CIPM 문제 21

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
당신은 유럽과 미주 여러 국가에 거주하는 개인 정보를 다루는 회사의 개인정보보호 부서를 이끌고 있습니다. 아침 개인정보보호 검토를 시작하려는데 계약 담당자로부터 전화 요청 메시지를 받았습니다. 메시지는 명확하지 않고 구체적이지 않지만, 데이터가 손실된 것으로 짐작됩니다.
계약 담당자에게 연락했더니, 그는 한 협력업체로부터 고객 정보를 부적절하게 공유했다는 내용의 편지를 받았다고 말했습니다. 담당자는 해당 협력업체에 전화하여 귀사가 최근 2,000명을 대상으로 최근 의료 서비스 이용 경험에 대한 설문조사를 실시하고, 그 결과를 데이터베이스에 입력하기 위해 협력업체에 보냈지만, 계약서에 명시된 대로 데이터베이스를 암호화하지 않아 협력업체가 데이터에 대한 통제권을 잃었다는 사실을 확인했습니다.
판매자는 매우 미안해하며 통지서 발송에 대한 책임을 지겠다고 제안합니다. 우표가 붙은 엽서 2,000장을 따로 준비해 두었으니 우편 발송 시간을 단축할 수 있을 거라고 말합니다. 엽서 한쪽 면에는 회사 로고만 넣을 수 있고, 다른 한쪽 면은 비어 있으니 원하는 내용을 자유롭게 적어 넣으라고 합니다. 당신은 일단 제안을 보류하고 공간 제약에 맞춰 내용을 작성하기 시작합니다. 판매자의 로고가 통지서에 포함되는 것은 감수하기로 합니다.
이 알림은 귀사가 최근 세인트 세바스찬 병원 감염병 클리닉에서 받은 최근 진료 기록 정보를 저장하기 위해 외부 업체와 계약을 체결했음을 설명합니다. 해당 업체는 정보를 암호화하지 않았으며 더 이상 해당 정보에 대한 관리 권한을 갖고 있지 않습니다. 영향을 받은 2,000명 모두에게 정보 관련 이메일 알림을 신청하도록 안내하고 있습니다. 신청자는 귀사 웹사이트에 접속하여 간단한 광고를 시청한 후 이름, 이메일 주소, 생년월일(월/년)을 입력하면 됩니다.
오전 9시 전에 사고 대응 위원회에 이메일을 보내 승인을 받습니다. 만약 이 과정에서 문제가 발생할 경우, 책임을 동료들에게 분산시키고 싶기 때문입니다. 이후 8시간 동안 모든 구성원이 이메일을 통해 의견을 주고받습니다. 사고 대응팀을 이끄는 컨설턴트는 회사에 입사한 첫날이지만, 다른 업계에서 45년간 경력을 쌓아왔기에 최선을 다하겠다고 말합니다. 위원회 소속 변호사 세 명 중 한 명이 대화의 방향을 잠시 다른 곳으로 돌리지만, 결국 다시 본론으로 돌아옵니다. 하루가 끝날 무렵, 그들은 당신이 작성한 통지서대로 공급업체에서 제공한 엽서를 사용하기로 투표합니다.
판매자가 엽서를 발송한 직후, 데이터가 도난당한 서버에 저장되어 있었다는 사실을 알게 되고, 회사에서 신용 모니터링 서비스를 제공하기로 결정합니다. 인터넷 검색을 통해 그럴듯한 이름을 가진 신용 모니터링 회사, CRUDLOK(Credit Under Lock and Key)을 찾습니다. 영업 담당자는 2,000명 규모의 계약을 다뤄본 적은 없지만, 하루 만에 CRUDLOK이 다음과 같은 서비스를 제공한다는 내용의 제안서를 작성합니다.
1. 계약서 서명 다음 날 모든 사람에게 등록 초대장을 보내십시오.
2. 이름과 주민등록번호 뒷자리 4자리만으로 등록할 수 있습니다.
3. 등록일로부터 2년간 각 등록자의 학점을 모니터링하십시오.
4. 매달 고객의 신용 등급과 시장 금리에 따른 신용 관련 서비스 제공 내용을 담은 이메일을 발송합니다.
5. 신용 회복 비용의 20%를 회사에 청구하십시오.
계약을 체결하고 2,000명에게 등록 초대 이메일을 발송합니다. 3일 후, 모든 일이 잘 진행된 점과 개선할 수 있었던 점을 기록합니다. 그리고 다음에 비슷한 일이 발생할 때 참고할 수 있도록 파일에 보관합니다.
위 사건 발생 당시 다음 중 올바르게 처리된 것은 무엇입니까?

CIPM 문제 22

미국 연방 법률 중 어떤 법률이 금융 기관에게 개인 데이터 수집 관행을 공개하도록 요구합니까?

CIPM 문제 23

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
벤은 고객을 위한 조명 솔루션을 설계하는 회사인 IgNight, Inc.의 IT 부서에서 근무합니다. IgNight의 고객은 주로 미국 내 사무실이지만, 독특한 미적 감각과 에너지 절약형 디자인에 매료된 개인 고객들이 전 세계 곳곳에서 자신의 집에도 IgNight 조명을 설치해 달라고 요청하고 있습니다.
어느 일요일 아침, 벤은 회사 노트북으로 다가오는 음악 축제 티켓을 구매하던 중 회사 파일에서 평소와 다른 사용자 활동을 발견했습니다. 간단히 확인해 본 결과 데이터는 모두 제자리에 있는 것처럼 보였지만, 뭔가 잘못됐다는 느낌을 떨쳐낼 수 없었습니다. 동료가 예기치 않은 시스템 점검을 하고 있었을 가능성도 있었지만, 그는 회사 보안팀에서 보낸 이메일이 떠올랐습니다. 그 이메일에는 특정 업계를 표적으로 삼는 악의적인 공격 집단에 대한 경계를 강화하라는 내용이 담겨 있었습니다.
벤은 성실한 직원이며 회사를 지키고 싶어 하지만 주말에 열심히 일하는 동료들에게 폐를 끼치고 싶지는 않습니다. 그는 내일 아침 일찍 관리자와 이 문제에 대해 상의할 예정이지만, 자신의 전문 지식을 보여주고 승진을 설득할 수 있도록 미리 준비하고 싶어 합니다.
따라야 할 절차를 결정하기 위해 벤이 검토할 가장 적절한 내부 지침은 무엇일까요?

CIPM 문제 24

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
귀 기관인 시카고(미국)에 본부를 둔 도시녹지협회(Society for Urban Greenspace)는 수년간 동일한 업체(Shopping Cart Saver(SCS))를 통해 온라인 스토어 운영 전반을 진행해 왔습니다. 소규모 비영리 단체인 협회는 고가의 서비스를 이용할 여력이 없지만, 비교적 저렴한 업체인 SCS에 만족해 왔습니다. 물론 몇 가지 문제가 있었습니다. 두 차례에 걸쳐 스토어에서 상품을 구매한 고객의 신용카드 정보가 거래 후 부정하게 사용된 사례가 있었지만, 조사 결과 협회 스토어가 해킹당했다는 확실한 증거는 발견되지 않았습니다. 이러한 정보 유출은 직원의 과실로 발생했을 가능성도 있습니다.
더욱 당황스러웠던 것은 해당 조직이 SCS가 고객으로부터 수집한 정보를 제3자에게 판매했다는 사실을 발견한 사건이었습니다. 하지만 SCS 담당자인 제이슨 롤랜드가 지적했듯이, 고객께서 전화 한 통으로 오해를 바로잡자 그 이후로는 이러한 "오해"가 다시 발생하지 않았습니다.
협회 정보기술 프로그램 관리자로서 개인정보보호 전문가로서의 역할은 당신이 맡은 여러 역할 중 하나일 뿐입니다. 하지만 모든 사안에서 재정적인 측면을 고려해야 합니다. 개인정보보호 관련 문제가 심각했던 것은 사실이지만, 기념품 가게에서 판매하는 티셔츠나 커피잔 등의 추가 수익 또한 상당했습니다. 협회의 운영 예산은 빠듯하기 때문에 모든 수익원이 매우 중요합니다.
새로운 문제가 생겼습니다. 제이슨이 전화해서 2주 후부터 매장의 고객 데이터가 클라우드에 저장될 거라고 했습니다. "좋은 소식은," 그가 말했습니다. "핀란드에서 저렴한 서비스 제공업체를 찾았고, 데이터도 거기에 보관될 겁니다. 그래서 약간의 비용이 청구될 수는 있지만, 클라우드의 장점을 고려하면 결코 과도한 금액은 아닐 겁니다." 최근 클라우드 컴퓨팅에 대한 이야기를 많이 듣고 있고, 다양한 애플리케이션의 새로운 패러다임으로 빠르게 자리 잡고 있다는 것을 알고 있습니다. 하지만 개인정보 보호에 미칠 수 있는 잠재적 영향에 대해서는 의견이 분분합니다. 그래서 조사를 시작했고, 여러 주요 클라우드 서비스 제공업체들이 개인정보 보호를 위한 공통된 규정과 기술에 대해 협력하기로 의향서를 체결했다는 사실을 알게 되었습니다. 제이슨의 핀란드 서비스 제공업체도 이 의향서에 서명했는지 알아봐야겠다고 생각했습니다.
핀란드 업체가 제3자에게 데이터를 전송하는 것을 막는 가장 좋은 방법은 무엇일까요?

CIPM 문제 25

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
귀 기관인 시카고(미국)에 본부를 둔 도시녹지협회(Society for Urban Greenspace)는 수년간 동일한 업체(Shopping Cart Saver(SCS))를 통해 온라인 스토어 운영 전반을 진행해 왔습니다. 소규모 비영리 단체인 협회는 고가의 서비스를 이용할 여력이 없지만, 비교적 저렴한 업체인 SCS에 만족해 왔습니다. 물론 몇 가지 문제가 있었습니다. 두 차례에 걸쳐 스토어에서 상품을 구매한 고객의 신용카드 정보가 거래 후 부정하게 사용된 사례가 있었지만, 조사 결과 협회 스토어가 해킹당했다는 확실한 증거는 발견되지 않았습니다. 이러한 정보 유출은 직원의 과실로 발생했을 가능성도 있습니다.
더욱 당황스러웠던 것은 해당 조직이 SCS가 고객으로부터 수집한 정보를 제3자에게 판매했다는 사실을 발견한 사건이었습니다. 하지만 SCS 담당자인 제이슨 롤랜드가 지적했듯이, 고객께서 전화 한 통으로 오해를 바로잡자 그 이후로는 이러한 "오해"가 다시 발생하지 않았습니다.
협회 정보기술 프로그램 관리자로서 개인정보보호 전문가로서의 역할은 당신이 맡은 여러 역할 중 하나일 뿐입니다. 하지만 모든 사안에서 재정적인 측면을 고려해야 합니다. 개인정보보호 관련 문제가 심각했던 것은 사실이지만, 기념품 가게에서 판매하는 티셔츠나 커피잔 등의 추가 수익 또한 상당했습니다. 협회의 운영 예산은 빠듯하기 때문에 모든 수익원이 매우 중요합니다.
새로운 문제가 생겼습니다. 제이슨이 전화해서 2주 후부터 매장의 고객 데이터가 클라우드에 저장될 거라고 했습니다. "좋은 소식은," 그가 말했습니다. "핀란드에서 저렴한 서비스 제공업체를 찾았고, 데이터도 거기에 보관될 겁니다. 그래서 약간의 비용이 청구될 수는 있지만, 클라우드의 장점을 고려하면 결코 과도한 금액은 아닐 겁니다." 최근 클라우드 컴퓨팅에 대한 이야기를 많이 듣고 있고, 다양한 애플리케이션의 새로운 패러다임으로 빠르게 자리 잡고 있다는 것을 알고 있습니다. 하지만 개인정보 보호에 미칠 수 있는 잠재적 영향에 대해서는 의견이 분분합니다. 그래서 조사를 시작했고, 여러 주요 클라우드 서비스 제공업체들이 개인정보 보호를 위한 공통된 규정과 기술에 대해 협력하기로 의향서를 체결했다는 사실을 알게 되었습니다. 제이슨의 핀란드 서비스 제공업체도 이 의향서에 서명했는지 알아봐야겠다고 생각했습니다.
벤더의 데이터 보안 조치에 대한 질문에 가장 적합한 답변은 어떤 절차에서 찾을 수 있을까요?