CIPM 문제 6

조직의 개인정보보호 프로그램을 시행할 때 정보주체에게 어떤 권리를 부여해야 할까요?

CIPM 문제 7

기술적 보안 제어 사용과 관련하여 다음 중 틀린 설명은 무엇입니까?

CIPM 문제 8

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
귀 기관인 시카고(미국)에 본부를 둔 도시녹지협회(Society for Urban Greenspace)는 수년간 동일한 업체(Shopping Cart Saver(SCS))를 통해 온라인 스토어 운영 전반을 진행해 왔습니다. 소규모 비영리 단체인 협회는 고가의 서비스를 이용할 여력이 없지만, 비교적 저렴한 업체인 SCS에 만족해 왔습니다. 물론 몇 가지 문제가 있었습니다. 두 차례에 걸쳐 스토어에서 상품을 구매한 고객의 신용카드 정보가 거래 후 부정하게 사용된 사례가 있었지만, 조사 결과 협회 스토어가 해킹당했다는 확실한 증거는 발견되지 않았습니다. 이러한 정보 유출은 직원의 과실로 발생했을 가능성도 있습니다.
더욱 당황스러웠던 것은 해당 조직이 SCS가 고객으로부터 수집한 정보를 제3자에게 판매했다는 사실을 발견한 사건이었습니다. 하지만 SCS 담당자인 제이슨 롤랜드가 지적했듯이, 고객께서 전화 한 통으로 오해를 바로잡자 그 이후로는 이러한 "오해"가 다시 발생하지 않았습니다.
협회 정보기술 프로그램 관리자로서 개인정보보호 전문가로서의 역할은 당신이 맡은 여러 역할 중 하나일 뿐입니다. 하지만 모든 사안에서 재정적인 측면을 고려해야 합니다. 개인정보보호 관련 문제가 심각했던 것은 사실이지만, 기념품 가게에서 판매하는 티셔츠나 커피잔 등의 추가 수익 또한 상당했습니다. 협회의 운영 예산은 빠듯하기 때문에 모든 수익원이 매우 중요합니다.
새로운 문제가 생겼습니다. 제이슨이 전화해서 2주 후부터 매장의 고객 데이터가 클라우드에 저장될 거라고 했습니다. "좋은 소식은," 그가 말했습니다. "핀란드에서 저렴한 서비스 제공업체를 찾았고, 데이터도 거기에 보관될 겁니다. 그래서 약간의 비용이 청구될 수는 있지만, 클라우드의 장점을 고려하면 결코 과도한 금액은 아닐 겁니다." 최근 클라우드 컴퓨팅에 대한 이야기를 많이 듣고 있고, 다양한 애플리케이션의 새로운 패러다임으로 빠르게 자리 잡고 있다는 것을 알고 있습니다. 하지만 개인정보 보호에 미칠 수 있는 잠재적 영향에 대해서는 의견이 분분합니다. 그래서 조사를 시작했고, 여러 주요 클라우드 서비스 제공업체들이 개인정보 보호를 위한 공통된 규정과 기술에 대해 협력하기로 의향서를 체결했다는 사실을 알게 되었습니다. 제이슨의 핀란드 서비스 제공업체도 이 의향서에 서명했는지 알아봐야겠다고 생각했습니다.
조사를 통해 클라우드 컴퓨팅에서 주요 데이터 보호 문제를 발견했습니다. 다음 중 가장 큰 우려 사항은 무엇일까요?

CIPM 문제 9

데이터 삭제 서비스를 아웃소싱할 때 가장 중요한 것은 무엇일까요?

CIPM 문제 10

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
당신은 유럽과 미주 여러 국가에 거주하는 개인 정보를 다루는 회사의 개인정보보호 부서를 이끌고 있습니다. 아침 개인정보보호 검토를 시작하려는데 계약 담당자로부터 전화 요청 메시지를 받았습니다. 메시지는 명확하지 않고 구체적이지 않지만, 데이터가 손실된 것으로 짐작됩니다.
계약 담당자에게 연락했더니, 그는 한 협력업체로부터 고객 정보를 부적절하게 공유했다는 내용의 편지를 받았다고 말했습니다. 담당자는 해당 협력업체에 전화하여 귀사가 최근 2,000명을 대상으로 최근 의료 서비스 이용 경험에 대한 설문조사를 실시하고, 그 결과를 데이터베이스에 입력하기 위해 협력업체에 보냈지만, 계약서에 명시된 대로 데이터베이스를 암호화하지 않아 협력업체가 데이터에 대한 통제권을 잃었다는 사실을 확인했습니다.
판매자는 매우 미안해하며 통지서 발송에 대한 책임을 지겠다고 제안합니다. 우표가 붙은 엽서 2,000장을 따로 준비해 두었으니 우편 발송 시간을 단축할 수 있을 거라고 말합니다. 엽서 한쪽 면에는 회사 로고만 넣을 수 있고, 다른 한쪽 면은 비어 있으니 원하는 내용을 자유롭게 적어 넣으라고 합니다. 당신은 일단 제안을 보류하고 공간 제약에 맞춰 내용을 작성하기 시작합니다. 판매자의 로고가 통지서에 포함되는 것은 감수하기로 합니다.
이 알림은 귀사가 최근 세인트 세바스찬 병원 감염병 클리닉에서 받은 최근 진료 기록 정보를 저장하기 위해 외부 업체와 계약을 체결했음을 설명합니다. 해당 업체는 정보를 암호화하지 않았으며 더 이상 해당 정보에 대한 관리 권한을 갖고 있지 않습니다. 영향을 받은 2,000명 모두에게 정보 관련 이메일 알림을 신청하도록 안내하고 있습니다. 신청자는 귀사 웹사이트에 접속하여 간단한 광고를 시청한 후 이름, 이메일 주소, 생년월일(월/년)을 입력하면 됩니다.
오전 9시 전에 사고 대응 위원회에 이메일을 보내 승인을 받습니다. 만약 이 과정에서 문제가 발생할 경우, 책임을 동료들에게 분산시키고 싶기 때문입니다. 이후 8시간 동안 모든 구성원이 이메일을 통해 의견을 주고받습니다. 사고 대응팀을 이끄는 컨설턴트는 회사에 입사한 첫날이지만, 다른 업계에서 45년간 경력을 쌓아왔기에 최선을 다하겠다고 말합니다. 위원회 소속 변호사 세 명 중 한 명이 대화의 방향을 잠시 다른 곳으로 돌리지만, 결국 다시 본론으로 돌아옵니다. 하루가 끝날 무렵, 그들은 당신이 작성한 통지서대로 공급업체에서 제공한 엽서를 사용하기로 투표합니다.
판매자가 엽서를 발송한 직후, 데이터가 도난당한 서버에 저장되어 있었다는 사실을 알게 되고, 회사에서 신용 모니터링 서비스를 제공하기로 결정합니다. 인터넷 검색을 통해 그럴듯한 이름을 가진 신용 모니터링 회사, CRUDLOK(Credit Under Lock and Key)을 찾습니다. 영업 담당자는 2,000명 규모의 계약을 다뤄본 적은 없지만, 하루 만에 CRUDLOK이 다음과 같은 서비스를 제공한다는 내용의 제안서를 작성합니다.
1. 계약서 서명 다음 날 모든 사람에게 등록 초대장을 보내십시오.
2. 이름과 주민등록번호 뒷자리 4자리만으로 등록할 수 있습니다.
3. 등록일로부터 2년간 각 등록자의 학점을 모니터링하십시오.
4. 매달 고객의 신용 등급과 시장 금리에 따른 신용 관련 서비스 제공 내용을 담은 이메일을 발송합니다.
5. 신용 회복 비용의 20%를 회사에 청구하십시오.
계약을 체결하고 2,000명에게 등록 초대 이메일을 발송합니다. 3일 후, 모든 일이 잘 진행된 점과 개선할 수 있었던 점을 기록합니다. 그리고 다음에 비슷한 일이 발생할 때 참고할 수 있도록 파일에 보관합니다.
사고 대응 협의회의 가장 우려스러운 한계점은 무엇입니까?