무료 온라인 액세스 IAPP.CIPP-US.v2024-06-10.q101 모의 시험 (Page 21)

CIPP-US 문제 96

개인 정보 보호에 대한 유럽 접근 방식을 지지하는 일부 사람들이 개인 정보 보호 관행의 자체 규제에 회의적인 주된 이유는 무엇입니까?

A. 향상된 기술과 보안을 위해 많은 돈을 보내야 할 수도 있습니다.

B. 개인정보 보호를 위해 인권이 무시될 수 있습니다.

C. 업계에서는 규칙 생성 및 시행이 충분히 엄격하지 않을 수 있습니다.

D. 신규 사업주가 규정을 이해하지 못할 수도 있습니다.

CIPP-US 문제 97

연방거래위원회법(Federal Trade Commission Act) 제5조의 요건을 적용받는 벤처는 무엇입니까?

A. 시내버스 시스템의 상용고객 프로그램

B. 온라인 판매자의 무료 배송 제안

C. 국립 은행의 수수료 없는 당좌 프로모션

D. 지역 비영리 자선단체의 모금 행사

CIPP-US 문제 98

공정하고 정확한 신용거래법(FACTA)에 따라 고객 신용 보고서가 담긴 종이 폴더를 보유하고 있는 자동차 딜러에 대한 가장 적절한 조치는 무엇입니까?

A. 보고서를 파쇄하여 폐기 규칙을 준수합니다.

B. 고객에게 보고서를 우편으로 보내 위험 신호 규칙을 따르기 위해

C. 보고서가 저장되고 있음을 고객에게 알림으로써 개인정보 보호 규칙을 따르기 위해

D. 보고서를 안전한 전자 파일로 전송하여 안전 조치 규칙을 따르기 위해

정답: A

폐기 규칙은 기업과 개인이 소비자 보고서에서 파생된 신용 보고서와 같은 소비자에 대한 민감한 정보를 폐기하기 위해 적절한 조치를 취하도록 요구하는 공정하고 정확한 신용 거래법(FACTA)의 조항입니다. 폐기 규칙은 정보에 대한 무단 액세스 또는 사용을 방지하여 신원 도용 및 사기의 위험을 줄이기 위한 것입니다. 폐기 규칙에 따르면 합리적인 폐기 단계에는 소비자 보고서 정보가 포함된 종이를 읽거나 재구성할 수 없도록 태우거나 분쇄하거나 파쇄하는 것이 포함됩니다.
이 시나리오에서 고객 신용 보고서가 담긴 종이 폴더를 보유하고 있는 자동차 딜러에게 가장 적절한 조치는 보고서를 파쇄하여 폐기 규칙을 따르는 것입니다. 이를 통해 자동차 딜러는 FACTA를 준수하고 고객의 개인 데이터의 프라이버시와 보안을 보호할 수 있습니다. 다른 옵션은 다음과 같은 이유로 올바르지 않습니다.
* 위험 신호 규칙(Red Flags Rule)은 금융 기관 및 채권자가 운영 중 신원 도용에 대한 경고 신호 또는 위험 신호를 식별하고 이에 대응하는 서면 신원 도용 예방 프로그램을 구현하도록 요구하는 FACTA의 또 다른 조항입니다. 위험 신호 규칙은 소비자 보고서 정보의 폐기에는 적용되지 않으며 정보를 가로채거나 도난당할 수 있는 고객에게 보고서를 우편으로 보낼 것을 요구하지도 않습니다.
* 개인정보 보호 규칙은 금융 기관이 고객에게 개인 정보 보호 정책 및 관행에 대해 통지하고 고객이 특정 제3자와 개인 정보를 공유하는 것을 거부할 수 있도록 요구하는 Gramm-Leach-Bliley Act(GLBA)의 조항입니다. . 개인정보 보호 규칙은 소비자 보고서 정보의 폐기에는 적용되지 않으며 보고서가 저장되고 있음을 고객에게 알리도록 요구하지도 않습니다. 이를 통해 잠재적인 신원 도용자에게 정보의 존재를 알릴 수 있습니다.
* 세이프가드 규칙은 금융 기관이 고객 정보의 보안, 기밀성 및 무결성을 보호하는 포괄적인 정보 보안 프로그램을 개발, 구현 및 유지하도록 요구하는 GLBA의 또 다른 조항입니다. 안전조치 규칙은 소비자 보고서 정보의 폐기에는 적용되지 않으며 해킹이나 무단 접근에 여전히 취약할 수 있는 안전한 전자 파일로 보고서를 전송할 것을 요구하지도 않습니다.
참고자료:
* FTC 홈페이지, FACTA 폐기규칙 6월 1일 발효
* Shred Nations 웹사이트, FACTA 폐기 규정은 무엇입니까?
* Seam Services 웹사이트, FACTA 폐기 규칙: 귀하의 비즈니스에 어떤 의미가 있습니까?
* IAPP CIPP/US 학습 가이드, 2장: 민간 부문 데이터 수집 및 사용 제한, pp. 49-50
* IAPP 웹사이트, Red Flags Rule
* IAPP 홈페이지, 공정하고 정확한 신용거래법(FACTA)

CIPP-US 문제 99

대본
다음 질문에 답하려면 다음을 사용하십시오.
귀하는 미국 A 주의 대도시에 있는 주요 병원인 HealthCo의 최고 개인 정보 보호 책임자입니다. HealthCo는 100,000명 이상의 환자에게 의료 서비스를 제공하는 HIPAA 적용 대상 기업입니다. 제3자 클라우드 컴퓨팅 서비스 제공업체인 CloudHealth는 HealthCo를 대신하여 이러한 개인의 전자 보호 건강 정보(ePHI)를 저장하고 관리합니다. CloudHealth는 데이터를 상태 B에 저장합니다. HealthCo와 CloudHealth의 BAA(Business Associate Agreement)의 일환으로 HealthCo는 데이터를 적절하게 보호하기 위해 업계 표준 암호화 방식을 포함한 보안 조치를 구현하도록 CloudHealth에 요구합니다.
그러나 HealthCo는 계약을 체결하기 전에 CloudHealth에 대한 실사를 수행하지 않았으며 CloudHealth의 보안 조치에 대한 감사를 실시하지 않았습니다.
CloudHealth 직원이 최근 피싱 공격의 피해자가 되었습니다. 직원이 의도치 않게 의심스러운 이메일의 링크를 클릭했을 때 10,000명이 넘는 HealthCo 환자의 PHI가 손상되었습니다. 이후 온라인에 게시되었습니다. HealthCo 사이버 보안 팀은 유명인과 정치인을 포함한 공인의 PHI를 노출한 다른 병원에 유사한 공격을 가한 알려진 해커로 가해자를 신속하게 식별합니다.
조사 과정에서 HealthCo는 CloudHealth가 계약 조건에 따라 PHI를 암호화하지 않았다는 사실을 발견했습니다. 또한 CloudHealth는 직원에게 개인 정보 보호 또는 보안 교육을 제공하지 않았습니다. 법 집행 기관은 HealthCo에 위반 조사 보고서와 영향을 받은 개인의 PHI 사본을 제공하도록 요청했습니다.
침해의 영향을 받은 환자는 회사가 개인의 ePHI를 적절하게 보호하지 않았으며 노출된 데이터로 인해 상당한 피해를 입었다고 주장하면서 HealthCo를 고소합니다. 환자의 변호사가 위반으로 노출된 ePHI에 대한 검색 요청을 제출했습니다.
HIPAA 보안 규칙에서 요구하는 보호 조치 중 HealthCo의 조치로 인해 문제가 되지 않는 것은 무엇입니까?

A. 관리적 보호 장치

B. 기술적 보호 장치

C. 물리적 보호 장치

D. 보안 보호 장치

정답: D

HIPAA 보안 규칙은 해당 기관과 그 사업 제휴업체가 ePHI(전자 보호 건강 정보)의 기밀성, 무결성 및 가용성을 보호하기 위해 행정적, 물리적, 기술적1이라는 세 가지 유형의 보호 장치를 구현하도록 요구합니다. 보안 보호 장치는 별도의 보호 장치 범주가 아니라 세 가지 유형을 모두 포괄하는 일반적인 용어입니다. 따라서 해당 질문에 대한 정답은 아닙니다.
* 관리적 보호 조치는 직원의 행동과 ePHI를 보호하기 위해 마련된 보안 조치를 관리하는 정책 및 절차입니다. 여기에는 위험 분석 및 관리, 교육, 비상 계획, 사고 대응 및 평가가 포함됩니다12.
* 물리적 안전장치는 ePHI에 대한 무단 접근을 방지하는 자물쇠, 문, 카메라 및 기타 물리적 조치입니다. 여기에는 워크스테이션 및 장치 보안, 잠금 장치 및 열쇠, 미디어 폐기가 포함됩니다12.
* 기술적 보호 장치는 ePHI를 무단 액세스, 변경 또는 파괴로부터 보호하는 소프트웨어 및 하드웨어 도구입니다. 여기에는 액세스 제어, 암호화, 감사 제어, 무결성 제어 및 전송 보안이 포함됩니다12.
이 시나리오에서 HealthCo의 행위는 잠재적으로 세 가지 유형의 보호 장치를 모두 위반했습니다. 예를 들어:
* HealthCo는 계약을 체결하기 전에 CloudHealth에 대한 실사를 수행하지 않았으며 CloudHealth의 보안 조치에 대한 감사를 실시하지 않았습니다. 이는 위험 분석 및 관리에 대한 관리적 보호 장치를 위반하는 것일 수 있습니다12.
* HealthCo는 CloudHealth가 계약 조건에 따라 PHI를 암호화하지 않았음을 발견했습니다. 이는 암호화의 기술적 보호 장치를 위반한 것일 수 있습니다12.
* HealthCo는 위반에 대한 조사 보고서와 영향을 받은 개인의 PHI 사본을 법 집행 기관에 제공합니다. HealthCo가 미디어 전송 후 미디어가 적절하게 삭제되거나 파기되었는지 확인하지 않은 경우 이는 미디어 폐기에 대한 물리적 보호 장치를 위반하는 것이 될 수 있습니다12.
참고 자료: 1: HIPAA 보안 규칙 요약, HHS.gov. 2: HIPAA 보안 규칙이란 무엇입니까?
보호 장치... - Secureframe, Secureframe.com.

CIPP-US 문제 100

다음 중 APEC 개인정보 보호 프레임워크의 원칙이 아닌 것은 무엇입니까?

A. 개인정보의 무결성.

B. 피해 방지.

C. 개인정보 보호를 위한 설계.

D. 액세스 및 수정.

다른 버전: 1023IAPP.CIPP-US.v2025-10-20.q137; 813IAPP.CIPP-US.v2024-09-16.q152; 791IAPP.CIPP-US.v2023-06-24.q65; 838IAPP.CIPP-US.v2023-03-17.q60; 1570IAPP.CIPP-US.v2022-04-28.q62

최근 업로드: 118NLN.NEX.v2026-06-04.q54; 135Microsoft.AZ-500-KR.v2026-06-04.q213; 115Microsoft.DP-600-KR.v2026-06-04.q98; 173Microsoft.AZ-204-KR.v2026-06-04.q237; 144Microsoft.PL-600-KR.v2026-06-04.q112; 204Microsoft.SC-300-KR.v2026-06-03.q151; 173Microsoft.DP-600-KR.v2026-06-03.q70; 986PMI.PMP-KR.v2026-06-01.q1069; 258Microsoft.MS-102-KR.v2026-06-01.q252; 194Microsoft.AZ-104-KR.v2026-06-01.q197