료 전화번호를 개설하고, 우편을 통한 고객 문의 응대 절차를 개선하고자 합니다.
알버트는 개선 방안에 대한 제안 외에도 회사의 최근 사업 동향에 대한 자신의 지식이 면접관들에게 좋은 인상을 줄 것이라고 생각합니다. 예를 들어, 알버트는 회사가 향후 몇 주 안에 의료용품 회사를 인수할 계획이라는 사실을 알고 있습니다.
알버트는 미래지향적인 사고방식을 바탕으로 면접관들에게 자신이 그 직책에 적합한 인물임을 확신시켜주기를 바란다.
회사의 새로운 계획들을 고려할 때, 알버트가 인터뷰에서 개인정보보호팀의 우선적인 관심사로 언급하기에 가장 적절한 법률 및 규정은 다음 중 무엇일까요?