CIPP-C 문제 1
대본
다음 질문에 답하려면 다음을 사용하십시오.
당신은 A주에 있는 미국 대도시의 주요 병원인 HealthCo의 최고 개인 정보 보호 책임자입니다.
HealthCo는 100,000명 이상의 환자에게 의료 서비스를 제공하는 HIPAA 적용 대상입니다. 타사 클라우드 컴퓨팅 서비스 제공업체인 CloudHealth는 HealthCo를 대신하여 이러한 개인의 ePHI(전자 보호 건강 정보)를 저장하고 관리합니다. CloudHealth는 데이터를 상태 B에 저장합니다.
HealthCo와 CloudHealth의 비즈니스 제휴 계약(BAA)의 일부로 HealthCo는 CloudHealth가 데이터를 적절하게 보호하기 위해 업계 표준 암호화 관행을 포함한 보안 조치를 구현하도록 요구합니다. 그러나 HealthCo는 계약을 체결하기 전에 CloudHealth에 대한 실사를 수행하지 않았으며 CloudHealth의 보안 조치에 대한 감사를 수행하지 않았습니다.
CloudHealth 직원은 최근 피싱 공격의 피해자가 되었습니다. 직원이 의도치 않게 의심스러운 이메일의 링크를 클릭했을 때 10,000명 이상의 HealthCo 환자의 PHI가 손상되었습니다. 이후 온라인에 공개됐다. HealthCo 사이버 보안 팀은 유명인과 정치인을 포함한 공인의 PHI를 노출시킨 다른 병원에 유사한 공격을 시작한 알려진 해커로 가해자를 신속하게 식별합니다.
조사 과정에서 HealthCo는 CloudHealth가 계약 조건에 따라 PHI를 암호화하지 않았음을 발견했습니다. 또한 CloudHealth는 직원에게 개인 정보 보호 또는 보안 교육을 제공하지 않았습니다. 법 집행 기관은 HealthCo에 위반에 대한 조사 보고서와 영향을 받는 개인의 PHI 사본을 제공하도록 요청했습니다.
그런 다음 위반의 영향을 받은 환자는 회사가 개인의 ePHI를 적절하게 보호하지 않았으며 노출된 데이터의 결과로 상당한 피해를 입었다고 주장하면서 HealthCo를 고소합니다. 환자의 변호사는 위반으로 노출된 ePHI에 대한 발견 요청을 제출했습니다.
HIPAA 보안 규칙에서 요구하는 안전 장치 중 HealthCo의 조치로 인해 문제가 되지 않는 것은 다음 중 무엇입니까?
다음 질문에 답하려면 다음을 사용하십시오.
당신은 A주에 있는 미국 대도시의 주요 병원인 HealthCo의 최고 개인 정보 보호 책임자입니다.
HealthCo는 100,000명 이상의 환자에게 의료 서비스를 제공하는 HIPAA 적용 대상입니다. 타사 클라우드 컴퓨팅 서비스 제공업체인 CloudHealth는 HealthCo를 대신하여 이러한 개인의 ePHI(전자 보호 건강 정보)를 저장하고 관리합니다. CloudHealth는 데이터를 상태 B에 저장합니다.
HealthCo와 CloudHealth의 비즈니스 제휴 계약(BAA)의 일부로 HealthCo는 CloudHealth가 데이터를 적절하게 보호하기 위해 업계 표준 암호화 관행을 포함한 보안 조치를 구현하도록 요구합니다. 그러나 HealthCo는 계약을 체결하기 전에 CloudHealth에 대한 실사를 수행하지 않았으며 CloudHealth의 보안 조치에 대한 감사를 수행하지 않았습니다.
CloudHealth 직원은 최근 피싱 공격의 피해자가 되었습니다. 직원이 의도치 않게 의심스러운 이메일의 링크를 클릭했을 때 10,000명 이상의 HealthCo 환자의 PHI가 손상되었습니다. 이후 온라인에 공개됐다. HealthCo 사이버 보안 팀은 유명인과 정치인을 포함한 공인의 PHI를 노출시킨 다른 병원에 유사한 공격을 시작한 알려진 해커로 가해자를 신속하게 식별합니다.
조사 과정에서 HealthCo는 CloudHealth가 계약 조건에 따라 PHI를 암호화하지 않았음을 발견했습니다. 또한 CloudHealth는 직원에게 개인 정보 보호 또는 보안 교육을 제공하지 않았습니다. 법 집행 기관은 HealthCo에 위반에 대한 조사 보고서와 영향을 받는 개인의 PHI 사본을 제공하도록 요청했습니다.
그런 다음 위반의 영향을 받은 환자는 회사가 개인의 ePHI를 적절하게 보호하지 않았으며 노출된 데이터의 결과로 상당한 피해를 입었다고 주장하면서 HealthCo를 고소합니다. 환자의 변호사는 위반으로 노출된 ePHI에 대한 발견 요청을 제출했습니다.
HIPAA 보안 규칙에서 요구하는 안전 장치 중 HealthCo의 조치로 인해 문제가 되지 않는 것은 다음 중 무엇입니까?
CIPP-C 문제 2
정보 주체가 이식성 권리를 행사할 수 없는 경우는 언제입니까?
CIPP-C 문제 3
어떤 상황에서 "소비자 선택 없음" 또는 "옵션 없음" 정책이 예상됩니까?
CIPP-C 문제 4
GDPR의 5(1)(b)조는 개인 데이터는 "특정하고 명시적이며 합법적인 목적을 위해 수집되어야 하며 그러한 목적과 양립할 수 없는 방식으로 추가 처리되지 않아야 한다"고 명시하고 있습니다. 조항 5(1)(b)에 따르면 "비호환성"이라는 단어에 대한 회원국의 해석이 미치는 영향은 무엇입니까?
CIPP-C 문제 5
대본
다음 질문에 답하려면 다음을 사용하십시오.
Otto는 개인 정보 보호 프로그램을 책임지고 있는 Filtration Station의 이사회에 보고서를 준비하고 있습니다. Filtration Station은 연구용으로 제약 회사에 필터 및 튜브 제품을 판매하는 미국 회사입니다. 회사는 워싱턴주 시애틀에 기반을 두고 있으며 미국과 아시아 전역에 지사를 두고 있습니다. 미국과 아시아 태평양 지역의 비즈니스 고객에게 판매합니다. Filtration Station은 APEC 개인 정보 프레임워크의 국가 간 개인 정보 보호 규칙 시스템에 참여합니다.
불행히도 Filtration Station은 지난 분기에 데이터 유출을 겪었습니다. 알 수 없는 제3자가 Filtration Station의 네트워크에 액세스할 수 있었고 미국에 기반을 둔 제3자 클라우드 제공업체가 호스팅하는 회사의 인사 데이터베이스에서 직원과 관련된 데이터를 훔칠 수 있었습니다. HR 데이터는 암호화됩니다. Filtration Station은 또한 타사 클라우드 제공업체를 사용하여 비즈니스 마케팅 연락처 데이터베이스를 호스팅합니다. 마케팅 데이터베이스는 데이터 유출의 영향을 받지 않았습니다. 클라우드 제공업체의 시스템 관리자가 데이터 자체와 함께 암호화 키를 저장해 데이터 유출이 발생한 것으로 보인다.
위원회는 Otto에 데이터 침해에 대한 정보와 개인정보 보호법 및 규정의 새로운 발전에 대한 업데이트가 Filtration Station에 적용되는 방식에 대한 정보를 제공하도록 요청했습니다. 그들은 특히 뉴스에 나온 다양한 미국 주법 및 규정, 특히 CCPA(캘리포니아 소비자 개인 정보 보호법) 및 위반 알림 요구 사항에 대한 최신 정보를 유지하는 것에 대해 우려하고 있습니다.
HR 데이터에 클라우드 공급자를 사용하는 것과 관련된 개인 정보 위험을 가장 효과적으로 최소화하기 위해 Otto는 무엇을 할 수 있습니까?
다음 질문에 답하려면 다음을 사용하십시오.
Otto는 개인 정보 보호 프로그램을 책임지고 있는 Filtration Station의 이사회에 보고서를 준비하고 있습니다. Filtration Station은 연구용으로 제약 회사에 필터 및 튜브 제품을 판매하는 미국 회사입니다. 회사는 워싱턴주 시애틀에 기반을 두고 있으며 미국과 아시아 전역에 지사를 두고 있습니다. 미국과 아시아 태평양 지역의 비즈니스 고객에게 판매합니다. Filtration Station은 APEC 개인 정보 프레임워크의 국가 간 개인 정보 보호 규칙 시스템에 참여합니다.
불행히도 Filtration Station은 지난 분기에 데이터 유출을 겪었습니다. 알 수 없는 제3자가 Filtration Station의 네트워크에 액세스할 수 있었고 미국에 기반을 둔 제3자 클라우드 제공업체가 호스팅하는 회사의 인사 데이터베이스에서 직원과 관련된 데이터를 훔칠 수 있었습니다. HR 데이터는 암호화됩니다. Filtration Station은 또한 타사 클라우드 제공업체를 사용하여 비즈니스 마케팅 연락처 데이터베이스를 호스팅합니다. 마케팅 데이터베이스는 데이터 유출의 영향을 받지 않았습니다. 클라우드 제공업체의 시스템 관리자가 데이터 자체와 함께 암호화 키를 저장해 데이터 유출이 발생한 것으로 보인다.
위원회는 Otto에 데이터 침해에 대한 정보와 개인정보 보호법 및 규정의 새로운 발전에 대한 업데이트가 Filtration Station에 적용되는 방식에 대한 정보를 제공하도록 요청했습니다. 그들은 특히 뉴스에 나온 다양한 미국 주법 및 규정, 특히 CCPA(캘리포니아 소비자 개인 정보 보호법) 및 위반 알림 요구 사항에 대한 최신 정보를 유지하는 것에 대해 우려하고 있습니다.
HR 데이터에 클라우드 공급자를 사용하는 것과 관련된 개인 정보 위험을 가장 효과적으로 최소화하기 위해 Otto는 무엇을 할 수 있습니까?