シナリオ
次の質問に答えるには、以下を使用してください。
Building Block Inc.は多国籍企業であり、シカゴに本社を置き、米国、アジア、ヨーロッパ（ドイツ、イタリア、フランス、ポルトガルを含む）にオフィスを構えています。昨年、同社は重大なデータ侵害をもたらしたフィッシング攻撃の犠牲者でした。理事会は、ゼネラルマネージャー、プライバシーオフィス、情報セキュリティチームと連携して、追加のセキュリティ対策を採用することを決議しました。これらには、意識向上プログラムのトレーニング、サイバーセキュリティ監査、およびセキュリティスキャンと呼ばれる新しいソフトウェアツールの使用が含まれます。このツールは、従業員のコンピューターをスキャンして、ベンダーによってサポートされなくなったためにセキュリティ更新プログラムを取得していないソフトウェアがあるかどうかを確認します。ただし、このソフトウェアは、従業員のコンピューターの監視など、他の機能も提供します。
これらの措置は従業員に影響を与える可能性があるため、Building Blockのプライバシーオフィスは、会社が情報セキュリティを強化し、将来のデータ侵害を防ぐための一連のイニシアチブを実施することを示す一般通知をすべての従業員に発行することを決定しました。
これらの対策を実施した後、サーバーのパフォーマンスは低下しました。ゼネラルマネージャーは、SecurityScanを使用して従業員のコンピューターアクティビティとその場所を監視する方法についてセキュリティチームに指示しました。
これらの活動中に、情報セキュリティチームは、イタリアの1人の従業員が毎日映画のビデオライブラリに接続しており、ドイツの別の従業員が許可なくリモートで作業していることを発見しました。セキュリティチームは、これらの事件をプライバシーオフィスと総支配人に報告しました。彼らのレポートでは、チームはイタリアの従業員がサーバーのパフォーマンスを低下させた理由であると結論付けました。
これらの侵害の深刻さから、会社のセキュリティおよびプライバシーポリシーにより、従業員が会社のコンピューターにソフトウェアをインストールしたり、許可なくリモートで作業したりすることが禁止されていたため、会社は両方の従業員に懲戒処分を適用することを決定しました。
監視の目的、データの潜在的な使用法、およびプライバシー権について従業員に通知することに加えて、セキュリティ対策を実装する前に、ビルディングブロックはどのような情報を従業員に提供する必要がありますか？