CIPM 문제 146

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
존은 명망 높은 국제 로펌인 A&M LLP의 새로운 개인정보보호 책임자입니다. A&M LLP는 미국과 유럽 양국에서 신탁 및 상속, 인수합병 분야에서 쌓아온 명성을 매우 자랑스럽게 생각합니다.
정보기술부 동료와 점심을 먹던 중 존은 IT 부서장인 데릭이 회사의 이메일 연속성 서비스를 기존 이메일 보안 업체인 메시지세이프(MessageSafe)에 아웃소싱할 예정이라는 이야기를 들었습니다. 이메일 보안 업체로서 성공을 거둔 메시지세이프는 A&M LLP의 이메일 연속성 서비스를 호스팅하기 위해 클라우드 회사(Cloud Inc.)로부터 클라우드 인프라를 임대하여 사업을 확장하고 있었습니다.
존은 이 계획에 대해 매우 우려하고 있습니다. 그는 6개월 전 메시지세이프가 보안 침해 사고로 언론에 보도되었던 것을 떠올렸습니다. 존은 즉시 메시지세이프의 이전 침해 사고에 대해 조사했고, 그 사고가 IT 관리자의 부주의한 실수로 발생했다는 것을 알게 되었습니다. 그는 자신의 우려 사항을 전달하기 위해 데릭과 회의를 잡았습니다.
회의에서 데릭은 이메일이 로펌 변호사들이 고객과 소통하는 주요 수단이므로 이메일 시스템 중단을 방지하기 위해 이메일 연속성 서비스를 확보하는 것이 매우 중요하다고 강조했습니다.
데릭은 5년 동안 MessageSafe의 스팸 방지 서비스를 이용해 왔으며, MessageSafe가 제공하는 서비스 품질에 매우 만족하고 있습니다. MessageSafe가 제공하는 상당한 할인 혜택 외에도, 데릭은 이미 MessageSafe와 서비스 계약을 체결했기 때문에 온보딩 프로세스를 신속하게 진행할 수 있다는 점을 강조했습니다. 현재 사용 중인 사내 이메일 연속성 솔루션의 지원 종료 시점이 임박했으며, 데릭은 다른 솔루션을 찾을 시간과 자원이 부족한 상황입니다.
또한, 오프프레미스 이메일 연속성 서비스는 A&M LLP의 기본 및 보조 데이터 센터의 이메일 서비스가 모두 중단된 경우에만 활성화되며, 연속성 서비스를 위해 MessageSafe 사이트에 저장된 이메일 메시지는 30일 후 자동으로 삭제됩니다.
다음 중 A&M LLP로부터 수신한 개인 데이터를 보호하기 위해 MessageSafe가 적절한 기술적 대응 조치를 이행하도록 강제하는 데 가장 효과적인 통제 방법은 무엇입니까?

CIPM 문제 147

다음 중 독립적인 개인정보보호 단체가 건전한 개인정보보호 관행을 장려하기 위해 활동할 가능성이 가장 높은 방법은 무엇입니까?

CIPM 문제 148

대본
다음 질문에 답하려면 아래 내용을 참고하세요.
당신은 국립 산림 공원 및 레크리에이션 부서의 개인정보보호 담당 부서에서 개인정보보호 관리자로 근무하고 있습니다.
IT 부서 동료와 점심을 먹던 중, IT 부서장이 공원 방문객의 개인 정보를 수집하는 시스템 개발을 위한 제안 요청서(RFP)를 발표했다는 사실을 알게 됩니다.
IT 부서의 다른 동료 몇 명과 상의한 결과, 제안요청서(RFP)의 문구가 업체들이 전국 공원에 차량이나 도보로 출입하는 사람들로부터 어떤 정보를 수집할지 직접 입증하도록 되어 있다는 것을 알게 되었습니다. 수집되는 정보의 일부 목록은 다음과 같습니다.
* 이름, 주소, 나이, 성별과 같은 개인 식별 정보;
* 차량 등록 정보:
* 공원 방문객들의 얼굴 이미지;
* 건강 정보(예: 신체 장애, 이동 보조 장치 사용) 본 제안요청서(RFP)의 명시된 목적은 다음과 같습니다.
"국립 산림·공원·레크리에이션 부서의 서비스 이용 현황 추적 및 모니터링 능력을 향상시켜 고객 데이터의 정확성을 높이고 서비스 제공을 개선합니다." 이미 여러 기업에서 이러한 정보 수집 방식을 개선하는 소프트웨어 솔루션 제안서를 제출하기 시작했습니다. 제안 요청서 마감까지는 단 일주일밖에 남지 않았습니다.
IT 부서에서 RFP 평가팀을 구성했지만, 개인정보보호 부서에서는 아직까지 RFP 평가에 참여한 사람이 아무도 없습니다. 이러한 상황은 다음과 같은 사실에 근거합니다...
국립산림공원레크리에이션부가 시행한 데이터 보호 조치는 다음 중 무엇입니까?

CIPM 문제 149

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
새 최고경영자(CEO)로 취임한 토마스 고다드는 데이터 보호 분야의 리더로 인정받고 싶어합니다. 고다드는 최근까지 전 세계 수백만 명의 사용자를 보유한 온라인 비디오 시청 플랫폼 후피닷컴(Hoopy.com)의 최고재무책임자(CFO)를 역임했습니다. 하지만 후피는 개인정보 보호 관련 단체에서 윤리적으로 문제가 있는 관행, 특히 마케터에게 개인정보를 무단으로 판매하는 행위로 악명이 높았습니다. 또한 후피는 신용카드 정보 유출 사건으로 전 세계적인 헤드라인을 장식하기도 했습니다. 회사 측은 "적절한" 데이터 보호 조치가 마련되어 있다고 주장했지만, 최소 200만 건의 신용카드 번호가 유출된 것으로 추정됩니다. 이 스캔들은 후피의 사업에 큰 타격을 주었고, 경쟁사들은 비슷한 엔터테인먼트 및 미디어 콘텐츠를 제공하면서도 강화된 개인정보 보호 조치를 내세워 빠르게 대응했습니다. 스캔들이 터진 지 3주 만에 후피의 창립자이자 CEO였던 맥스웰 마틴(고다드의 멘토)은 사임해야 했습니다.
하지만 고다드는 어찌어찌하여 당신의 회사인 메디아라이트의 CEO 자리를 확보했습니다. 메디아라이트는 이제 막 스타트업 단계를 벗어나고 있는 회사입니다. 그는 업계 최고 수준의 데이터 보호 기준과 절차를 기반으로 메디아라이트의 브랜드를 구축하겠다는 비전을 이사회와 투자자들에게 설득했습니다. 과거에는 개인정보 보호에 문제가 있는, 심지어는 불법적인 조직에서 핵심적인 역할을 했을지 모르지만, 이제는 개과천선하여 개인정보 보호의 진정한 신봉자가 되었다고 주장합니다. 취임 첫 주에 그는 당신을 사무실로 불러 개인정보 보호에 대한 자신의 비전을 실현하는 것이 당신의 주요 업무라고 설명합니다. 하지만 당신은 그의 말에 약간의 우려를 느낍니다. "메디아라이트는 최고 수준의 기준을 갖춰야 합니다."라고 그는 말합니다. "사실, 저는 우리가 개인정보 보호 및 데이터 보호 분야에서 명실상부한 업계 선두주자라고 말할 수 있기를 바랍니다. 하지만 저는 회사의 재정을 책임감 있게 관리해야 합니다. 따라서 모든 분야에서 최상의 솔루션을 원하지만, 비용 효율성 또한 중요합니다." 당신은 일주일 안에 권고안을 제출하라는 지시를 받습니다. 이 모호한 임무를 부여받은 당신은 임원실을 나서면서 이미 다음 행보를 구상하고 있습니다.
이 회사는 업계의 새로운 모범 사례를 정립할 만큼 높은 수준의 개인정보 보호를 달성했습니다. 이러한 높은 수준의 보호를 유지하기 위한 다음 단계는 무엇일까요?

CIPM 문제 150

새로운 관할 지역으로 사업 및 데이터 개인정보보호 프로그램을 확장할 때 다음 사항 중 중요하지 않은 것은 무엇입니까?