CIPP-US 문제 76
다음 연방 기관 중 공정하고 정확한 신용거래법(FACTA)에 따른 처분 규칙을 시행하지 않는 기관은 어디입니까?
CIPP-US 문제 77
대본
다음 질문에 답하려면 다음을 사용하세요.
당신은 A주에 있는 대규모 미국 도시의 대형 병원인 HealthCo의 최고 개인정보보호책임자입니다.
HealthCo는 10만 명 이상의 환자에게 의료 서비스를 제공하는 HIPAA 적용 대상 기관입니다. 제3자 클라우드 컴퓨팅 서비스 제공업체인 CloudHealth는 HealthCo를 대신하여 이러한 개인의 전자 보호 건강 정보(ePHI)를 저장하고 관리합니다. CloudHealth는 데이터를 B주에 저장합니다.
HealthCo와 CloudHealth는 사업 제휴 계약(BAA)을 체결했으며, HealthCo는 CloudHealth가 데이터를 적절히 보호하기 위해 업계 표준 암호화 방식을 포함한 보안 조치를 구현하도록 요구합니다. 그러나 HealthCo는 계약 체결 전 CloudHealth에 대한 실사를 수행하지 않았으며, CloudHealth의 보안 조치에 대한 감사도 실시하지 않았습니다.
최근 CloudHealth 직원이 피싱 공격의 피해자가 되었습니다. 직원이 의심스러운 이메일의 링크를 실수로 클릭하면서 1만 명이 넘는 HealthCo 환자의 개인 건강 정보(PHI)가 유출되었습니다. 해당 정보는 온라인에 공개되었습니다. HealthCo 사이버 보안팀은 가해자가 다른 병원에도 유사한 공격을 감행한 유명 해커임을 신속하게 파악했습니다. 이 공격을 통해 유명 인사와 정치인을 포함한 유명 인사의 개인 건강 정보가 노출되었습니다.
조사 과정에서 HealthCo는 CloudHealth가 계약 조건에 따라 PHI를 암호화하지 않았다는 사실을 발견했습니다. 또한 CloudHealth는 직원들에게 개인정보 보호 및 보안 교육을 제공하지 않았습니다. 법 집행 기관은 HealthCo에 침해 조사 보고서와 피해 당사자들의 PHI 사본을 제출해 줄 것을 요청했습니다.
침해 사고로 피해를 입은 환자는 HealthCo를 상대로 소송을 제기하며, 회사가 본인의 ePHI를 적절하게 보호하지 않았으며, 데이터 유출로 인해 상당한 피해를 입었다고 주장합니다. 환자의 변호사는 침해 사고로 노출된 ePHI에 대한 증거개시 요청서를 제출했습니다.
HIPAA 보안 규정에서 요구하는 안전장치 중 HealthCo의 조치로 인해 문제가 되지 않는 것은 무엇입니까?
다음 질문에 답하려면 다음을 사용하세요.
당신은 A주에 있는 대규모 미국 도시의 대형 병원인 HealthCo의 최고 개인정보보호책임자입니다.
HealthCo는 10만 명 이상의 환자에게 의료 서비스를 제공하는 HIPAA 적용 대상 기관입니다. 제3자 클라우드 컴퓨팅 서비스 제공업체인 CloudHealth는 HealthCo를 대신하여 이러한 개인의 전자 보호 건강 정보(ePHI)를 저장하고 관리합니다. CloudHealth는 데이터를 B주에 저장합니다.
HealthCo와 CloudHealth는 사업 제휴 계약(BAA)을 체결했으며, HealthCo는 CloudHealth가 데이터를 적절히 보호하기 위해 업계 표준 암호화 방식을 포함한 보안 조치를 구현하도록 요구합니다. 그러나 HealthCo는 계약 체결 전 CloudHealth에 대한 실사를 수행하지 않았으며, CloudHealth의 보안 조치에 대한 감사도 실시하지 않았습니다.
최근 CloudHealth 직원이 피싱 공격의 피해자가 되었습니다. 직원이 의심스러운 이메일의 링크를 실수로 클릭하면서 1만 명이 넘는 HealthCo 환자의 개인 건강 정보(PHI)가 유출되었습니다. 해당 정보는 온라인에 공개되었습니다. HealthCo 사이버 보안팀은 가해자가 다른 병원에도 유사한 공격을 감행한 유명 해커임을 신속하게 파악했습니다. 이 공격을 통해 유명 인사와 정치인을 포함한 유명 인사의 개인 건강 정보가 노출되었습니다.
조사 과정에서 HealthCo는 CloudHealth가 계약 조건에 따라 PHI를 암호화하지 않았다는 사실을 발견했습니다. 또한 CloudHealth는 직원들에게 개인정보 보호 및 보안 교육을 제공하지 않았습니다. 법 집행 기관은 HealthCo에 침해 조사 보고서와 피해 당사자들의 PHI 사본을 제출해 줄 것을 요청했습니다.
침해 사고로 피해를 입은 환자는 HealthCo를 상대로 소송을 제기하며, 회사가 본인의 ePHI를 적절하게 보호하지 않았으며, 데이터 유출로 인해 상당한 피해를 입었다고 주장합니다. 환자의 변호사는 침해 사고로 노출된 ePHI에 대한 증거개시 요청서를 제출했습니다.
HIPAA 보안 규정에서 요구하는 안전장치 중 HealthCo의 조치로 인해 문제가 되지 않는 것은 무엇입니까?
CIPP-US 문제 78
글로벌 매뉴팩처링(Global Manufacturing Co.)의 인사부는 최근 새로운 소프트웨어 도구를 도입했습니다. 이 도구는 이메일을 스캔하여 후보자들이 어떤 말을 하고 있는지, 그리고 후보자들에 대해 어떤 평가를 받고 있는지 파악함으로써 임원직에 적합한 후보자들을 평가하는 데 도움을 줍니다. 인사부는 이 도구를 통해 자동화된 "360도 평가"를 통해 후보자의 사고방식과 업무 수행 방식, 동료 및 직속 부하직원들의 평가, 그리고 서로 얼마나 원활하게 소통하는지 파악할 수 있습니다.
인사부가 이 새로운 소프트웨어를 구현할 때 가장 중요한 단계는 무엇입니까?
인사부가 이 새로운 소프트웨어를 구현할 때 가장 중요한 단계는 무엇입니까?
CIPP-US 문제 79
대본
다음 질문에 답하려면 다음을 사용하세요.
래리는 선라이즈링크스에서 텔레마케팅을 하는 자신의 직책, 특히 상사인 에반에게 점점 더 불만을 품고 있다. 바로 지난주, 그는 에반이 주 정부의 전화 거부 목록과 그 목록에 있는 사람들을 조롱하는 것을 우연히 들었다. "그들이 정말 귀찮게 하지 않으려 한다면," 에반이 말했다. "전국 민주당 전당대회 명단에 올랐을 겁니다. 우리가 따라야 하는 건 그 목록뿐이죠. 선라이즈링크스에서는 그들이 전화하지 말라고 할 때까지 전화를 겁니다." 이상하게도, 에반은 텔레마케터들에게 "다른 시간에" 전화해 달라고 요청하는 수신자의 기록을 보관하도록 요구한다. 래리는 이것이 그들이 아예 전화를 받고 싶어 하지 않는다는 명백한 신호라고 생각했다. 에반은 그렇게 생각하지 않는다.
래리는 에반의 오만함이 직원들을 대하는 방식에도 영향을 미친다고 생각합니다. 미국 헌법은 미국 근로자를 보호하며, 래리는 SunriseLynx 직원들의 권리가 정기적으로 침해된다고 생각합니다. 처음에는 에반이 친절해 보였고, 소셜 미디어를 통해 직원들과 소통하기도 했습니다. 그러나 에반의 정치적 게시물을 본 래리는 비슷한 성향의 직원들에게만 승진 기회가 주어진다는 것을 깨달았습니다.
게다가, 래리는 가끔 개인 물품이 담긴 소포를 직장으로 우편으로 보냅니다. 이름이 분명하게 표시되어 있음에도 불구하고 이미 개봉된 소포가 여러 번 그에게 도착했습니다. 래리는 선라이즈링크스에서 개인 우편물을 개봉하는 것이 흔한 일이라고 생각하며, 에반의 리더십 하에서 수정 헌법 제4조의 권리가 짓밟히고 있다고 생각합니다.
래리는 동료 세이디에 대한 이야기를 우연히 엿듣고 당황했습니다. 텔레마케팅 통화는 품질 관리를 위해 정기적으로 녹음되는데, 세이디는 업무 중에는 항상 전문적인 태도를 보이지만 개인적인 대화에는 때때로 성적인 내용이 담겨 있습니다. 래리는 이 사실 역시 에반이 웃는 것을 들었습니다. 그가 동료에게 이 이야기를 하자 그의 걱정은 어깨를 으쓱하는 것으로 일축되었습니다. 그 동료는 직원들이 입사 시 감시받는 데 동의했다고 믿었기 때문입니다. 개인 기기는 그대로 두지만, 전화 통화, 이메일, 검색 기록은 모두 감시 대상입니다. 실제로 래리는 외부 업체의 잠복 수사에서 부정 행위 증거가 발견되어 직원이 해고된 사례를 알고 있습니다. 직원이 회사 자금을 횡령했을 수도 있지만, 에반은 처음에 뭔가 잘못되었다고 의심했을 때 당국에 신고했을 수도 있습니다.
래리는 조치를 취하고 싶어하지만 어떻게 진행해야 할지 확신이 서지 않습니다.
에반은 소셜 미디어를 사용하는 방식을 근거로 소송을 당할 가능성이 있습니까?
다음 질문에 답하려면 다음을 사용하세요.
래리는 선라이즈링크스에서 텔레마케팅을 하는 자신의 직책, 특히 상사인 에반에게 점점 더 불만을 품고 있다. 바로 지난주, 그는 에반이 주 정부의 전화 거부 목록과 그 목록에 있는 사람들을 조롱하는 것을 우연히 들었다. "그들이 정말 귀찮게 하지 않으려 한다면," 에반이 말했다. "전국 민주당 전당대회 명단에 올랐을 겁니다. 우리가 따라야 하는 건 그 목록뿐이죠. 선라이즈링크스에서는 그들이 전화하지 말라고 할 때까지 전화를 겁니다." 이상하게도, 에반은 텔레마케터들에게 "다른 시간에" 전화해 달라고 요청하는 수신자의 기록을 보관하도록 요구한다. 래리는 이것이 그들이 아예 전화를 받고 싶어 하지 않는다는 명백한 신호라고 생각했다. 에반은 그렇게 생각하지 않는다.
래리는 에반의 오만함이 직원들을 대하는 방식에도 영향을 미친다고 생각합니다. 미국 헌법은 미국 근로자를 보호하며, 래리는 SunriseLynx 직원들의 권리가 정기적으로 침해된다고 생각합니다. 처음에는 에반이 친절해 보였고, 소셜 미디어를 통해 직원들과 소통하기도 했습니다. 그러나 에반의 정치적 게시물을 본 래리는 비슷한 성향의 직원들에게만 승진 기회가 주어진다는 것을 깨달았습니다.
게다가, 래리는 가끔 개인 물품이 담긴 소포를 직장으로 우편으로 보냅니다. 이름이 분명하게 표시되어 있음에도 불구하고 이미 개봉된 소포가 여러 번 그에게 도착했습니다. 래리는 선라이즈링크스에서 개인 우편물을 개봉하는 것이 흔한 일이라고 생각하며, 에반의 리더십 하에서 수정 헌법 제4조의 권리가 짓밟히고 있다고 생각합니다.
래리는 동료 세이디에 대한 이야기를 우연히 엿듣고 당황했습니다. 텔레마케팅 통화는 품질 관리를 위해 정기적으로 녹음되는데, 세이디는 업무 중에는 항상 전문적인 태도를 보이지만 개인적인 대화에는 때때로 성적인 내용이 담겨 있습니다. 래리는 이 사실 역시 에반이 웃는 것을 들었습니다. 그가 동료에게 이 이야기를 하자 그의 걱정은 어깨를 으쓱하는 것으로 일축되었습니다. 그 동료는 직원들이 입사 시 감시받는 데 동의했다고 믿었기 때문입니다. 개인 기기는 그대로 두지만, 전화 통화, 이메일, 검색 기록은 모두 감시 대상입니다. 실제로 래리는 외부 업체의 잠복 수사에서 부정 행위 증거가 발견되어 직원이 해고된 사례를 알고 있습니다. 직원이 회사 자금을 횡령했을 수도 있지만, 에반은 처음에 뭔가 잘못되었다고 의심했을 때 당국에 신고했을 수도 있습니다.
래리는 조치를 취하고 싶어하지만 어떻게 진행해야 할지 확신이 서지 않습니다.
에반은 소셜 미디어를 사용하는 방식을 근거로 소송을 당할 가능성이 있습니까?
CIPP-US 문제 80
해외 합법적 데이터 이용 명확화(CLOUD)법의 주요 목적은 다음 중 무엇입니까?