正解は C です。SMH が事業を展開している他の州で通知する必要がある場合、ニューヨーク州の個人にも通知する必要があります。医療保険の携行性と責任に関する法律 (HIPAA) に基づき、SMH は、保護されていない保護対象医療情報 (PHI) に関するデータ侵害を発見後 60 日以内に、公民権局 (OCR) と影響を受ける個人に通知する必要があります1。ただし、HIPAA は、個人に強力な保護を提供したり、対象事業体に追加の義務を課したりする州法に優先するものではありません2。したがって、SMH は、ニューヨーク州を含む事業を展開している州の州法違反通知法にも準拠する必要があります。
ニューヨーク州情報セキュリティ侵害および通知法によれば、ニューヨーク州居住者の個人情報を含むコンピュータ化されたデータを所有またはライセンス供与する個人または企業は、個人情報の漏洩が不注意によるものであり、悪用または金銭的損害につながる可能性が低い場合を除き、システムのセキュリティ侵害を可能な限り速やかに、不当に遅延することなく当該居住者に開示する必要があります3。個人情報には、個人情報（名前、番号、またはその他の識別子など）に加えて、社会保障番号、運転免許証番号または非運転者身分証明書番号、口座番号、クレジットカードまたはデビットカード番号と、個人の金融口座へのアクセスを許可する必要なセキュリティコード、アクセスコード、パスワード、またはその他の情報との組み合わせ、生体認証情報、またはユーザー名または電子メールアドレスと、オンラインアカウントへのアクセスを許可するパスワードまたはセキュリティの質問と答えとの組み合わせが含まれます3。
したがって、SMH のデータ侵害がニューヨーク州住民のこれらのデータ要素のいずれかに関係する場合、SMH が HIPAA に準拠しているかどうか、ニューヨーク州に 500 人以上の患者がいるかどうか、または信用監視サービスを提供しているかどうかに関係なく、SMH は侵害について彼らに通知する必要があります。また、SMH は影響を受けた個人に通知してから 10 日以内にニューヨーク州司法長官、国務省、州警察局に通知する必要があります3。さらに、侵害が電子医療記録に関係する場合、SMH はニューヨーク州保健局に通知する必要があります4。
参考資料: https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Other-Guides/Guide-on-Managing-and-Notifying-Data-Breaches-under-the-PDPA-15-Mar-2021.pdf?la=en
https://www.pcpd.org.hk/english/resources_centre/publications/files/guidance_note_dbn_e.pdf

グラム・リーチ・ブライリー法 (GLBA) は、銀行、信用組合、証券会社、保険会社などの金融機関が収集、使用、開示する消費者金融情報のプライバシーとセキュリティを規制する連邦法です12。GLBA に基づき、金融機関は、プライバシー ルールとセーフガード ルール12 という 2 つの主要なルールを遵守する必要があります。プライバシー ルールでは、金融機関が顧客に情報共有慣行について通知し、子供から個人情報を収集、使用、開示する前に検証可能な親の同意を得ることが義務付けられています12。プライバシー ルールでは、例外が適用されない限り、顧客に個人情報が特定の非関連第三者と共有されることを拒否する権利も与えられています12。セーフガード ルールでは、金融機関が顧客情報の機密性、セキュリティ、整合性を保護する包括的な情報セキュリティ プログラムを開発、実装、維持することが義務付けられています12。
したがって、銀行やその他の金融機関は、顧客が要求または承認した取引を完了するために開示が必要な場合や、情報を保護し、開示された目的にのみ使用することに同意したサービスプロバイダーまたは共同マーケティング担当者に開示する場合など、例外が適用されない限り、個人情報（PI）を関連のない第三者に転送して第三者が独自に使用する前にオプトアウトを提供する必要があります12。この要件は、金融機関による個人情報の使用と共有方法を顧客がより細かく制御できるようにし、顧客のプライバシー権を保護することを目的としています12。
参照: 1: グラム・リーチ・ブライリー法 | 連邦取引委員会、1. 2: グラム・リーチ・ブライリー法の消費者金融情報のプライバシー規則に準拠する方法 | 連邦取引委員会、2.