CIPM 문제 141

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
새 최고경영자(CEO)로 취임한 토마스 고다드는 데이터 보호 분야의 리더로 인정받고 싶어합니다. 고다드는 최근까지 전 세계 수백만 명의 사용자를 보유한 온라인 비디오 시청 플랫폼 후피닷컴(Hoopy.com)의 최고재무책임자(CFO)를 역임했습니다. 하지만 후피는 마케터에게 개인 정보를 무단으로 판매하는 등 윤리적으로 문제가 있는 관행으로 개인정보 보호 단체들 사이에서 악명이 높습니다.
후피는 신용카드 정보 유출 사건의 표적이 되어 전 세계적으로 큰 화제를 모았는데, 회사 측의 주장과는 달리 최소 200만 개의 신용카드 번호가 도난당한 것으로 추정됩니다.
"적절한" 데이터 보호 조치가 마련되어 있었다. 이 스캔들은 회사의 사업에 영향을 미쳤고, 경쟁사들은 비슷한 엔터테인먼트 및 미디어 콘텐츠를 제공하면서도 더욱 강화된 보호 수준을 내세워 빠르게 시장에 진출했다. 스캔들이 터진 지 3주 만에, 고다드의 멘토였던 후피의 창립자 겸 CEO인 맥스웰 마틴은 사임해야 했다.
하지만 고다드는 다행히도 신생 기업에서 CEO 자리를 확보하며 위기를 극복한 것으로 보입니다. 그는 업계 최고 수준의 데이터 보호 기준과 절차를 기반으로 메디아라이트의 브랜드를 구축하겠다는 비전을 이사회와 투자자들에게 설득력 있게 제시했습니다.
그는 과거에 개인정보 보호 문제에 있어 문제가 많았던, 심지어는 불량 조직의 핵심 인물이었을지도 모릅니다. 하지만 이제 그는 개과천선하여 개인정보 보호의 진정한 신봉자가 되었다고 주장합니다. 입사 첫 주, 그는 당신을 사무실로 불러 자신의 개인정보 보호 비전을 실현하는 것이 당신의 주요 업무라고 설명합니다. 하지만 당신은 그의 말에 약간의 불안감을 느낍니다. "메디아라이트는 최고 수준의 기준을 갖춰야 합니다."라고 그는 말합니다. "사실, 저는 우리가 개인정보 보호 및 데이터 보호 분야에서 명실상부한 업계 선두주자라고 말할 수 있기를 바랍니다. 하지만 저는 회사의 재정을 책임감 있게 관리해야 합니다. 따라서 모든 분야에서 최상의 솔루션을 원하지만, 비용 효율성 또한 중요합니다." 당신은 일주일 안에 권고안을 제출하라는 지시를 받습니다. 이 모호한 임무를 부여받고, 당신은 다음 행보를 고민하며 임원실을 나섭니다.
당신은 신제품 및 사업 계획에 대한 개인정보 보호 장치를 마련하는 책임을 맡고 있습니다. 이를 위한 최선의 방법은 무엇일까요?

CIPM 문제 142

특정 문제를 해결하기 위한 효과적인 직원 정책을 수립할 때, 초안에 다음 중 어떤 내용이 포함되어야 할까요?

CIPM 문제 143

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
존은 명망 높은 국제 로펌인 A&M LLP의 새로운 개인정보보호 책임자입니다. A&M LLP는 미국과 유럽 양국에서 신탁 및 상속, 인수합병 분야에서 쌓아온 명성을 매우 자랑스럽게 생각합니다.
정보기술부 동료와 점심을 먹던 중 존은 IT 부서장인 데릭이 회사의 이메일 연속성 서비스를 기존 이메일 보안 업체인 메시지세이프(MessageSafe)에 아웃소싱할 예정이라는 이야기를 들었습니다. 이메일 보안 업체로서 성공을 거둔 메시지세이프는 A&M LLP의 이메일 연속성 서비스를 호스팅하기 위해 클라우드 회사(Cloud Inc.)로부터 클라우드 인프라를 임대하여 사업을 확장하고 있었습니다.
존은 이 계획에 대해 매우 우려하고 있습니다. 그는 6개월 전 메시지세이프가 보안 침해 사고로 언론에 보도되었던 것을 떠올렸습니다. 존은 즉시 메시지세이프의 이전 침해 사고에 대해 조사했고, 그 사고가 IT 관리자의 부주의한 실수로 발생했다는 것을 알게 되었습니다. 그는 자신의 우려 사항을 전달하기 위해 데릭과 회의를 잡았습니다.
회의에서 데릭은 이메일이 로펌 변호사들이 고객과 소통하는 주요 수단이므로 이메일 서비스 중단을 방지하기 위해 이메일 연속성 서비스가 필수적이라고 강조했습니다. 데릭은 5년 동안 MessageSafe의 스팸 방지 서비스를 사용해 왔으며 MessageSafe의 서비스 품질에 매우 만족하고 있습니다. MessageSafe가 제공하는 상당한 할인 혜택 외에도, 데릭은 이미 MessageSafe와 서비스 계약을 체결했기 때문에 온보딩 프로세스를 신속하게 진행할 수 있다고 강조했습니다. 현재 사용 중인 온프레미스 이메일 연속성 솔루션은 곧 서비스 수명이 다할 예정이며, 데릭은 다른 솔루션을 찾을 시간과 자원이 부족하다고 밝혔습니다. 또한, 오프프레미스 이메일 연속성 서비스는 A&M LLP의 주 및 보조 데이터 센터의 이메일 서비스가 모두 중단될 경우에만 가동되며, 연속성 서비스를 위해 MessageSafe 사이트에 저장된 이메일 메시지는 30일 후 자동으로 삭제됩니다.
다음 중 A&M LLP의 이메일 연속성 서비스 제공업체인 MessageSafe의 의무가 아닌 것은 무엇입니까?

CIPM 문제 144

개인정보 보호에서 "적용 대상 기관"이란 무엇인가요?

CIPM 문제 145

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
앨버트는 15년 동안 미국에 있는 통신 판매 회사인 트레저 박스에서 일해 왔습니다. 이 회사는 예전에는 전 세계에 장식용 양초를 판매했지만, 최근에는 배송 대상을 미국 내 고객으로 제한하기로 결정했습니다.
미국 본토 48개 주. 오랜 경력에도 불구하고 앨버트는 관리직에서 자주 배제됩니다. 승진하지 못하는 것에 대한 좌절감과 최근 개인정보 보호 문제에 대한 관심이 맞물려 앨버트는 긍정적인 변화를 만들어내고자 하는 동기를 갖게 되었습니다.
앨버트는 곧 새로 공고된 자리에 면접을 볼 예정인데, 면접 과정에서 회사 임원들에게 회사 개인정보 보호 프로그램의 허점을 알릴 계획입니다. 그는 회사의 낡은 정책과 절차로 인해 발생할 수 있는 부정적인 결과를 막았으니 승진할 수 있을 거라고 확신하고 있습니다.
예를 들어, 알버트는 미국 공인회계사협회(AICPA)와 캐나다 공인회계사협회(CICA)의 개인정보보호 성숙도 모델(PMM)에 대해 알게 되었습니다. 알버트는 이 모델이 트레저 박스의 개인정보 보호 능력을 측정하는 데 유용한 방법이라고 생각합니다. 알버트는 트레저 박스가 이 모델의 최고 수준 성숙도 요건을 충족하지 못한다는 점을 파악했으며, 면접에서 고객에게 최고 수준의 보안을 제공할 수 있도록 회사가 이 수준을 달성하도록 돕겠다고 약속할 것입니다.
알버트는 면접에서 긍정적인 모습을 보여주고 싶어 합니다. 그는 외부 위협으로부터 고객과 직원의 개인 정보를 보호하기 위한 회사의 노력을 칭찬할 생각입니다. 하지만 알버트는 회사 내, 특히 전화 마케팅 부문의 높은 이직률을 우려하고 있습니다. 그는 매일 마케팅 업무를 위해 새로 고용된 낯선 얼굴들을 많이 보게 되고, 점심시간에 휴게실에서 장시간 근무와 낮은 임금, 그리고 회사 절차를 노골적으로 무시하는 듯한 태도에 대한 불만을 자주 듣습니다.
게다가 트레저 박스는 최근 두 차례의 보안 사고를 겪었습니다. 회사는 내부 감사와 보안 강화 조치를 통해 대응했지만, 수익에는 여전히 악영향을 받고 있으며, 많은 사람들이 여전히 불신을 품고 있다는 정황 증거도 있습니다. 알버트는 회사가 회복할 수 있도록 돕고 싶어합니다.
앨버트는 대중에게 알려지지 않은 사건이 적어도 하나 있다는 것을 알고 있지만, 자세한 내용은 알지 못합니다. 그는 회사가 그 사건을 비밀로 하려는 태도가 회사의 명성에 더욱 악영향을 미칠 수 있다고 생각합니다. 앨버트는 트레저 박스의 명성을 되찾는 또 다른 방법으로 고객을 위한 무료 전화번호를 개설하고, 우편을 통한 고객 문의 응대 절차를 개선하고자 합니다.
알버트는 개선 방안에 대한 제안 외에도 회사의 최근 사업 동향에 대한 자신의 지식이 면접관들에게 좋은 인상을 줄 것이라고 생각합니다. 예를 들어, 알버트는 회사가 향후 몇 주 안에 의료용품 회사를 인수할 계획이라는 사실을 알고 있습니다.
알버트는 미래지향적인 사고방식을 바탕으로 면접관들에게 자신이 그 직책에 적합한 인물임을 확신시켜주기를 바란다.
앨버트가 트레저 박스의 최근 보안 사고 대응과 관련하여 고려하지 못한 중요한 요소는 무엇일까요?