このページは Free Exams Dumps Materials [ http://exams.dumpsmaterials.com ] からエクスポートされました。

エクスポート日時:Thu Dec 26 18:38:10 2024 / +0000 GMT

___________________________________________________


タイトル：[Q139-Q163] CIPP-E認定試験 ダンプ問題集はこちら[9-2024］

---------------------------------------------------



 CIPP-E認定試験の試験問題集はここにある[9-2024]。
更新されたCIPP-E試験模擬試験問題集


CIPP-E認定資格は、個人データを扱い、一般データ保護規則（GDPR）の遵守を確保する責任を負う専門家にとって特に関連性の高い資格です。GDPRは2018年5月に施行された規制で、組織の所在地に関係なく、EU市民の個人データを処理するすべての組織に適用されます。この規制は、個人データの収集、処理、保存、セキュリティの確保方法に大きな影響を与え、GDPRを遵守しなかった場合、厳しい罰則が科される可能性があります。
IAPP CIPP/E試験とは
IAPPは、プライバシー・プロフェッショナルのための認定資格CIPP（Certified Information Privacy Professionals）を導入しました。CIPPは、データを管理、取り扱い、アクセスするプライバシー専門家のためのグローバルスタンダードです。セキュリティの専門家は、CIPPの欧州版であるCIPP/Eを通じて、欧州の文脈におけるセキュリティの考慮について深い洞察を得ることができます。
CIPP/Eは、その創設者である国際プライバシー専門家協会（IAPP）によれば、この種のものとしては唯一のユニークな呼称である。2014年、安全なデータプライバシー保護に対する要求の高まりに対応するため、IAPPが導入された。すべての段階とライフサイクルを通じて、これらのセキュリティプロトコルは必須です。そのため、権威のある認定プラクティショナーへのニーズが高まっています。専門家や受験者は、グローバル認定資格を取得することで、そのスキルと能力を証明することができ、大きな自信を持つことができます。
CIPP/E試験はIAPPによって実施される認定試験で、受験者の知識を検証し、IT業界の基礎からデータ・プライバシー・アーキテクチャを構築する方法を知っている技術専門家を特定します。
CIPP（Certified Information Privacy Professional）は、世界中の組織がコンプライアンスとリスク軽減の実践を支援し、実務者がビジネスの価値を高めるために必要な洞察力を身につけることを支援します。
この試験に合格すると、IAPPから認定証が授与され、クライアントや雇用主に対してデータ・プライバシーに精通していることを証明することができます。

 


Q139.あなたは香港に本社を置く玩具メーカーに採用されたばかりです。同社は人形、アクションフィギュア、ぬいぐるみなど幅広い商品を販売しており、国際的にさまざまな小売店で販売されています。このメーカーは香港以外に事務所を持たず、実際、香港以外ではスタッフを雇用していないが、現地で多くの販売契約を結んでいる。同社が製造する玩具は、ヨーロッパ、アメリカ、アジアのすべての人気玩具店で販売されている。同社CEOは、この玩具が提供する可能性の増加により、次の大きなものになると宣伝している：フィギュアは、数学的な計算や天気など、さまざまなテーマで子どもたちの質問に答えることができる。各フィギュアにはマイクとスピーカーが搭載され、ブルートゥースでスマートフォンやタブレットに接続できる。半径10メートル以内のモバイル機器であれば、Bluetoothで接続することができる。子供がおもちゃに質問すると、そのリクエストはクラウドに送られ分析され、クラウドサーバーで答えが生成され、フィギュアに送り返される。答えはフィギュアに内蔵されたスピーカーから発せられ、あたかもおもちゃが子どものQUESTIONに答えているかのように見える。玩具のパッケージには、この仕組みに関する技術的な詳細は記載されておらず、この機能がインターネット接続を必要とすることも言及されていない。このために必要なデータ処理は、南アフリカにあるデータセンターに委託されています。しかし、貴社は消費者向けのプライバシー・ポリシーを改訂しておらず、このことを明示していない。これと並行して、同社は、消費者がゲームをプレイする過程で獲得したキャラクターをプレイできる新しいゲーム・システムの導入を計画している。このシステムには、近距離無線通信（NFC）リーダーを含むポータルがバンドルされる。このデバイスがアクション・フィギュアのRFIDタグを読み取り、フィギュアがスクリーン上で動き出す。各キャラクターにはそれぞれ固有の特徴や能力があるが、ゲーム目標を達成することで追加能力を獲得することも可能である。タグに保存されているのは、フィギュアの能力に関する情報だけである。ゲーム中にキャラクターを切り替えるのは簡単で、フィギュアを自宅以外の場所に持っていっても、キャラクターの能力をそのまま維持させることができる。
 ワイヤレスBluetooth接続で転送中のデータを暗号化する。
 最低限のセキュリティを確保するため、子供が使用する前に二要素認証を導入する。
 可能な限り最高レベルのセキュリティを確保するために、子どもが使用する前に三要素認証を導入する。
 南アフリカはEU圏外であるため、玩具メーカーとクラウドサービスプロバイダー間の契約に契約条項を挿入する。
GDPRの第32条によると、管理者と処理者は、自然人の権利と自由に対する様々な可能性と重大性のリスクだけでなく、最新の技術状況、実施にかかるコスト、処理の性質、範囲、文脈、目的などを考慮し、個人データ処理のリスクに適したセキュリティレベルを確保するための適切な技術的および組織的措置を実施しなければなりません。GDPRはまた、個人データの仮名化および暗号化、処理システムおよびサービスの継続的な機密性、完全性、可用性および回復力を確保する能力、物理的または技術的インシデントが発生した場合に個人データへの可用性およびアクセスを適時に回復する能力、処理のセキュリティを確保するための技術的および組織的措置の有効性を定期的にテストし、評価し、評価するプロセスなど、そのような措置の例をいくつか提示しています。このシナリオでは、同社は、無線ブルートゥース接続を使用してスマートフォン、タブレット、クラウドサーバー、その他の玩具と通信するコネクテッド・トイを通じて、子供の声、質問、好み、位置情報などの個人データを処理している。ブルートゥースは短距離無線技術であるため、簡単に傍受されたり、ハッキングされたり、悪意ある行為者に侵害されたりする可能性があり、データの安全性に高いリスクをもたらす。そのため、会社はブルートゥース接続で転送されるデータを暗号化し、データの不正アクセス、開示、改ざんを防ぐ必要がある。暗号化とは、秘密のキーまたはアルゴリズムを使用してデータを読み取り不可能な形式に変換するプロセスであり、対応するキーまたはアルゴリズムを持つ許可された当事者によってのみ元に戻すことができます。暗号化は、鍵やアルゴリズムを持たない者がデータにアクセスしたり変更したりすることを防ぎ、データの機密性と完全性を保証することができます。二要素認証とは、パスワードと電話や電子メールに送信されるコードなど、2つの証拠を要求することでユーザーの身元を確認するプロセスです。これにより、ユーザーのアカウントやデバイスのセキュリティは強化されますが、ワイヤレス接続を介して送信されるデータは保護されず、悪意のある行為者によって傍受、ハッキング、または侵害される可能性があります。さらに、二要素認証は、電話や電子メールにアクセスできなかったり、パスワー ドやコードを忘れたりする可能性のある子どもには、適切でない場合もあり、便利でない場 合もある。C) 可能な限り最高のセキュリティレベルを確保するために、子どもが使用するたびに 3 要素認証を含めることは、ブルートゥース接続を介して送信されるデータを保護するために必要または適切な措置ではない。三要素認証とは、パスワード、電話や電子メールに送信されるコード、指紋や顔スキャンのような生体認証機能など、3つの証拠を要求することでユーザーの身元を確認するプロセスである。これは、ユーザのアカウントまたはデバイスに高レベルのセキュリティを提供する かもしれないが、ワイヤレス接続を介して送信されるデータを保護するものではない。D) 玩具メーカーとクラウドサービスプロバイダ間の契約に契約条項を挿入することは、 南アフリカは欧州連合（EU）域外であるため、ブルートゥース接続を介して送信されるデー タを保護する適切な手段ではない。契約条項とは、データ保護のレベル、データ主体の権利、違反に対する救済措置など、データ転送に関わる当事者の義務と責任を明記した法的合意である。契約条項は、欧州委員会から適切性に関する決定を得ていない非EU国である南アフリカへのデータ移転のコンプライアンスを確保するために必要かもしれませんが、無線接続を介して送信されるデータのセキュリティには対応していません。さらに、契約条項は技術的または組織的措置ではなく、法的措置であり、GDPRの別の規定、すなわち第46条Q140に該当します。ワンダーキッズは保育のオンライン予約サービスを提供している。ワンダーキッズはフランスを拠点としていますが、スイスの会社を通じてウェブサイトをホストしています。サービスの一環として、ワンダーキッズは提供されたすべての個人データを、同社のシステムを通じて予約した保育提供者に渡します。ウェブサイト上で収集される個人データの種類には、保育を予約する人の氏名、住所、連絡先の詳細のほか、氏名、年齢、性別、健康情報など、保育を受ける子どもに関する情報が含まれます。ワンダーキッズのウェブサイトに掲載されているプライバシーステートメントには、次のように記載されています。「ワンダーキッズは、このウェブサイトを通じてお客様が当社に開示した情報を、スケジュール管理および安全衛生上の理由から、保育提供者に提供します。当社はまた、当社自身の合法的な事業目的のために、お客様とお子様の個人情報を使用することがあります。スイスにある設備に保存されたデータは、お客様とお子様の個人情報に対する適切な保護措置を保証するための欧州委員会の規定に適合しています。当社は、お客様およびお子様の個人情報を、お客様にとって真の付加価値があると当社が判断した企業とのみ共有します。当社に個人情報を提供することにより、お客様は、その個人情報が提携企業に転送されること、およびお客様にプロモーション情報を送信することに同意したものとみなされます。""当社は、お客様およびお客様のお子様の個人情報を28日以内保持することがあります。ただし、お客様の個人情報が28日を超えて正当な事業目的のために使用される場合は、最長2年間保持されることがあります。""当社は、お客様の同意を得て、お客様およびお客様のお子様の個人情報を処理しています。特定の情報を当社に提供しないことを選択された場合、当社のサービスをご利用いただけない場合があります。お客様は、以下の権利を有します：お客様およびお客様のお子様の個人情報へのアクセスを要求する権利、お客様およびお客様のお子様の個人情報を修正または消去する権利、お客様および/またはお客様のお子様の個人情報の修正または消去を請求する権利、お客様およびお客様のお子様の個人情報の処理に異議を申し立てる権利。また、当社のデータ処理活動について監督当局に苦情を申し立てる権利もあります。"ワンダーキッズがプライバシーステートメントで提供しなければならない追加情報は何ですか？
 プロモーションメールの送信頻度
 ホスティング会社の連絡先
 データを保護するための技術的および組織的措置
 データが共有される受信者のカテゴリー。
GDPR第13条によると、データ主体から個人データを収集する場合、データ管理者はデータ主体に以下の情報などを提供しなければなりません1：管理者、および該当する場合は管理者の代理人の身元および連絡先詳細、該当する場合はデータ保護責任者の連絡先詳細、個人データが意図する処理の目的および処理の法的根拠、個人データの受領者または受領者のカテゴリー（該当する場合）；該当する場合、管理者が個人情報を第三国または国際機関に移転する予定であること、および欧州委員会による適切性決定の有無、または第46条もしくは第47条、または第49条第1項第2号に言及する移転の場合は、適切または適切な保護措置、およびその写しを入手する手段、または入手可能な状態になっている場所への言及。シナリオでは、ワンダーキッズはプライバシー・ステートメントでこの情報の一部を提供しているが、すべてではない。ワンダーキッズは、顧客とその子供たちの個人データを共有する相手先を特定していない。顧客に真の付加価値を与えると判断した企業とデータを共有すると述べているだけで、曖昧であいまいだ。これでは、個人データの受領者または受領者のカテゴリーがある場合は、それをデータ主体に知らせるというGDPRの要件に適合していない。したがって、ワンダーキッズはプライバシーステートメントにおいてこの追加情報を提供しなければならない。13 GDPR データ主体から個人データを収集する場合に提供すべき情報Q141.WP29のガイダンスで例として挙げられている、複数の処理業務に対応するために単一のデータ保護影響評価を実施することが許されるケースは次のうちどれでしょうか？
 DPIA を実施した先行研究を支援するために遺伝子検査を開始しようとする医療機関。
 製品のプロバイダーがすでにDPIAを実施した新しい技術製品の使用を計画しているデータ管理者。
 すでに電子メールアドレスを持っている顧客のメールアドレスを収集したいマーケティングチーム。
 自社の全駅で同じビデオ監視を評価することを計画している鉄道事業者。
Q142.SCENARI次の問いに答えるために以下を使用してください：ジョーは、DNA分析を提供するカナダの企業Who-R-Uの新しいプライバシー・マネージャーです。同社はモントリオールに本社を置き、全従業員がモントリオールに勤務しています。同社のウェブサイトは英語とフランス語で、カナダの通貨しか受け付けず、カナダ国外からのインターネット・トラフィックをブロックしている（ただし、このソリューションはカナダ国外からのトラフィックをすべてブロックするわけではない）。Who-R-Uの社長であるボブは、EUではこの製品に多くの関心が寄せられていると考えており、同社は顧客ベースを拡大するためにいくつかの計画を検討している。この拡大により、カナダの顧客は海外旅行中でもアプリを使用できるようになる。彼は、このアプリを使って位置情報を収集することを提案する。この計画が有望であれば、ボブはプッシュ通知とテキストメッセージを使って、既存顧客にEU版のサービスへの事前登録を促すことを提案する。ボブはこの作業計画を「We-Text-U」と呼んでいる。事前登録が十分に集まったら、EUに特化したコンテンツやサービスを開発する予定である。これは、同社のアプリを通じて、DNA情報の保存や他のアプリや医療プロバイダーとの共有といった追加サービスを提供するというものだ。同社の契約書には、顧客のDNAを無期限に保管し、新しいサービスを提供したり、顧客に販売したりするために使用することができると書かれている。また、顧客はダイレクトマーケティングの同意を撤回しないことに同意するとも書かれている。マーケティング・ディレクターのポールは、同社はこれらの条項を十分に活用すべきであり、顧客が同意を撤回しようとしても契約は無効となるため、それを回避することができると提案している。同社はすでにこのプロセスに着手している。ドイツにあるビルの命名権を購入し、Who-R-Uの幹部が海外出張の際に利用できるオフィスを数カ所設置する手続きを進めている。このオフィスにはテクノロジーやインフラは含まれていない。むしろ、机と椅子がいくつかあるだけの部屋だ。ネーミングライツ契約に関連した最近の出張で、ボブのノートパソコンが盗まれた。そのノートパソコンには、Who-R-Uの顧客5,000人（全員がカナダa州の居住者）に関する暗号化されていないDNAレポートが入っていた。レポートには、顧客の名前、生年月日、民族性、人種的背景、親戚の名前、性別、そして時には健康情報が含まれている。
 同社はドイツ連邦に設立された管理者ではない。
 ノートパソコンはカナダにある会社のものでした。
 データは個人を特定できる財務情報とは見なされない。
 窃盗犯がノートPCのデータにアクセスしたという証拠はない。
Q143.GDPR 第 9 条には、バイオメトリックデータ a の処理に対する一般的な禁止の例外が列挙されています。
 処理が非営利組織によって行われ、その結果が組織の外部に開示される。
 データ対象者が同意を与えることができない場合、そのデータ対象者の重大な利益 を保護するために処理が必要である。
 裁判所が司法権を行使する場合に、法的請求の確立、行使または防御のために必要な処理。
 データ主体が明示的に同意し、連邦法または加盟国の法律によりその禁止を解除することが認められている場合。
GDPR第9条は、自然人を一意に識別するためのバイオメトリクスデータを含む特殊カテゴリーデータの処理を禁止している1。しかし、この一般的な禁止には10の例外があり、通常「特殊カテゴリーデータ処理の条件」と呼ばれる2。(a)明示的な同意(b)雇用、社会保障および社会保護（法律で認可されている場合）(c)重大な利益(d)非営利団体(e)情報主体によって公表されたもの(f)法的請求および司法行為(g)実質的な公益条件(h)医療または社会的ケア(i)公衆衛生(j)アーカイブ、調査および統計オプションAはこれらの例外の1つではないため、第9条の下でバイオメトリクスデータを処理する正当な理由にはならない。選択肢B、C、Dは、それぞれ(f)と(a)の条件に該当するため、すべて有効な例外である。したがって、正解はAである：参考：4条9 GDPR 特別カテゴリーの個人データの処理6：特別カテゴリーのデータに関する規則は？| 参考：ICOQ144.第29条作業部会が元々提唱したプライバシー通知は、データ収集の特定の時点で処理情報を提供する方法であるため、一般的にアルベースの技術に推奨されるのはどの種類か？
 プライバシーダッシュボード通知
 可視化通知
 ジャストインライム通知
 レイヤー通知。
第29条締約国によると、ジャストインタイム通知とは、ユーザーが特定の機能をクリックした時や個人データを入力した時など、データ収集の特定の時点で処理情報を提供するプライバシー通知の一種である1。この種の通知は、長くて複雑なプライバシーステートメントに圧倒されることなく、ユーザーがデータの処理に関する適切かつタイムリーな情報を受け取ることができるため、AIベースのテクノロジーに一般的に推奨されている1。また、ジャストインタイム通知は、レイヤー通知やプライバシーダッシュボードなど、他の種類の通知と組み合わせることで、より包括的でユーザーフレンドリーな透明性の枠組みを提供することができます1。したがって、選択肢 C が正解である。プライバシー・ダッシュボードは、利用者にデータ処理の概要を一元的かつインタラクティブに提供し、利用者がプライバシー設定やプリファレンスを管理できるようにするタイプの通知であるため、選択肢Aは誤りである1。可視化通知は、アイコン、シンボル、色、アニメーションなどのグラフィカルな要素を使用して、より直感的で魅力的な方法で処理情報を伝えるタイプの通知であるため、選択肢 B は誤りです1。レイヤー化された通知とは、最も重要な情報から始めて、ユーザーが希望すればより詳細な情報にアクセスできるようにする、階層的でモジュール化された方法で処理情報を提供するタイプの通知であるため、オプションDは正しくない1。参考：WP29 の透明性に関する最終ガイドラインの新情報 Q145.GDPR第3条が規定する域外適用が発動される可能性が最も高いのは、次のうちどれでしょうか？
 EUの法執行機関によって監視されているテロリスト容疑者の行動。
 EU域外に拠点を置く管理者または処理者によって処理されるEU市民の個人データ。
 EU域外の法執行機関によって監視されるEU市民の行動。
 EUの顧客を対象とするEU域外の事業者によって処理されるEU居住者の個人データ。
説明／参考：https://hsfnotes.com/data/2019/12/02/edpb-adopts-final-guidelines-on-gdpr-extra-territoriality/Q146。欧州データ保護委員会によると、データ対象者はビデオ監視が行われていることを認識すべきです。小売店の運営者は、EUデータ保護法の下でデータ主体がそのような目的に必要な情報を受け取ることをどのように保証すべきでしょうか？
 店舗運営者は、ビデオ監視システムのマニュアルのコピーを店内およびソーシャルメディア・チャンネルに掲示する必要があります。
 店舗運営者は、例えば看板やスタンド・ディスプレイを使用して、店舗外でビデオ監視が意図されていることを十分に告知すべきである。
 ショップ運営者は、データ保護責任者に、データ対象者がショップに入るたびに包括的 な通知を手渡すよう指示すべきである。
 ショップ運営者は、データ対象者が監視区域に入る前に、はっきりと読める警告標識で最も重要な情報を提供し、その他の手段で追加の必須詳細を提供すべきである。
Q147.多くの企業は、従業員を警備員が識別できるように、従業員の写真を入館証に印刷している。これは、顔画像がGDPRの下でバイオメトリクスデータに該当する可能性があるという事実にもかかわらずです。なぜこのような行為が許されるのか？
 データ主体の一意的な識別を確認するためのバイオメトリクス・データの使用は、適用除外の恩恵を受けるからです。
 写真が「特定の技術的処理」を受けた場合にのみ、バイオメトリクス・データとして認められるから。
 従業員が雇用主による写真撮影に同意した場合、明示的な同意を与えたとみなされるから。
 写真付きIDは「実質的な公共の利益のために必要」な物理的セキュリティ手段であるため。
GDPRのRecital 51によると、写真は、自然人の一意の識別または認証を可能にする特定の技術的手段によって処理されない限り、自動的にバイオメトリクスデータとみなされることはありません1。つまり、顔認識やその他の類似の目的に写真が使用されない限り、従業員の写真を入館証に印刷することは、必ずしもバイオメトリクス・データに関与しない。他の選択肢は、バイオメトリクス・データの定義やGDPR2における特別カテゴリーの個人データ処理の条件を反映していないため、正しくない。参考：GDPRICO ガイダンスの特別カテゴリーデータに関する説明 51 参考：https://ess.csa.canon.com/rs/206-CLL-191/images/IAPP-Top-10-Operational-Impacts-of- GDPR.pdf?TC=DM&CN=CSA_OMNIA_Partners&CS=CSA&CR=T1_GovGenNonProfit (11)Q148.欧州人権裁判所（ECHR）と欧州連合司法裁判所（CJEU）の役割と機能に関する重要な違いは何ですか？
 ECHRは基本的権利としてのプライバシーに関する問題について判決を下すことができますが、CJEUはできません。
 CJEUは各国政府にEU法の実施と尊重を強制できるが、ECHRはできない。
 ECHRはできないが、欧州共同体（EU）欧州委員会（CJEU）は、各国の裁判所が下した人権に関する決定に対する上訴を審理することができる。
 ECHRは、人権法を履行しない政府に対して人権法を執行できるが、CJEUはできない。
Q149.ある企業が、欧州連合（EU）からデータ保護が適切な水準にあるとはみなされていない国に所在しています。標準的な契約条項に基づいて欧州経済地域（EEA）内の他の組織から個人データを輸入する場合、その会社の義務は次のうちどれでしょうか？
 契約を自国の政府当局に提出する。
 データ主体への通知とデータ主体からの同意の取得を確実にする。
 データ保護当局（DPA）から要求された情報を30日以内に提供する。
 現地の法律が会社の契約義務の履行を妨げないようにする。
GDPRは、データ輸出者とデータ輸入者によって適切な保護措置が提供される場合に限り、適切なレベルのデータ保護を提供しないEEA域外の国への個人データの移転を認めている1。このような保護措置のひとつが、欧州委員会が採択した標準契約条項（SCC）であり、移転がGDPRの要件に準拠するよう両当事者に義務を課すモデル条項である2。SCCには、データ主体の権利、データ保護当局の義務、当事者の責任と補償に関する条項も含まれている3。SCCに基づくデータ輸入者の義務の1つは、データ輸出者から受けた指示および契約に基づく義務の履行を、データ輸入者に適用される法律が妨げると考える理由がないことを保証することであり、SCCによって提供される保証および義務に実質的な悪影響を及ぼす可能性のある法律の変更があった場合、データ輸出者がその変更に気づき次第、速やかにデータ輸出者に通知することです。したがって、選択肢Dは、SCCsに基づくデータ輸入者の義務を反映したものであり、現地の法律が企業の契約義務の履行を妨げないことを保証するものであるため、正解である。選択肢 A、B、C は、SCCs に基づくデータ輸入者の義務ではないため、不正解です。データ輸入者が設立された国の法律が個人データの移転または開示の前にそうすることを要求していない限り、データ輸入者は自国の政府当局に契約を提出する必要がないため、選択肢AはGDPRまたはSCCsでは要求されていません5。オプションBはデータ輸入者の義務ではなく、データ輸出者の義務であり、GDPR第13条および第14条が要求する情報（データが第三国に移転される事実および適切な保護措置6を含む）をデータ主体に提供しなければならない。オプションCはSCCに特有のものではなく、GDPRに基づく管理者または処理者の一般的な義務であり、管理者または処理者は監督当局に協力し、義務の遵守を証明するために必要なすべての情報を提供しなければならない7。参考1: GDPR第46条1項 2: 標準契約条項（SCC） - 欧州委員会 3: EU標準契約条項（Word文書） 4: 規則（EU）2016/679に基づく個人データの第三国への移転に関するSCCの条項5（a） 5：規則（EU）2016/679に基づく個人データの第三国への移転に関するSCC条項5（b） 6: 規則（EU）2016/679に基づく個人データの第三国への移転に関するSCC条項9 7: GDPRQ150の第31条。ABCホテルチェーンとXYZ旅行会社は、米国を拠点とする多国籍企業である。両社は、マーケティング活動を統合するために、インターネットベースの共通プラットフォームを使用して顧客データを収集し、互いに共有しています。EU居住者のMikeは、過去にXYZ Travel Agencyを通じてABC Hotel Chainの宿泊施設を予約したことがある。XYZ Travel Agencyは、顧客が登録してポイントを貯め、後で無料旅行と交換できる特典プログラムを提供している。マイクは、リワード・プログラムの会員になるための同意書に署名した。さて、マイクは、XYZ旅行社が自分についてどのような個人情報を保持しているのか知りたいと思った。この関係におけるABC Hotel ChainとXYZ Travel Agencyの役割は何ですか？
 ABC Hotel Chainは管理者であり、XYZ Travel Agencyは処理者です。
 XYZトラベルエージェンシーは管理者であり、ABCホテルチェーンは処理者です。
 ABCホテルチェーンとXYZトラベルエージェンシーは独立した管理者です。
 ABCホテルチェーンとXYZ旅行社は共同管理者である。
Q151.GDPR第21条に基づき、管理者はデータ主体から要求があった場合、個人の利益に優先する説得力のある正当な理由を証明できない限り、プロファイリングを中止しなければなりません。自動化された個人の意思決定およびプロファイリングに関するガイドライン」において、WP29は、管理者がそのような正当な根拠を証明するために以下のすべてを行う必要があるとしていますが、これは除きますか？
 管理者の利益とデータ主体の異議申し立ての根拠を比較検討する。
 プロファイリングがデータ主体の利益、権利および自由に及ぼす影響を考慮すること。
 プロファイリングがダイレクトマーケティングの目的であることを証明すること。
 特定の目的に対するプロファイリングの重要性を検討する。
参考https://gdpr-info.eu/art-21-gdpr/Q152。同意の問題に関して、GDPRは加盟国にいくつかの選択肢を認めています。
 同意が伝達されるメカニズム
 沈黙または不活動が同意とみなされる状況
 子供が親の同意を得ることを要求される年齢
 データ主体が同意を撤回できる期間
Q153.データ処理活動に関して、ほとんどの処理者が保持しなければならない記録に含める必要のないものはどれですか？
 処理者が代行している各管理者の名前および連絡先の詳細。
 処理者が代行する各管理者に代わって実施される処理のカテゴリー。
 処理者が代行する各管理者に代わって実施される、第三国への個人データの移転の詳細。
 処理業者が代行する各管理者のために、処理業者が実施する処理活動に関して実施したデータ保護影響評価の詳細。
Q154.T-Crazeはドイツに本社を置く特殊Tシャツ会社で、ドイツの大都市への販売に成功していました。しかし、ヨーロッパのより広範な市場に販売していたドイツに本社を置く別の会社と最近合併した後、T-Crazeはより幅広い層に販売するためにマーケティング活動を刷新した。このような取り組みには、最近の合併を反映したロゴの完全な再設計や、クッキーを使用して訪問者の情報をより多く取得するためのウェブサイトの改善などが含まれる。ドイツは引き続きT-Crazeの本社と主要な製品設計事務所を置く一方、フランスの関連会社はすべてのマーケティングと販売活動を担当するようになりました。フランスの関連会社は最近、フィリピンを拠点とする有名なマーケティング会社Right Targetに最新のマーケティングキャンペーンを依頼した。徹底的な調査の結果、Right TargetはT-Crazeが最も成功するのは18歳から22歳の顧客であると判断した。そのため、最初のキャンペーンでは、ヨーロッパの複数の都市で大学生をターゲットとし、1四半期で約40%の新規顧客を獲得しました。ライトターゲットはその後もT-クレイズのキャンペーンを行ったが、成功率はかなり低かった。最後の2つのキャンペーンでは、より幅広い層を対象にしたため、スペインでの多数の配信停止要求を含め、数え切れないほどの配信停止要求があった。実際、スペインのデータ保護当局は、投資銀行の中堅社員であるソフィアから苦情を受けた。ソフィアは、T-Crazeに代わってRight Targetからそのような通信の配信を停止したにもかかわらず、マーケティング通信を受信して憤慨していた。T-Crazeの主管監督官庁は次のうちどれですか？
 T-Crazeの本社があるのはドイツだからです。
 T-Crazeが個人情報の処理を行う場所であるため、フランス。
 スペインは、T-Crazeのマーケティングキャンペーンに基づく主要市場だからです。
 T-Crazeは、欧州の複数の国で事業展開しているため、関連会社の所在地を監督当局に指定することができます。
Q155.プロバイダーYは、暗号化されたデータを自社のサーバーに保管している。プロバイダーYのIT部門は、何者かがシステムに侵入し、サーバーからデータのコピーを持ち出すことに成功したことを発見した。このシナリオでは、プロバイダーYは誰に通知する義務があるのでしょうか？
 一般市民
 X社
 法執行機関
 監督当局
Q156.SCENARI次の設問に答えてください：ジョーは2000年に米国バーモント州の自宅でグミ・ベア・カンパニーを設立した。会社のITサーバーはすべてバーモントにある。この年、ジョーは息子のベンを入社させ、プロジェクト・ビッグの責任者に任命した。プロジェクト・ビッグとは、わずか5年で総売上高を3倍にする大規模なマーケティング戦略である。ベンは一流大学でコンピューター・ソフトウェアの博士号を取得。ベンは父の会社に入社することを決めたが、同時にベン・ノウズ・ベストという新しいグローバルなオンライン・デーティング・ウェブサイト会社の立ち上げにも密かに取り組んでいる。ベンはグミ・ベア・カンパニーに何百万人もの顧客がいることを認識しており、その多くが自分にぴったりの相手を見つけることにも興味を持っているだろうと考えている。プロジェクト・ビッグのために、ベンは会社のオンライン・ウェブ・ポータルを再設計し、欧州連合やその他の地域の顧客に、顧客であり続けるために追加の個人情報を提供するよう要求する。プロジェクト・ベンは、顧客の哲学的信条、政治的意見、配偶者の有無に関するデータの収集を開始する。顧客が独身であることを確認した場合、ベンはその顧客の個人データをすべて、Ben Knows Best用の別のデータベースにコピーする。ベンは、自分が間違ったことをしているわけではないと信じている。なぜなら、情報を受け入れる前にチェックボックスにチェックを入れるよう求めることで、各顧客に明確に同意を求めているからだ。プロジェクト・ビッグは重要なプロジェクトなので、会社はベンを助けるためにコンピューターサイエンスを勉強している大学1年生のサムも雇う。ベンが声をかけると、サムはベン・ナウンズ・ベストのデータベースに行き当たる。サムは春休みに友人10人とアイルランドに行く予定なので、アイルランドに住んでいる人たちの顧客情報をすべてコピーし、アイルランドにいるときに友人たちと連絡を取れるようにする。ジョーもまた、アメリカのロースクールを卒業したばかりの親友の娘、アリスを会社の新しい顧問弁護士として雇う。アリスはGDPRについて聞いていたので、それについて調べてみる。アリスはジョーに近づき、EUにある会社の事業所から米国に社内でデータを転送するための法的メカニズムを整備することが会社にとって重要であるため、社内の全員が従うべき拘束力のある企業規則を起草したことを伝える。ジョーはアリスが素晴らしい仕事をしていると信じており、アメリカの連邦裁判所で会社を相手取って起こされた大きな訴訟の処理も彼女が担当することになると伝える。訴訟に備えるため、アリスは会社のIT部門に、欧州連合を含む全世界の営業チームのコンピュータのハードディスクのコピーを取り、すべての情報を確認できるようにすべて彼女に送るよう指示する。差し迫った訴訟の準備において、アリスが会社のIT部門に行った指示はGDPR第5条に違反する。
 全従業員に同意書を送付する。
 訴訟のために収集されるデータの量を最小限に抑える。
 訴訟について全従業員に知らせる。
 全従業員のデータを暗号化する。
Q157.欧州のデータ保護法では、法執行目的の通信トラフィック・データの保持はどのように扱われていますか？
 ePrivacy Directive は、個々の EU 加盟国がそのようなデータ保持に従事することを認めています。
 eプライバシー指令は、そのようなデータ保持に関するEU加盟国の規則を調和させています。
 データ保持指令の無効化により、そのようなデータ保持が許容されるようになった。
 GDPRは、犯罪の予防、捜査、検出、訴追のためにのみ、そのようなデータの保持を認めている。
Q158.プラネット49事件において、クッキーの問題に関する欧州連合司法裁判所（CJEU）の主な判断は何でしたか？
 クッキーが個人データを追跡しないのであれば、事前チェックボックスは許容される。
 eプライバシー指令がクッキーに対する同意を要求している場合、GDPRの同意要件が適用されます。
 ウェブサイトのクッキーに関する通知が、収集される情報とクッキーの寿命を明確にしている場合、事前チェックボックスは許容されます。
 データ対象者がクッキーのバナーを読んだ後もウェブサイトをスクロールし続ける場合、この行為はクッキーのバナーに記載されたトラッキングに対する有効な同意となります。
CJEUは、クッキーの使用に関してePrivacy指令が要求する同意はGDPRが規定する条件に適合していなければならないと裁定しました。したがって、事前にチェックされたボックスやスクロールによる黙示的な同意は、クッキーの有効な同意の形式ではありません。CJEUはまた、eプライバシー指令は、個人データであるか否かにかかわらず、ユーザーの端末に保存されたりアクセスされたりするあらゆる情報に適用されることを明確にした。さらに、CJEU は、クッキーについてユーザーに提供される情報には、クッキーの運用期間と第三者がクッキーにアクセスする可能性を含める必要があると述べています。ジャックは、多国籍製薬会社のアイルランド支社で、COVID-19に関連する臨床試験のファーマコビジランス・オペレーション・スペシャリストとして働いていた。新入社員研修の一環として、ジャックは個人情報保護に関する研修を受けた。ジャックは、業務上患者の機密データを処理する必要があるが、いかなる状況においても、業務に関連すること以外の目的でこのデータを使用してはならないことを明確に伝えられた。数カ月後、ジャックは電話で患者と口論になり、怒りのあまり、その患者の名前と病室情報、中傷コメントをソーシャルメディアに投稿した。これがファーマコビジランスの上司に発覚。ジャックは即刻解雇された。ジャックの弁護士は会社に書簡を送り、解雇は不釣り合いな制裁であり、もしジャックが14日以内に復職しなければ、彼の事務所は会社に対して法的手続きを開始する以外に選択肢はないと述べた。この書簡には、ジャックからのデータ・アクセス要求が添付されており、「ジャックが送受信した、または内容からジャックが直接的または間接的に特定できる社内メールを含むすべての個人データ」のコピーを要求していた。この電子メールに関して、ジャックは管理チームの6人のメンバーをリストアップしており、そのメンバーの受信トレイにアクセスすることが要求されていました。
 不当解雇の法的請求を弁護する必要があるかもしれないので、会社は現時点ではデータを消去すべきではありません。
 忘れられる権利は絶対的な権利であるため、会社はジャックに関するすべてのデータを過度な遅滞なく消去すべきです。
 同社は、欧州連合に居住する従業員は全世界の従業員のごく一部に過ぎないため、忘れられる権利は同社には適用されないと主張すべきである。
 同社は、GDPRに基づく忘れられる権利が適用されないように、情報を欧州連合外に保存するようにすべきである。
GDPRによると、忘れられる権利（消去権とも呼ばれる）は絶対的な権利ではなく、特定の状況においてのみ適用される1。この権利の例外のひとつは、個人データの処理が法的請求の確立、行使または弁護のために必要な場合である2。このシナリオでは、会社は、不当解雇という可能性のある法的措置から身を守るために、ジャックの雇用記録、業績評価、社内メールなどの個人データを保持する必要があるかもしれません。したがって、会社は、データを保持する法的根拠がないと確信できない限り、この時点でデータを消去すべきではありません。また、会社はジャックに対し、本人の要求に応じない理由と、監督当局または司法救済機関に苦情を申し立てる権利を通知すべきである3。参考文献1: 「忘れられる権利」について知っておくべきこと2: GDPR第17条3項e3：GDPR12条4項Q160.管理者に代わって行われる処理に関して、管理者と処理者の間で交わされる書面による合意には何が含まれなければなりませんか？
 個人データの侵害があった場合、72時間以内に管理者に報告する処理者の義務。
 重大な個人データ侵害があった場合、監督当局に報告する両当事者の義務。
 相手方に個人データ漏えいの責任がある場合、両当事者が契約解除に合意する義務。
 個人データ侵害について監督当局に通知する管理者の義務を