公正信用報告法（FCRA）および公正かつ正確な信用取引法（FACTA）の規則制定権限を持っているのは誰ですか？

シナリオ
次の質問に答えるには、以下を使用してください。
あなたは、州Aの米国の大都市にある主要な病院であるHealthCoの最高プライバシー責任者です。
HealthCoは、HIPAAの対象となる事業体であり、10万人以上の患者に医療サービスを提供しています。サードパーティのクラウドコンピューティングサービスプロバイダーであるCloudHealthは、HealthCoに代わって、これらの個人の電子的に保護された健康情報（ePHI）を保存および管理します。CloudHealthはデータを状態Bに保存します。
HealthCoとCloudHealthのビジネスアソシエイト契約（BAA）の一環として、HealthCoは、データを適切に保護するために、業界標準の暗号化手法を含むセキュリティ対策を実装することをCloudHealthに要求しています。ただし、HealthCoは、契約を締結する前にCloudHealthのデューデリジェンスを実施しておらず、CloudHealthのセキュリティ対策の監査も実施していません。
CloudHealthの従業員は、最近フィッシング攻撃の犠牲者になりました。従業員が不審な電子メールからのリンクを意図せずにクリックすると、10,000人を超えるHealthCo患者のPHIが危険にさらされました。それ以来、オンラインで公開されています。HealthCoサイバーセキュリティチームは、他の病院（有名人や政治家などの公人のPHIを暴露した病院）に対して同様の攻撃を仕掛けた既知のハッカーとして、その実行者をすばやく特定します。
調査の過程で、HealthCoは、CloudHealthが契約条件に従ってPHIを暗号化していないことを発見しました。さらに、CloudHealthは、従業員にプライバシーまたはセキュリティのトレーニングを提供していません。法執行機関は、HealthCoが違反の調査報告と影響を受けた個人のPHIのコピーを提供することを要求しました。
違反の影響を受けた患者は、HealthCoを訴え、会社が個人のePHIを適切に保護しておらず、公開されたデータの結果として彼がかなりの被害を受けたと主張しました。患者の弁護士は、違反で公開されたePHIの証拠開示要求を提出しました。
HIPAAセキュリティルールで要求されるセーフガードのうち、HealthCoのアクションのために問題になっていないのは次のうちどれですか？

次のうち、アジア太平洋経済協力（APEC）の原則を最もよく表しているのはどれですか？

ドッド・フランクウォールストリート改革および消費者保護法の重要な意味は次のうちどれですか？

次のすべての組織は、医療保険の相互運用性と説明責任に関する法律（HIPAA）の対象となるエンティティとして指定されています。