CPPG 예상문제 4

문제 1: 다음 중 개인정보의 종류에 포함되지 않는 것은?

1. 성명, 주민등록번호
2. 건강상태, 신체적 특징
3. 학력, 직업, 자격
4. 회사의 매출액, 납세액
5. 소득규모, 재산보유상황

답: 4

해설: 개인정보의 종류에는 개인의 신분, 건강상태, 학력, 소득 등이 포함되지만, 법인 또는 단체의 정보는 개인정보에 포함되지 않는다. 회사의 매출액과 납세액은 법인의 정보로 개인의 정보가 아니다.

---

문제 2: 기업이 개인정보를 수집 및 이용하는 주된 동기로 옳지 않은 것은?

1. 고객확보
2. 고객유지
3. 수요 파악
4. 법적 책임 감소
5. 맞춤형 서비스 제공

답: 4

해설: 기업은 고객 확보, 유지, 수요 파악을 통해 맞춤형 서비스를 제공하고자 개인정보를 수집한다. 법적 책임 감소는 개인정보 수집의 동기와는 관련이 없다.

---

문제 3: 다음 중 개인정보보호법 제2조에 정의된 개인정보에 해당하지 않는 것은?

1. 성명, 주민등록번호
2. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보
3. 가명처리된 정보로 원래의 상태로 복원하기 위한 추가 정보 없이 알아볼 수 없는 정보
4. 법인 또는 단체에 관한 정보
5. 영상 등을 통하여 개인을 알아볼 수 있는 정보

답: 4

해설: 개인정보보호법 제2조에서는 개인정보를 개인을 알아볼 수 있는 정보로 정의하고 있다. 법인이나 단체에 관한 정보는 개인정보에 해당하지 않는다.

---

문제 4: 다음 중 개인정보보호법에서 개인정보의 처리 원칙에 해당하지 않는 것은?

1. 처리 목적을 명확하게 할 것
2. 처리 목적에 필요한 최소한의 정보만 수집할 것
3. 정보주체의 동의 없이 제3자에게 제공할 것
4. 정보의 정확성, 완전성, 최신성을 보장할 것
5. 정보주체의 권리를 보장할 것

답: 3

해설: 개인정보보호법에서는 개인정보 처리 시 명확한 목적 설정, 최소한의 정보 수집, 정확성 보장, 정보주체의 권리 보장을 원칙으로 한다. 정보주체의 동의 없이 제3자에게 제공하는 것은 원칙에 위배된다.

---

문제 5: 개인정보보호법에 따른 민감정보 처리 제한에 해당하지 않는 것은?

1. 사상, 신념, 정치적 견해
2. 건강, 성생활 정보
3. 경제적 상황
4. 노동조합 가입 여부
5. 신용정보

답: 5

해설: 개인정보보호법에서는 사상, 신념, 건강정보 등 민감정보의 처리를 엄격히 제한하고 있다. 신용정보는 민감정보로 별도 규제되지만 민감정보 처리 제한 항목에는 포함되지 않는다.

---

문제 6: GDPR에서 규정하는 개인정보의 처리 원칙 중 하나가 아닌 것은?

1. 합법성, 공정성, 투명성
2. 목적 제한
3. 최소 처리
4. 무결성 및 기밀성
5. 무제한 보유

답: 5

해설: GDPR에서는 개인정보의 합법적, 공정한 처리, 목적 제한, 최소한의 처리, 무결성 및 기밀성 보장을 원칙으로 한다. 개인정보의 무제한 보유는 처리 원칙에 어긋난다.

---

문제 7: 개인정보 유출 시 기업의 대응 방안으로 옳지 않은 것은?

1. 유출된 정보주체에게 지체 없이 통지
2. 피해 최소화를 위한 대책 마련 및 조치 실시
3. 유출 사실을 홈페이지에 30일 이상 게재
4. 유출된 정보를 판매하여 손실을 보전
5. 개인정보보호위원회 또는 한국인터넷진흥원에 신고

답: 4

해설: 개인정보 유출 시 기업은 신속한 통지, 대책 마련, 정보주체 통지, 신고 등의 조치를 해야 한다. 유출된 정보를 판매하는 것은 법적으로 금지된 행위이다.

---

문제 8: 다음 중 GDPR에서 정보주체의 권리에 포함되지 않는 것은?

1. 정보를 제공받을 권리
2. 정보 주체의 열람권
3. 정정권
4. 삭제권 (잊힐 권리)
5. 기업의 영업비밀 보호권

답: 5

해설: GDPR에서는 정보주체의 권리로 정보 제공, 열람, 정정, 삭제권을 보장한다. 기업의 영업비밀 보호권은 정보주체의 권리가 아니다.

---

문제 9: 다음 중 기업의 사회적 책임(CSR)과 관련된 설명으로 옳지 않은 것은?

1. 고객의 신뢰 형성
2. 긍정적인 서비스 평가
3. 개인정보보호 중심의 CSR
4. 고객의 부정적인 이미지 형성
5. 정보보호 영역에 집중

답: 4

해설: CSR은 기업이 고객의 신뢰를 형성하고 긍정적인 이미지를 유지하며, 정보보호에 집중하는 것을 포함한다. 고객의 부정적인 이미지 형성은 CSR과 상반된다.

---

문제 10: 정보보호 거버넌스의 프로세스 중 최고경영층의 역할이 아닌 것은?

1. 실행조직의 보고 내용 검토 및 평가
2. 보안과제 결과 이해관계자와 소통
3. 보안활동이 잘되고 있는지 객관적 검토 의뢰
4. 보고 내용을 시행할 필요가 없다고 판단 시 지시하지 않음
5. 실행조직의 수행 결과를 관찰하여 평가

답: 4

해설: 최고경영층은 보고 내용을 검토하고 필요 시 지시하며, 결과를 평가하고 이해관계자와 소통하는 역할을 한다. 보고 내용을 시행할 필요가 없다고 판단해 지시하지 않는 것은 역할에 포함되지 않는다.

---

문제 11: 우리나라 개인정보보호 관련 법제의 구조에서 상위법 우선의 원칙에 따라 충돌 시 가장 우선 적용되는 법규는?

1. 법률
2. 시행령
3. 헌법
4. 행정규칙
5. 대통령령

답: 3

해설: 대한민국 법제 구조에서 상위법 우선의 원칙에 따라 헌법이 가장 우선 적용된다. 법률, 시행령, 대통령령, 행정규칙 순으로 적용된다.

---

문제 12: 다음 중 1980년대 개인정보 오너십의 위상으로 옳은 것은?

1. 위기관리총괄책임자(CISO, CRO)
2. 정보보호책임자(CPO, CSO)
3. 보안담당이사
4. 보안관리자
5. 관리부서소속

답: 4

해설: 1980년대에는 보안관리자가 물리적 보호를 담당했습니다. 이는 당시의 개인정보 오너십의 위상으로 적합하다.

---

문제 13: 개인정보보호법 제15조에 따라 개인정보 수집·이용 시 동의가 필요한 경우가 아닌 것은?

1. 법률에서 명시한 경우
2. 정보주체의 동의를 받은 경우
3. 공공기관이 법령에서 정하는 소관 업무를 수행하는 경우
4. 정보주체와의 계약 체결 및 이행 시
5. 회사의 마케팅 목적으로 개인정보를 수집하는 경우

답: 5

해설: 개인정보 수집·이용 시 법률에서 명시된 경우, 공공기관의 업무 수행, 정보주체와의 계약 체결 및 이행 시 동의가 필요하지 않는다. 그러나 마케팅 목적으로는 정보주체의 동의가 필요하다.

---

문제 14: 다음 중 개인정보 제공 시 주체의 동의 없이 제공할 수 있는 경우에 해당하지 않는 것은?

1. 법률에 따라 제공이 요구되는 경우
2. 정보주체의 명시적 동의가 있는 경우
3. 정보주체가 의사표시를 할 수 없는 상황에서 생명, 신체, 재산의 이익을 보호하기 위한 경우
4. 공공기관이 법령에서 정하는 소관 업무를 수행하는 경우
5. 회사의 내부 마케팅 목적으로 제공하는 경우

답: 5

해설: 개인정보 제공 시 주체의 동의 없이 제공할 수 있는 경우에는 법률에 따른 경우, 정보주체가 의사표시를 할 수 없는 상황, 공공기관의 소관 업무 수행 등이 포함되지만, 회사의 내부 마케팅 목적은 포함되지 않는다.

---

문제 15: 다음 중 가명정보의 처리에 대한 설명으로 옳지 않은 것은?

1. 가명정보는 통계작성, 과학적 연구, 공익적 기록보존을 위해 사용할 수 있다.
2. 가명정보는 처리 후 반드시 추가정보와 함께 저장해야 한다.
3. 가명정보는 정보주체를 알아볼 수 없도록 처리된 정보이다.
4. 가명정보의 결합은 전문기관을 통해서만 가능하다.
5. 가명정보는 복원할 수 없도록 안전조치를 해야 한다.

답: 2

해설: 가명정보는 처리 후 추가정보와 분리하여 저장해야 한다. 추가정보와 함께 저장하는 것은 보안에 위험을 초래할 수 있다.

 

주관식 문제 

문제 1: 개인정보보호법 제2조에 따르면, 개인정보는 어떤 정보로 정의되는가?

답: 살아 있는 개인에 관한 정보

해설: 개인정보보호법 제2조에서는 개인정보를 "살아 있는 개인에 관한 정보"로 정의하고 있으며, 이는 성명, 주민등록번호 등을 포함하여 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보를 의미한다.

---

문제 2: 기업이 개인정보를 수집 및 이용하는 주요 동기 중 하나를 쓰시오.

답: 고객확보

해설: 기업은 소비자 마케팅을 통해 고객을 확보하고, 이를 통해 매출 증가 및 사업 확장을 목표로 한다. 

---

문제 3: GDPR의 데이터보호책임자(DPO)의 역할 중 하나를 쓰시오.

답: 개인정보 영향평가에 대한 조언 제공 및 평가 감시

해설: GDPR에 따르면 DPO는 개인정보 보호에 관한 자문을 제공하고, 영향평가의 수행을 감시하는 역할을 한다.

---

문제 4: GDPR에 따르면, 정보주체가 개인정보 처리에 대해 반대할 수 있는 권리를 무엇이라고 하는가?

답: 반대권 (Right to Object)

해설: GDPR에서는 정보주체가 자신의 개인정보 처리에 대해 언제든지 반대할 수 있는 권리를 보장하고 있다.

문제 5: 개인정보보호법 제17조에 따라 제3자에게 개인정보를 제공할 수 있는 조건 중 하나를 쓰시오.

답: 정보주체의 동의

해설: 개인정보보호법 제17조에 따르면, 개인정보를 제3자에게 제공하기 위해서는 정보주체의 동의가 필요하다. 다른 조건으로는 법률에 따른 경우, 정보주체가 의사표시를 할 수 없는 상황에서 생명, 신체, 재산의 이익을 보호하기 위한 경우 등이 있다.