CIPM 문제 36

데이터 수명주기 관리(DLM) 프로그램을 구현함으로써 달성될 가능성이 가장 낮은 것은 무엇입니까?

CIPM 문제 37

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
새 최고경영자(CEO)로 취임한 토마스 고다드는 데이터 보호 분야의 리더로 인정받고 싶어합니다. 고다드는 최근까지 전 세계 수백만 명의 사용자를 보유한 온라인 비디오 시청 플랫폼 후피닷컴(Hoopy.com)의 최고재무책임자(CFO)를 역임했습니다. 하지만 후피닷컴은 마케팅 업체에 개인 정보를 무단으로 판매하는 등 윤리적으로 문제가 있는 관행으로 개인정보 보호 단체들 사이에서 악명이 높습니다.
후피는 신용카드 정보 유출 사건의 표적이 되어 전 세계적으로 큰 화제를 모았는데, 회사 측의 주장과는 달리 최소 200만 개의 신용카드 번호가 도난당한 것으로 추정됩니다.
"적절한" 데이터 보호 조치가 마련되어 있었다. 이 스캔들은 회사의 사업에 영향을 미쳤고, 경쟁사들은 비슷한 엔터테인먼트 및 미디어 콘텐츠를 제공하면서도 더욱 강화된 보호 수준을 내세워 빠르게 시장에 진출했다. 스캔들이 터진 지 3주 만에, 고다드의 멘토였던 후피의 창립자 겸 CEO인 맥스웰 마틴은 사임해야 했다.
하지만 고다드는 다행히도 신생 기업에서 CEO 자리를 확보하며 위기를 극복한 것으로 보입니다. 그는 업계 최고 수준의 데이터 보호 기준과 절차를 기반으로 메디아라이트의 브랜드를 구축하겠다는 비전을 이사회와 투자자들에게 설득력 있게 제시했습니다.
그는 과거에 개인정보 보호 문제에 있어 문제가 많았던, 심지어는 불량 조직의 핵심 인물이었을지도 모릅니다. 하지만 이제 그는 개과천선하여 개인정보 보호의 진정한 신봉자가 되었다고 주장합니다. 입사 첫 주, 그는 당신을 사무실로 불러 자신의 개인정보 보호 비전을 실현하는 것이 당신의 주요 업무라고 설명합니다. 하지만 당신은 그의 말에 약간의 불안감을 느낍니다. "메디아라이트는 최고 수준의 기준을 갖춰야 합니다."라고 그는 말합니다. "사실, 저는 우리가 개인정보 보호 및 데이터 보호 분야에서 명실상부한 업계 선두주자라고 말할 수 있기를 바랍니다. 하지만 저는 회사의 재정을 책임감 있게 관리해야 합니다. 따라서 모든 분야에서 최상의 솔루션을 원하지만, 비용 효율성 또한 중요합니다." 당신은 일주일 안에 권고안을 제출하라는 지시를 받습니다. 이 모호한 임무를 부여받고, 당신은 다음 행보를 고민하며 임원실을 나섭니다.
이 회사는 업계의 새로운 모범 사례를 정립할 만큼 높은 수준의 개인정보 보호를 달성했습니다.
높은 수준의 보호를 보장하기 위한 논리적인 다음 단계는 무엇일까요?

CIPM 문제 38

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
마틴 브리세노는 미국 호텔 체인 퍼시픽 스위트의 캐니언 시티 지점 인사부장입니다. 1998년, 브리세노는 현장 직원에서 관리자로 승진하는 직원들을 위한 표준화된 교육 프로그램으로 호텔의 사내 멘토링 모델을 바꾸기로 결정했습니다. 그는 일련의 강의, 시나리오, 평가로 구성된 커리큘럼을 개발하여 소규모 그룹을 대상으로 대면 교육을 진행했습니다. 교육에 대한 관심이 높아지자 브리세노는 기업 인사 전문가 및 소프트웨어 엔지니어와 협력하여 프로그램을 온라인 형식으로 제공하기 시작했습니다. 온라인 프로그램 덕분에 강사 비용을 절감할 수 있었고, 참가자들은 자신의 속도에 맞춰 학습할 수 있었습니다.
브리세노의 프로그램 성공 소식을 접한 퍼시픽 스위트의 부사장 메리앤 실바-헤이즈는 교육 프로그램을 확대하여 회사 전체에 제공했습니다. 프로그램을 이수한 직원들은 퍼시픽 스위트 호텔리어 자격증을 취득했습니다. 2001년까지 이 프로그램은 업계 전반으로 확대되어 전국 호텔 직원들이 온라인으로 수강 신청 및 결제가 가능해졌습니다. 프로그램의 수익성이 높아짐에 따라 퍼시픽 스위트는 퍼시픽 호스피탤리티 트레이닝(PHT)이라는 자회사를 설립했습니다. PHT는 호텔 업계의 다양한 전문 자격증을 제공하는 온라인 교육 과정 및 연수 프로그램을 개발하고 판매하는 데 주력했습니다.
PHT에 사용자 계정을 생성하면 교육 과정 참가자는 정보 라이브러리에 접속하고, 교육 과정에 등록하고, 과정 수료증 시험을 볼 수 있었습니다. 사용자가 새 계정을 만들면 이름, 생년월일, 연락처 정보, 신용카드 정보, 고용주 및 직책을 포함한 모든 정보가 기본적으로 저장되었습니다. 등록 페이지에는 사용자가 신용카드 번호 저장을 원하지 않을 경우 클릭할 수 있는 옵션이 제공되었습니다. 사용자 이름과 비밀번호를 설정한 후에는 교육 과정 진행 상황을 확인하고, 수료증을 검토 및 재인쇄하고, 새로운 교육 과정에 등록하고 결제할 수 있었습니다. 2002년부터 2008년까지 PHT는 70만 건 이상의 전문 자격증을 발급했습니다.
PHT의 수익은 업계 구조조정과 온라인 교육 제공업체와의 경쟁 심화로 인해 2009년과 2010년에 감소했습니다. 2011년에는 퍼시픽 스위트가 온라인 자격증 사업에서 철수했고, PHT는 해체되었습니다. 교육 프로그램의 시스템과 기록은 퍼시픽 스위트의 디지털 아카이브에 그대로 남아 접근도 사용되지 않았습니다. 브리세노와 실바-헤이즈는 다른 회사로 이직했고, 프로그램 종료 후 아카이브 데이터를 처리할 계획은 없었습니다. PHT가 해체된 후, 퍼시픽 스위트 경영진은 중요한 일상 업무에 집중했습니다. 그들은 여력이 생기는 대로 PHT 자료를 처리할 계획이었습니다.
2012년, 퍼시픽 스위트 호텔의 컴퓨터 네트워크가 해킹당했습니다. 온라인 예약 시스템에 설치된 악성 소프트웨어로 인해 수백 명의 호텔 투숙객의 신용카드 정보가 유출되었습니다. 해커들은 예약 사이트의 금융 데이터를 노리는 과정에서 퍼시픽 호스피탤리티 트레이닝(PHT) 고객들의 교육 과정 데이터와 등록 계정 정보까지 발견했습니다. 이 해킹으로 인해 최근 호텔 투숙객들의 신용카드 번호와 PHT 데이터베이스 전체가 유출되는 참사가 발생했습니다.
퍼시픽 스위트의 시스템 분석가는 일상적인 활동 보고서 검토 중 정보 보안 침해 사실을 발견했습니다. 퍼시픽 스위트는 심각한 피해를 막기 위해 신용카드 회사와 최근 호텔 투숙객들에게 침해 사실을 신속하게 알렸습니다. 기술 보안 엔지니어들은 PHT 데이터 처리에서 어려움을 겪었습니다.
PHT의 교육 과정 관리자와 IT 엔지니어들은 정보 추적, 분류 및 저장 시스템을 갖추고 있지 않았습니다. 퍼시픽 스위트는 데이터 접근 및 저장에 대한 절차를 마련해 두었지만, PHT가 설립될 당시에는 이러한 절차가 실행되지 않았습니다. 퍼시픽 스위트가 PHT 데이터베이스를 인수했을 당시에는 소유자나 관리 책임자가 없었습니다. 기술 보안 엔지니어들이 어떤 개인 정보가 유출되었는지 파악했을 때는 이미 최소 8,000명의 신용카드 소지자가 사기 행위의 잠재적 피해자였을 가능성이 있었습니다.
퍼시픽 스위트가 이번 보안 침해 사태를 수습하는 과정에서 가장 중점을 두어야 할 사항은 무엇입니까?

CIPM 문제 39

조직이 별도의 윤리위원회를 운영하는 경우, 윤리위원회 위원들은 최대한의 독립성을 유지하기 위해 일반적으로 누구에게 보고해야 할까요?

CIPM 문제 40

관련 법률 및 규정에서 요구하는 다양한 개인정보 보호 요건을 준수하기 위한 합리화 요건에는 다음 중 어느 것이 포함되지 않습니까?