このページは Free Exams Dumps Materials [ http://exams.dumpsmaterials.com ] からエクスポートされました。 エクスポート日時:Thu Dec 26 19:18:08 2024 / +0000 GMT ___________________________________________________ タイトル: [3月-2024]100%リアル無料BCSプラクティショナーPDP9サンプル問題集[Q18-Q41]を取得する --------------------------------------------------- [3月-2024日】100%の実質の自由なBCS Practitioner PDP9のサンプル問題を得なさい 正確なPDP9問題集を無料で迅速にアップデート PDP9認定試験は上級レベルの資格で、受験者にはデータ保護法規に関する予備知識が要求されます。データ保護、コンプライアンス、ITセキュリティ、プライバシーおよびリスク管理の専門家に最適です。BCS Practitioner Certificate in Data Protection認定試験はデータ保護の分野における自分のキャリアを強化したい人にも適しています。 NEW QUESTION 18英国GDPR第5条(1)(e)に関する保存制限の意味は? 識別可能な個人データを、意図された処理に必要な期間を超えて保存しないこと。 業務上必要な者のみにアクセスを許可する安全な形式でデータを保管すること 妥当性決定がある場合を除き、EU域内にのみデータを保管すること。 リスクサーフェスを最小化するために、単一のリポジトリに保存されるレコード数を制限すること。 解説保管の制限は、英国GDPRにおけるデータ保護の原則の一つである。これは、データ対象者を識別できる形で、データの処理目的に必要な期間以上、個人データを保存すべきではないということを意味する。英国GDPRは、データの種類ごとに固定的な期限を定めているのではなく、データ管理者が、処理の性質、範囲、文脈、目的、データ主体の権利と自由に対するリスク、データ管理者の法的義務と期待などの要素を考慮して、処理活動に対する適切な保存期間を決定し、正当化することを求めています。また、データ管理者は、可能であれば標準的な保存期間を定めたポリシーを持つべきであり、保有するデータを定期的に見直し、不要になった時点で消去または匿名化されるようにすべきである。データ主体は、データ管理者が個人データを保持する合法的根拠または正当な利益がなくなった場合、個人データの消去を要求する権利を有する。英国GDPRは、データ主体の権利および自由に対する適切な保護措置の適用を条件として、公益、科学的または歴史的研究目的、または統計目的のためにのみ個人データが処理される場合など、保存制限原則に対するいくつかの例外を認めています。参考文献:* 英国 GDPR 第 5 条 (1) (e) および (2)4* 英国 GDPR 第 175 条* 英国 GDPR 第 896 条* データ保護に関する ICO ガイド、保存制限7NEW QUESTION 19「情報社会サービス」とは何か?不正解のものを選んでください。 電子的手段により、要求した個人に対して遠隔地から報酬を得て提供されるサービス。 個人向けに提供される電子情報サービスだが、その対価は広告料のみによって支払われる。 企業間オンラインネットワーキングサイト 非営利団体や政府機関が提供する、報酬を伴わない情報サービス 解説情報社会サービス(ISS)は、英国GDPR第4条(25)において、「電子的手段により、遠隔地において、サービスの受領者の個人的要求により、報酬を得て通常提供されるサービス」と定義されている。ISSの例としては、アプリ、プログラム、ウェブサイト、検索エンジン、ソーシャルメディアプラットフォーム、オンラインマーケットプレイス、コンテンツストリーミングサービス、オンラインゲーム、その他インターネット上でユーザーに商品やサービスを提供するオンラインサービスなどが挙げられる。したがって、選択肢A、B、Cは定義の基準を満たしており、正しいISSの例である。しかし、選択肢Dは、サービス提供者への報酬を伴わないため、ISSの正しい例ではない。非営利団体や政府機関が無報酬で提供する情報サービスは、市場で他のISSと競合しない限り、英国GDPRの下ではISSとはみなされない。参考文献:* 英国GDPR第4条(25)4* 本規範の対象となるサービス5NEW QUESTION 20英国の公的機関がセキュリティ侵害を起こし、10万人の一般市民の情報が公開された。 1,750万ポンドまたは年間総売上高の4% 1000万ポンドまたは年間総売上高の4% 2,000万ポンドまたは年間総売上高の2% 870万ポンドまたは年間総売上高の2% 解説英国のGDPRおよびデータ保護法2018では、データ保護の原則、データ主体の権利、または個人データの第三国への移転に関する規則に違反した場合、1,750万ポンドまたは全世界の年間売上高の4%のいずれか高い方を最高罰金額としている。これは、英国GDPRの最も深刻な違反に適用される、より高い最高罰金である。個人データの機密性と完全性が損なわれ、データ主体に重大な損害と苦痛を与える可能性があるため、10万人の一般市民の詳細が暴露されるようなセキュリティ違反は、このカテゴリーに該当する可能性が高い。従って、この違反に対して英国の公的機関が受ける可能性のある罰金の上限は、1750万ポンドまたは年間総売上高の4%のいずれか高い方となる。参考文献:* 罰則3* GDPRの罰則と罰金4* GDPRの3年間:これまでで最大の罰金5NEW QUESTION 21次の選択肢のうち、データ保護影響評価(DPIA)を実施する目的ではないものはどれですか? すべてのDPIAをICOに提出するという要件を満たす必要がある。 GDPRのアカウンタビリティの重要な要素である。 データ保護が設計およびデフォルトで実施されるという要件を満たす。 データの利用において存在する可能性のある主なリスクを特定し、それを軽減できるようにする。 説明DPIAは、すべてのDPIAをICOに提出するという要件を満たす必要はありません。GDPRでは、管理者がそのリスクを軽減できない場合、個人にとって高リスクになる可能性が高い処理を実施する前にICOに相談することのみが義務付けられています。つまり、すべてのDPIAをICOに提出する必要はなく、低減できない高い残存リスクが特定されたDPIAのみを提出する必要があります。その他の選択肢は、管理者がGDPRを遵守し、設計およびデフォルトによるデータ保護を確保し、個人の権利および自由に対する主なリスクを特定および軽減するのに役立つため、DPIAを実施する有効な目的です。参考文献:* GDPRの第35条および第36条3* DPIAに関するICOのガイダンス5NEW QUESTION 22フランスに本社を置く企業が、中国のITサポート専門企業を利用している。 個人データは移転されないため、移転メカニズムは必要ない。 フランス企業は適切な移転メカニズムを特定し、実装する必要がある。 データ処理契約が締結されているため、移転メカニズムは必要ない。 中国は適切なレベルの個人データ保護を提供しているため、移転メカニズムは必要ない。 解説GDPRによると、EUおよびEEA域外の誰かに個人データが提供される場合、物理的にデータが送信されるかどうかにかかわらず、第三国または国際組織への個人データの移転が発生する。したがって、中国企業がフランス企業の顧客の個人データを含むプラットフォームとデータベースにアクセスすることは、GDPRの第三国である中国への個人データの移転に該当する。フランス企業は個人データの管理者として、移転がGDPRの要件に準拠し、個人データの保護レベルが損なわれないようにしなければならない。つまり、フランス企業は、GDPR第5章に規定されているように、適切性決定、適切な保護措置、または特定の状況に対する適用除外などの適切な移転メカニズムを特定し、実施しなければなりません。データ処理契約は、管理者と処理者の役割と責任を明確にするために必要ではあるが、GDPRと同様の保証を提供するものではないため、移転の合法性を保証するには不十分である。中国は、欧州委員会が個人データの適切な保護レベルを提供していると認めている国ではないため、フランス企業は適切性判断に頼ることもできない。参考文献:* GDPR第44条1* ICOの国際移転に関するガイダンス2NEW QUESTION 23英国では誰が法律により私生活を営む権利があるのか? すべての個人。 国会議員を除くすべての個人 公共の場で業務を行わない私人(プロスポーツ選手や俳優など 誰もいない 解説私生活を送る権利は、英国では法律によって保護されている基本的人権である。欧州人権条約(ECHR)第8条は、人権法(Human Rights Act1998)により英国法に組み込まれ、「すべて人は、自己の私生活、家族生活、家庭および通信を尊重される権利を有する」と規定されている。私生活の権利は、個人のアイデンティティ、個人的関係、身体的・精神的健康、個人情報、通信などの側面を含む。しかし、この権利は絶対的なものではなく、国家安全保障、公共の安全、健康、道徳、他人の権利と自由の保護のためなど、特定の状況においては、国やその他の当事者によって制限されたり、干渉されたりすることがある。参考文献:* ECHR 第 8 条1* 人権法(Human Rights Act 19982)* ICO Guide to Data Protection3NEW QUESTION 24 英国 GDPR 第 57 条(1)(f)の下で監督当局が実施する必要のない業務はどれか。正しいものを選びなさい。 データ主体から申し立てられた苦情を処理する 苦情を調査し、調査の進捗状況を申立人に通知する。 苦情を解決するために、苦情を申し立てた主体との間で調停を行う。 必要に応じて他の監督当局と調整すること。 解説英国GDPR第57条(1)(f)は、監督当局(英国ではICO)に対し、データ主体から申し立てられた苦情を処理し、苦情の対象を調査し、調査の進捗状況および結果を苦情申立者に通知することを求めている。また、苦情が国境を越えた処理に関わる場合、監督当局は他の監督当局と協力することも義務付けられている。ただし、監督当局が、苦情を申し立てた管理者または処理者と苦情申立人との間を仲介し、苦情を解決することは義務付けられていない。これは英国GDPRにおける監督当局の任務ではないが、円満な解決を図る方法として、場合によっては可能かもしれない。参考文献:* 英国 GDPR 第 57 条(1)(f)1* ICO と苦情2NEW QUESTION 25 公的機関がデータ保護責任者を任命する必要がないのは、以下のどの状況か? 大量の個人データを処理する場合 裁判所が司法権を行使する場合 特別カテゴリーデータを処理する場合 データ保護法2018において公的機関と定義されている場合 解説英国GDPR第37条に基づき、公的機関または公共団体は、司法の資格で行動する裁判所でない限り、データ保護責任者(DPO)を任命しなければなりません。これは、公的機関または公的機関がDPOを任命する義務を免除される唯一の例外です。大量の個人データを処理している、特殊カテゴリーデータを処理している、データ保護法2018で公的機関と定義されているなど、設問に列挙されているその他の状況は、公的機関または公的機関がDPOを任命することを免除するものではない。参考文献:* 英国GDPR第37条2* データ保護責任者|ICO2NEW QUESTION 26データ保護権が英国法に初めて導入されたのはいつですか? 2000年(1998年データ保護法) 1992年(1992年データ保護法) 1984年(1984年データ保護法)。 2018年(データ保護法2018年) 解説データ保護権が英国法に初めて導入されたのは、1981年の「個人データの自動処理に関する個人の保護に関する欧州評議会条約」を実施するために制定された1984年データ保護法である。1984年データ保護法は、同意の取得、正確性の確保、保存の制限など、データ利用者による個人データの処理に関する一連の原則を定め、データ利用者の登録制度と、この法律を監督・執行するデータ保護登録官(後に情報コミッショナーに改称)を設置した。1984年データ保護法は1998年データ保護法に取って代わられ、1995年EUデータ保護指令を英国法に移管し、データ保護の範囲を個人データの自動処理だけでなく手動処理にも拡大した。データ保護法1998はデータ保護法2018によってさらに改正され、EU一般データ保護規則(GDPR)と法施行指令が英国法に組み込まれ、国家安全保障、移民、ジャーナリズムなど特定の処理状況についての規定が設けられた。参考文献:* Data Protection Act 19844* Council of Europe Convention 1085* Data Protection Act 19986* Data Protection Act 20187NEW QUESTION 27ある個人が警備員の求人に応募してきた。雇用主は過去の採用者の疾病記録について重大な問題を抱えていたため、健康状態が良好であることを雇用主が保証できるよう、医療記録のコピーを要求することを条件に、その個人にその職を提供することにした。どのようなアドバイスが最も適切でしょうか? 医療証拠が正当な目的のために使用され、従業員が健康であることが確認された時点で情報が安全に破棄されるのであれば、これは許容される行為です。 医学的証拠を要求し、閲覧することは合法的かもしれないが、要求するという提案に本人が同意しているという証拠を求めるべきである。 個人の健康状態を確認するために必要以上の情報を要求することは、データ最小化の原則に違反することになる。 これは、データ保護法2018に基づく犯罪行為である。 このような状況において、健康記録を入手するために、個人に対して対象者へのアクセス要求を行うよう求めてはならない。 説明データ保護法2018(DPA2018)により、ある人が、商品、施設、サービスの提供または提供の申し出の条件として、あるいは契約の締結または継続の条件として、自分の健康状態、前科または前歴、あるいは使用済みの前科に関する情報への主体アクセス要求を行うよう他人に要求し、その情報を最初の人または第三者に提供することは犯罪となります。これは、強制された主体アクセス要求として知られています。このシナリオにおける雇用主は、医療記録のコピーを要求し、それを雇用主に提供することを条件に、その個人に仕事を提供することで、犯罪を犯していることになります。雇用主はまた、特殊な個人データである健康データを、正当な法的根拠なく、その処理の目的や法的根拠を本人に通知することなく、また処理を雇用関係に必要かつ関連性のあるものに限定することなく処理しているため、データ保護の原則である適法性、公正性、透明性、目的の限定、データの最小化、保存の限定に違反しています。雇用主は、その代わりに、関連する医療専門家から直接健康情報を要求することについて本人の明確な同意を得るべきであり、警備員という特定の役割に必要かつ適切な情報のみを要求すべきである。参考文献:* DPA 20183の184条* アクセス要求の強制に関するICOのガイダンス4* 特殊カテゴリーデータに関するICOのガイダンス5NEW QUESTION 28プライバシーおよび電子通信規制の下で、組織は次のうちどれにマーケティング電話をかけてはならないか? 親または保護者の許可がない限り、18歳未満の者 電話選り好みサービス(Telephone Preference Service)に登録されている者。 マーケティングコールの受信に同意していない者 英国外に居住する者 説明Privacy and Electronic Communications Regulations (PECR)は、電話、テキスト、電子メール、ファックスなど、マーケティング目的の電子コミュニケーションの使用を規制する一連の規則です。この規則のひとつは、Telephone Preference Service (TPS)に電話番号を登録した個人に対して、その組織からの電話を受けることに事前に同意した場合を除き、組織から未承諾のマーケティング電話をかけてはならないというものです。TPSは、個人がマーケティング・コールの受信を拒否できる無料のサービスです。組織は、マーケティング・コールを行う前にTPSを確認し、TPSに登録されている個人の好みを尊重することが法律で義務付けられています。組織がこの規則に従わない場合、英国のデータ保護当局でありPECRの監督機関である情報コミッショナー事務局(ICO)から強制措置がとられる可能性がある。参考文献:* 電話優先サービス* マーケティングコール* 強制措置NEW QUESTION 29 データ保護法における関連性の観点から、スーパーマーケット BEST で録画された CCTV 画像はどのように説明できますか? 特別な特徴を識別するため、特別カテゴリーデータである。 GDPRに規定されている定義に照らせば、バイオメトリクスデータである。 GDPRが適用されるのは、これらがテキストまたはその他の識別子を伴っている場合のみである。 生きている人間を特定するために使用できるため、個人データである。 スーパーマーケットで録画された説明用CCTV画像は、直接的または間接的に、身体的外観、衣服、付属品、その他の特徴によって、生きている人間を識別するために使用できるため、個人データである。個人データはGDPR第4条1項において「識別された、または識別可能な自然人に関するあらゆる情報」と定義されている。GDPRは、CCTVカメラなどの自動化された手段、または紙の記録などのファイリングシステムの一部を形成する非自動化された手段による個人データの処理に適用されます。CCTVの画像は、人種や民族的出身、政治的意見、宗教や哲学的信条、労働組合への加入、健康状態、性生活や性的指向、バイオメトリクスや遺伝子データなど、GDPR第9条1項に記載されている機微な情報を明らかにするものではないため、特別なカテゴリーデータではありません。特殊カテゴリーデータは、個人の権利と自由に対してより高いリスクをもたらすため、GDPRの下ではより厳しい条件と保護措置の対象となる*。バイオメトリクスデータとは、GDPR第4条14項において「自然人の身体的、生理的または行動的特徴に関連する特定の技術的処理から生じる個人データであって、顔画像や乳白データなど、その自然人の一意的な識別を可能にしまたは確認するもの」と定義されています。CCTV画像は、他のデータや識別子と組み合わされない限り、特定の技術的処理の結果ではなく、自然人の固有の識別を可能にしたり、確認したりするものではありません。GDPRは、CCTV画像にテキストまたはその他の識別子が添付されている場合にのみ適用されるわけではありません。GDPRは、テキストまたはその他の識別子が添付されているか否かにかかわらず、特定または識別可能な自然人に関連するあらゆる情報に適用されます。CCTV画像は、テキストまたはその他の識別子が含まれていなくても、その人物を特定したり、他のデータや要素と関連付けたりする可能性がある限り、特定可能な自然人に関連付けることができます。参考文献:* GDPR 第 4 条(1)1* GDPR 第 2 条(1)2* GDPR 第 9 条(1)3* GDPR 第 4 条(14)4NEW QUESTION 30英国の監督当局の決定に不服がある場合、どのように不服を申し立てるのか。 第一審裁判所(Information Rights)に提訴する。 情報コミッショナー 欧州データ保護監督機関に 欧州委員会へ 解説英国の監督官庁である情報コミッショナー事務所(ICO)の決定に不服がある場合、申立人は第一審裁判所(Information Rights)に不服を申し立てる権利があります。裁判所は独立した機関であり、ICOの決定を見直し、支持、変更、取り消しのいずれかを行うことができます。審判所は、ICOの決定を見直し、支持、変更、取り消しのいずれかを行うことができる独立した機関である。審判所はまた、ICOに対し、決定通知や強制執行通知の発行など、特定の措置を取るよう指示することもできる。上訴は、ICOの決定を受け取ってから28日以内に、上訴通知書を使用し、関連書類と上訴理由を提出して行う必要があります。その後、審判所はICO及び申立人に対し、不服申立ての内容及び対応手順を通知します。審判所は、両当事者の証拠及び主張を審査するために審理を行うか、又は書面による提出のみに基づいて本件を決定することができる。審判所は決定書を発行し、両当事者に送付されるほか、審判所のウェブサイトに掲載されます。審判所の決定は、第一審審判所または上審審判所の許可を得て、法律上の論点についてさらに上審審判所に上訴することができる。参考文献:* 情報の権利とデータ保護:情報コミッショナーに対する不服申し立て1* 不服申し立て通知書2* 第1層審判所(情報の権利)のウェブサイト3NEW QUESTION 31「処理の記録」に関する次の記述のうち、正しいものはどれですか? A 該当する場合、データ保護責任者の連絡先が記載されていなければならないB データ保護影響評価(Data Protection ImpactAssessment)の後、必ず情報コミッショナー事務所に提出しなければならないC すべてのデータ処理者に義務付けられているD 管理者または処理者は、要求に応じて監督当局に記録を提供しなければならないE.監督当局の連絡先が記載されていること。 B、C、D A、C、E A、C、D、E A、C、D 解説英国GDPR第30条3では、一定の条件下で免除される場合を除き、管理者と処理者の双方が処理活動の記録を保持することが義務付けられている。記録には、特に以下の情報が含まれていなければならない:* 管理者または処理者、および共同管理者、代表者またはデータ保護責任者の氏名および連絡先、*処理の目的、*データ主体および個人データのカテゴリー、*第三国または国際機関の受領者を含む、個人データが開示されたまたは開示される予定の受領者のカテゴリー;* 可能であれば、技術的および組織的なセキュリティ対策の一般的な説明。可能であれば、技術的および組織的なセキュリティ対策の一般的な説明。記録は電子形式を含む書面でなければならず、ICOの要請に応じて提供されなければならない。第30条には監督当局の連絡先が明記されていないため、記録には監督当局の連絡先を記載する必要はない。これは、DPIAが、管理者がリスクを軽減するために講じた措置がない場合、処理が高いリスクをもたらすことを示した場合にのみ、管理者に処理前にICOと協議することを義務付けている第35条により義務付けられていないためである。参考文献:* 英国GDPR第30条3* 英国GDPR第35条4NEW QUESTION 32以下の記述のうち、Alが透明性の原則に与える潜在的な影響を最も的確に表しているものはどれですか? データ主体は一般的に、処理活動において Al が存在することを期待すべきである。 Alは常に本来の目的に適合するため、透明性の要件はAlには適用されない。 データ主体はAlの存在に気づかないため、Alは不可視の処理につながる可能性がある。 関連する適用除外があるため、Alには透明性要件は適用されない。 説明透明性の原則は、個人データの処理がデータ主体にとって公正、合法かつ透明であることを要求する。これは、データ主体が、データ処理の存在、性質、目的および結果、ならびにデータに関する権利および選択について知らされるべきであることを意味する。透明性は、データ処理における説明責任、信頼、コンプライアンスを確保するために不可欠である。しかし、AIの使用は、データ主体がその存在や、処理の論理、重要性、意味合いを認識できない、目に見えない処理につながる可能性があるため、透明性の原則に課題をもたらす可能性がある。例えば、データ対象者の行動、嗜好、興味、感情、または性格を、データ対象者が知ることも同意することもなく、プロファイリング、推論、予測、または影響を与えるためにAIを使用することができる。AIはまた、信用スコアリング、採用、健康診断、社会的給付など、データ対象者に影響を与える自動化された決定を行うために、意味のある説明や人間による介入の機会を提供することなく使用される可能性がある。したがって、AIがデータ処理に関与する場合、データ主体が情報を与えられ、権限を与えられ、データにアクセス、修正、異議申し立て、制限、消去、移植する権利、自動化された意思決定に異議申し立て、異議を申し立てる権利などの権利を行使できるようにすることが重要である56。参考文献:* AIとデータ保護に関するガイダンス5* AIによる意思決定の説明6NEW QUESTION 33データ保護法2018のスケジュール3に規定された免責事項がないものは? ソーシャルワークのデータ 信用調査機関のデータ 教育データ、試験台本、点数 健康データ NEW QUESTION 34個人データ侵害はいつ監督当局に報告する必要があるか? すべての個人データ漏えいは監督当局に報告されなければならない。 開示されたデータが特別なカテゴリーに分類される場合のみ 個人データ漏えいが自然人の権利および自由に対するリスクをもたらす可能性が高い場合 管理者の表現の自由の権利が、データ主体の私的な家庭および家族生活に対する権利を上回る場合。 解説英国GDPRの第33条は、管理者に対し、個人データ侵害が自然人の権利および自由に対するリスクにつながる可能性が低い場合を除き、個人データ侵害を過度な遅延なく、可能であれば、それを認識してから72時間以内に監督当局に通知するよう求めています。つまり、すべての個人データ侵害を監督当局に報告する必要はなく、個人にリスクをもたらすものだけを報告する必要がある。リスクは、差別、なりすまし、詐欺、経済的損失、評判の低下、機密保持の喪失、その他経済的または社会的な重大な不利益など、個人にとって潜在的な悪影響の観点から評価されなければならない。また、英国のGDPRは、管理者に対し、個人情報漏えいがデータ主体の権利と自由に対する高いリスクにつながる可能性が高い場合、影響を受けるデータ主体に不当な遅延なく個人情報漏えいを伝えることを求めています。英国のGDPRは、すべての個人データ侵害を監督当局に報告することを義務付けているわけではなく、個人にリスクをもたらすものだけを義務付けています。ただし、管理者は、説明義務の一環として、報告されたか否かにかかわらず、すべての個人データ侵害を文書化しなければならない。 * 英国GDPRは、個人データ侵害の報告に関して、個人データと特殊カテゴリーデータを区別していない。特別カテゴリーデータとは、人種や民族的出身、政治的意見、宗教的・哲学的信条、労働組合への加盟、健康状態、性生活、性的指向、あるいは自然人を一意に特定するためのバイオメトリクスデータや遺伝子データなどを明らかにする個人データの一種です。英国GDPRでは、特殊カテゴリーデータの処理はより厳格な条件と保護措置の対象となるが、そのようなデータを含む個人データ侵害の報告は、他の個人データ侵害と同じ基準、すなわち個人に対するリスクの対象となる*。表現の自由の権利は、英国GDPRによって認められ保護される基本的な権利ですが、データ主体の権利と自由に優先する絶対的な権利ではありません。英国GDPRは、ジャーナリズム目的または学術的、芸術的、文学的表現の目的で行われる個人データの処理