CIPP-US 문제 96
FERPA에 따르면, 학교는 학생의 동의 없이 기록을 공개할 수 있는 경우는 언제인가요?
CIPP-US 문제 97
해당 기관이 500명 이상의 개인 건강 정보(PHI)에 영향을 미치는 랜섬웨어 공격을 받았습니다. HIPAA에 따른 연방법에 따라, 해당 기관은 다음 중 침해 사실을 보고할 의무가 없는 기관은 어디입니까?
CIPP-US 문제 98
대본
다음 질문에 답하려면 다음을 사용하세요.
오토는 개인정보 보호 프로그램을 담당하는 필트레이션 스테이션(Filtration Station) 이사회에 보고서를 준비하고 있습니다. 필트레이션 스테이션은 제약 회사에 연구용 필터와 튜빙 제품을 판매하는 미국 기업입니다. 워싱턴주 시애틀에 본사를 두고 있으며, 미국과 아시아 태평양 지역에 지사를 두고 있습니다. 미국 및 아시아 태평양 지역의 기업 고객에게 제품을 판매합니다. 필트레이션 스테이션은 APEC 개인정보 보호 프레임워크의 국경 간 개인정보 보호 규칙(Cross-Border Privacy Rules) 시스템에 참여하고 있습니다.
안타깝게도 Filtration Station은 지난 분기에 데이터 유출 사고를 겪었습니다. 알려지지 않은 제3자가 Filtration Station 네트워크에 접근하여 미국에 있는 제3자 클라우드 제공업체가 호스팅하는 회사 인사 데이터베이스의 직원 관련 데이터를 훔쳤습니다. 인사 데이터는 암호화되어 있습니다. Filtration Station은 또한 해당 제3자 클라우드 제공업체를 통해 비즈니스 마케팅 연락처 데이터베이스를 호스팅합니다. 마케팅 데이터베이스는 데이터 유출 사고의 영향을 받지 않았습니다. 클라우드 제공업체의 시스템 관리자가 데이터와 함께 암호화 키를 저장하면서 데이터 유출이 발생한 것으로 보입니다.
이사회는 오토에게 데이터 유출 사건과 개인정보 보호법 및 규정의 최신 동향이 필트레이션 스테이션에 어떻게 적용되는지에 대한 정보를 제공해 달라고 요청했습니다. 이사회는 특히 캘리포니아 소비자 개인정보보호법(CCPA)과 침해 신고 요건을 비롯하여 뉴스에 보도된 다양한 미국 주 법률 및 규정에 대한 최신 정보를 얻는 데 주력하고 있습니다.
오토는 HR 데이터를 위한 클라우드 공급업체를 사용할 때 발생하는 개인정보 보호 위험을 최소화하기 위해 무엇을 할 수 있을까요?
다음 질문에 답하려면 다음을 사용하세요.
오토는 개인정보 보호 프로그램을 담당하는 필트레이션 스테이션(Filtration Station) 이사회에 보고서를 준비하고 있습니다. 필트레이션 스테이션은 제약 회사에 연구용 필터와 튜빙 제품을 판매하는 미국 기업입니다. 워싱턴주 시애틀에 본사를 두고 있으며, 미국과 아시아 태평양 지역에 지사를 두고 있습니다. 미국 및 아시아 태평양 지역의 기업 고객에게 제품을 판매합니다. 필트레이션 스테이션은 APEC 개인정보 보호 프레임워크의 국경 간 개인정보 보호 규칙(Cross-Border Privacy Rules) 시스템에 참여하고 있습니다.
안타깝게도 Filtration Station은 지난 분기에 데이터 유출 사고를 겪었습니다. 알려지지 않은 제3자가 Filtration Station 네트워크에 접근하여 미국에 있는 제3자 클라우드 제공업체가 호스팅하는 회사 인사 데이터베이스의 직원 관련 데이터를 훔쳤습니다. 인사 데이터는 암호화되어 있습니다. Filtration Station은 또한 해당 제3자 클라우드 제공업체를 통해 비즈니스 마케팅 연락처 데이터베이스를 호스팅합니다. 마케팅 데이터베이스는 데이터 유출 사고의 영향을 받지 않았습니다. 클라우드 제공업체의 시스템 관리자가 데이터와 함께 암호화 키를 저장하면서 데이터 유출이 발생한 것으로 보입니다.
이사회는 오토에게 데이터 유출 사건과 개인정보 보호법 및 규정의 최신 동향이 필트레이션 스테이션에 어떻게 적용되는지에 대한 정보를 제공해 달라고 요청했습니다. 이사회는 특히 캘리포니아 소비자 개인정보보호법(CCPA)과 침해 신고 요건을 비롯하여 뉴스에 보도된 다양한 미국 주 법률 및 규정에 대한 최신 정보를 얻는 데 주력하고 있습니다.
오토는 HR 데이터를 위한 클라우드 공급업체를 사용할 때 발생하는 개인정보 보호 위험을 최소화하기 위해 무엇을 할 수 있을까요?
CIPP-US 문제 99
어떤 상황에서 "소비자 선택권 없음" 또는 "옵션 없음" 정책이 예상될까요?
CIPP-US 문제 100
대본
다음 질문에 답하려면 다음을 사용하세요.
대형 소매점에서 고객 개인 및 금융 정보가 포함된 데이터 유출 사고가 발생했을 때, 회사 임원진은 충격을 받았습니다. 그러나 회사의 개인정보 보호 분석가이자 신원 도용 피해자인 로버타는 충격을 받지 않았습니다. 유출 사고 이전에 그녀는 임원진을 위한 개인정보 보호 프로그램 보고서를 작성하고 있었습니다. 회사가 조직 전체에서 데이터를 공유하고 처리하는 방식이 주요 우려 사항이었습니다. 고객 정보 접근에 대한 적절한 규칙도 없었고, 오래된 데이터를 삭제하고 파기하는 절차도 없었습니다. 로버타는 조사를 통해 하급 직원조차 재무 기록을 포함한 회사의 모든 고객 데이터에 접근할 수 있었고, 회사가 여전히 1980년대부터의 오래된 고객 데이터를 보유하고 있다는 사실을 발견했습니다.
그녀의 보고서는 세 가지 주요 개혁안을 권고했습니다. 첫째, 필요에 따라 접근을 허용해야 합니다. 이는 직원들이 고객 정보에 접근할 수 있는 범위를 수행 업무와 관련된 데이터로 제한하는 것을 의미합니다. 둘째, 고객의 금융 정보(예: 신용카드 및 은행 계좌 번호)를 덜 민감한 정보와 분리하여 저장하는 매우 안전한 데이터베이스를 구축해야 합니다. 셋째, 오래된 고객 정보를 파악하고 안전하게 폐기하는 절차를 마련해야 합니다.
침해 사고 발생 당시, 회사 경영진은 로버타를 회의에 소집했고, 로버타는 보고서에 담긴 권고 사항을 발표했습니다. 로버타는 회사가 전국적인 고객 기반을 보유하고 있기 때문에 모든 관련 주 침해 신고법을 준수해야 한다고 설명했습니다. 로버타의 지도 덕분에 회사는 주 침해 신고법이 정한 특정 기간 내에 고객에게 신속하게 통지할 수 있었습니다.
얼마 지나지 않아 임원진은 로버타가 보고서에서 권고한 개인정보 보호 프로그램 변경 사항을 승인했습니다. 이러한 변경 사항 덕분에 개인정보 보호 프로그램은 훨씬 더 효과적이 되었고, 개인정보 보호와 보안은 이제 모든 직원의 책임으로 간주되기 때문입니다.
소비자 개인정보 보호 권리장전의 어떤 원칙이 채택된다면 기업의 개인정보 보호 프로그램을 개혁하는 데 가장 적합할까요?
다음 질문에 답하려면 다음을 사용하세요.
대형 소매점에서 고객 개인 및 금융 정보가 포함된 데이터 유출 사고가 발생했을 때, 회사 임원진은 충격을 받았습니다. 그러나 회사의 개인정보 보호 분석가이자 신원 도용 피해자인 로버타는 충격을 받지 않았습니다. 유출 사고 이전에 그녀는 임원진을 위한 개인정보 보호 프로그램 보고서를 작성하고 있었습니다. 회사가 조직 전체에서 데이터를 공유하고 처리하는 방식이 주요 우려 사항이었습니다. 고객 정보 접근에 대한 적절한 규칙도 없었고, 오래된 데이터를 삭제하고 파기하는 절차도 없었습니다. 로버타는 조사를 통해 하급 직원조차 재무 기록을 포함한 회사의 모든 고객 데이터에 접근할 수 있었고, 회사가 여전히 1980년대부터의 오래된 고객 데이터를 보유하고 있다는 사실을 발견했습니다.
그녀의 보고서는 세 가지 주요 개혁안을 권고했습니다. 첫째, 필요에 따라 접근을 허용해야 합니다. 이는 직원들이 고객 정보에 접근할 수 있는 범위를 수행 업무와 관련된 데이터로 제한하는 것을 의미합니다. 둘째, 고객의 금융 정보(예: 신용카드 및 은행 계좌 번호)를 덜 민감한 정보와 분리하여 저장하는 매우 안전한 데이터베이스를 구축해야 합니다. 셋째, 오래된 고객 정보를 파악하고 안전하게 폐기하는 절차를 마련해야 합니다.
침해 사고 발생 당시, 회사 경영진은 로버타를 회의에 소집했고, 로버타는 보고서에 담긴 권고 사항을 발표했습니다. 로버타는 회사가 전국적인 고객 기반을 보유하고 있기 때문에 모든 관련 주 침해 신고법을 준수해야 한다고 설명했습니다. 로버타의 지도 덕분에 회사는 주 침해 신고법이 정한 특정 기간 내에 고객에게 신속하게 통지할 수 있었습니다.
얼마 지나지 않아 임원진은 로버타가 보고서에서 권고한 개인정보 보호 프로그램 변경 사항을 승인했습니다. 이러한 변경 사항 덕분에 개인정보 보호 프로그램은 훨씬 더 효과적이 되었고, 개인정보 보호와 보안은 이제 모든 직원의 책임으로 간주되기 때문입니다.
소비자 개인정보 보호 권리장전의 어떤 원칙이 채택된다면 기업의 개인정보 보호 프로그램을 개혁하는 데 가장 적합할까요?