正解は C です。カリフォルニア州消費者プライバシー法 (CCPA) は、カリフォルニア州の住民に、企業が収集した個人情報の削除を要求する権利を与える州のプライバシー法であるためです。CCPA は、収益、データ量、またはデータ共有の特定の基準を満たしている限り、企業の所在地に関係なく、カリフォルニア州の住民から個人情報を収集するすべての企業に適用されます。したがって、サラが使用するソーシャル メディア プラットフォームは CCPA の対象であり、例外が適用されない限り、サラの削除要求を尊重する必要があります。CCPA では、企業に対して、データ収集および使用方法について消費者に通知し、選択肢を提供すること、および消費者の要求に 45 日以内に応答することを義務付けています。
他の回答は、以下の理由で不正解です。
* A は不正解です。一般データ保護規則 (GDPR) は、データ管理者またはデータ処理者の所在地に関係なく、EU 内の個人の個人データの処理に適用される欧州連合のプライバシー法です。ただし、処理がそのような個人への商品またはサービスの提供、または EU 内での行動の監視に関連するものでない限り、GDPR は EU 外の個人の個人データの処理には適用されません。したがって、サラは EU 内におらず、ソーシャル メディア プラットフォームは EU 内でサラをターゲットにしたり追跡したりしていないため、GDPR はサラの個人データには適用されません。
* B は誤りです。FTC 法第 5 条は、商取引における、または商取引に影響を与える不公正または欺瞞的な行為や慣行を禁止する連邦法です。FTC は、第 5 条の権限を使用して、自社のプライバシー ポリシーに違反したり、データ慣行を偽ったり、消費者データを不正アクセスや開示から保護しなかったりする企業に対して、プライバシーとデータ セキュリティの基準を強制してきました。ただし、FTC は、要求に応じて個人の個人情報を削除することを拒否すること自体が不公正な慣行であるとは判断していません。ただし、その拒否が企業のプライバシー ポリシーや表明と矛盾する場合、または消費者に合理的に回避できない、または相殺利益によって上回らない重大な損害を与える場合は除きます。
* D は不正解です。ニューヨーク州 SHIELD 法は、ニューヨーク州居住者の個人情報を含むコンピューター データを所有またはライセンスする個人または企業に、データ侵害通知およびデータ セキュリティ要件を課す州法です。SHIELD 法は、ニューヨーク州居住者に個人情報の削除を要求する権利を与えておらず、ニューヨーク州居住者の個人情報を収集または保持していない企業には適用されません。したがって、サラはニューヨーク州居住者ではなく、ソーシャル メディア プラットフォームは SHIELD 法で定義されている彼女の個人情報を保有していない可能性があるため、サラの個人データには SHIELD 法は適用されません。参考文献:
* Peter P. Swire、DeBrae Kennedy-Mayo 著『米国民間部門のプライバシー』第 3 版、第 7 章、セクション 7.2.1、183-186 ページ。
* Mike Chapple および Joe Shelley 著『IAPP CIPP/US 認定情報プライバシー専門家学習ガイド』、第 7 章、セクション 7.2、217 ～ 219 ページ。

1974 年の家族教育権とプライバシー法 (FERPA) は、学生の教育記録のプライバシーを保護する連邦法です。FERPA は、一部の例外を除き、保護者または資格のある学生に教育記録へのアクセス、修正、開示の制御の権利を与えています。学校は、例外が適用されない限り、教育記録から個人を特定できる情報を開示する前に、保護者または資格のある学生から書面による同意を得る必要があります。123 オプション A は、教育記録から学生の個人を特定できる情報 (PII) を同意なしに開示することを伴うため、FERPA に違反しています。学生が自分の故郷について書いた署名入りのエッセイは、学生に直接関連し、学校によって保管されているため、FERPA の下では教育記録とみなされます。12 K-
12 評価ベンダーは、正当な教育上の利益を有する学校関係者ではなく、同意なしの開示を許可する例外のいずれにも該当しません。12 したがって、学校は、エッセイをベンダーに提供して公開する前に、生徒（生徒が未成年の場合は保護者）の書面による同意を得る必要があります。
オプション B は、ディレクトリ情報の開示を伴うため、FERPA に違反しません。ディレクトリ情報は、FERPA では PII とは見なされません。ディレクトリ情報とは、名前、住所、電話番号、電子メール アドレス、専攻など、開示されても一般的に有害またはプライバシーの侵害とは見なされない情報です12。学校は、親または資格のある学生がそのような開示をオプトアウトしない限り、同意なしにディレクトリ情報を開示できます12。ただし、学校は、指定するディレクトリ情報の種類とオプトアウトする権利を毎年親と資格のある学生に通知する必要があります12。オプション C は、教育記録の一部ではない情報の開示を伴うため、FERPA に違反しません。FERPA は、学生に直接関連し、学校または学校に代わって行動する当事者によって保持されている教育記録にのみ適用されます12。四半期ごとの優等生名簿に載った学生の名前、学年、出身地を新聞が公表することは、教育記録に基づくものではなく、新聞独自の情報源と報道に基づいています。したがって、FERPA はそのような開示を禁止していません。
オプション D は、同意なしの開示を許可する例外に基づく情報開示を伴うため、FERPA に違反しません。FERPA では、学校が裁判所命令または合法的に発行された召喚状に従うため、または健康や安全上の緊急事態に関連して適切な当局に、同意なしに教育記録または教育記録の PII を開示することを許可しています123 大学警察が召喚状に応じて、または学生または他の人への深刻な脅威を防ぐために、学生の地元警察に逮捕報告書を提供する場合、FERPA に違反していません。
参照: 1: 家族教育の権利とプライバシー法 - Wikipedia 2: 家族教育の権利とプライバシー法 (FERPA) | CDC 3: FERPA とは? | 学生のプライバシーの保護 - ed

HIPAA プライバシー規則は、個人の医療記録やその他の個人を特定できる健康情報 (総称して「保護された健康情報」と定義) を保護するための国家基準を確立し、医療保険、医療情報センター、および特定の医療取引を電子的に行う医療提供者 (総称して「対象事業体」と定義) に適用されます1。この規則は、保護された健康情報のプライバシーを保護するための適切な保護措置を要求し、個人の許可なしにそのような情報を使用および開示できる場合の制限と条件を設定します1。この規則はまた、個人に保護された健康情報に関する権利を与えており、これには、健康記録を調べてコピーを取得する権利、対象事業体に電子健康記録内の保護された健康情報の電子コピーを第三者に送信するよう指示する権利、および訂正を要求する権利が含まれます1。HIPAA プライバシー規則は、対象事業体が、裁判所命令、召喚状、証拠開示請求、またはその他の合法的なプロセスに応じて訴訟のために保護された健康情報を開示することを許可しています。ただし、司法および行政のための開示に関する 45 CFR 164.512 (e) の適用要件を満たす必要があります。手続きが満たされている2 これらの要件には以下が含まれます。
* 裁判所命令または行政裁判所命令に応じて、対象事業体は、当該命令によって明示的に許可された保護された健康情報のみを開示することができる2
* 裁判所命令や行政審判所命令を伴わない召喚状、証拠開示請求、その他の合法的な手続きに応じて、対象事業体は、情報を求める当事者が、情報の対象である個人に要求が通知されたことを確認するために合理的な努力を払ったこと、または情報を求める当事者が適格な保護命令を確保するために合理的な努力を払ったことについての十分な保証を受けなければならない2
* 限定保護命令とは、裁判所または行政裁判所の命令、または訴訟または行政手続きの当事者による合意であり、当事者が保護対象健康情報を、その情報が要求された訴訟または手続き以外の目的で使用または開示することを禁止し、訴訟または手続きの終了時に保護対象健康情報 (作成されたすべてのコピーを含む) を対象事業体に返却するか破棄することを要求するものです。2 オプション A は、HIPAA プライバシー規則では支払い、治療、または医療業務のための開示のみが許可されているわけではないため、正しくありません。この規則では、適用される条件と制限が満たされている限り、公衆衛生、研究、法執行、司法手続きおよび行政手続きなどの他の目的での開示も許可されています。1 オプション B は、司法手続きおよび行政手続きのための開示に関する HIPAA プライバシー規則の要件と一致しているため、正解です。適格保護命令などの十分な保証の要求に応じることで、HealthCo は、保護された健康情報が訴訟のみに使用され、その後返却または破棄されることを保証しています2 オプション C は、司法手続きおよび行政手続きのための開示に関する HIPAA プライバシー ルールの要件と一致していないため、正しくありません。侵害された患者の記録をすべて原告の弁護士に引き渡すことで、HealthCo は必要以上の情報を開示し、訴訟の当事者ではない他の個人のプライバシー権を侵害する可能性があります2 オプション D は、司法手続きおよび行政手続きのための開示に関する HIPAA プライバシー ルールの要件と一致していないため、正しくありません。原告に関連する部分のみを編集した文書で応じることで、HealthCo は、保護された健康情報が訴訟のみに使用され、その後返却または破棄されることについて、十分な保証を提供していません2 参照: 1: HIPAA プライバシー ルールの概要 | HHS.gov 2: 対象事業体は保護された健康情報を訴訟のために使用または開示できますか? | HHS.gov

児童オンラインプライバシー保護法 (COPPA) は、13 歳未満の児童からの個人情報のオンライン収集と使用を規制する連邦法です。COPPA では、児童向けの Web サイトやオンライン サービスの運営者、または児童から故意に個人情報を収集する Web サイトやオンライン サービスの運営者に対し、そのような情報を収集、使用、開示する前に、検証可能な保護者の同意を得ることを義務付けています。検証可能な保護者の同意とは、児童から個人情報を収集する前に、児童の保護者が運営者の情報慣行について通知を受け、その慣行に同意することを保証する、あらゆる合理的な努力 (利用可能なテクノロジーを考慮) を意味します。COPPA では、保護者に児童の情報へのアクセスを提供すること、合理的なセキュリティ対策を維持すること、データ保持を制限することなど、運営者にその他の義務も課しています。参考文献: COPPA、IAPP CIPP/US 学習ガイド、第 2 章、セクション
2.3.1

米国の半数以上の州では、テレマーケティング業者がテレマーケティング活動を行う前に州に登録することを義務付けています。これらの登録要件は、詐欺や不正行為を防止するためにテレマーケティング行為を規制することを目的とした州レベルの消費者保護法の一部です。
州登録が必要な理由:
* テレマーケティング登録要件により、各州は管轄区域内で営業するテレマーケティング業者を監視および規制できます。
* 登録により、テレマーケティング業者は「電話禁止」リスト規制や詐欺行為の禁止など、州固有の規則に準拠することが保証されます。
* フロリダ州、ニューヨーク州、カリフォルニア州などの州は、テレマーケティング登録法を制定している管轄区域の例です。
オプションの説明:
* A. 通話の冒頭で自己紹介をする: これは連邦取引委員会 (FTC) のテレマーケティング販売規則 (TSR) の要件ですが、州の要件に固有のものではありません。
* B. 潜在顧客から書面による同意を得る: 同意を得ることは特定の状況では必要となる場合がありますが (例: 自動ダイヤル通話に対する電話消費者保護法 (TCPA) に基づく)、州レベルで最も一般的な要件ではありません。
* C. 事業を行う前に州に登録する:これは正解です。州への登録は、州法に基づくテレマーケティング業者に対する最も一般的な要件の 1 つです。
* D. 顧客との取引について書面による契約を提供する: テレマーケティングでは書面による契約が必ずしも必要というわけではありません。これは、販売される製品またはサービスの種類によって異なります。
CIPP/US 資料からの参照:
* FTC テレマーケティング販売規則 (TSR): 一般的なテレマーケティング規則を網羅していますが、登録などの州固有の追加要件も考慮しています。
* 州のテレマーケティング法: 例としては、州の登録を必要とするフロリダ州のテレマーケティング法が挙げられます。