特定の連邦執行機関の目的を正確に説明しているものはどれですか?

FERPA によれば、学校はどのような場合に生徒の同意なしに記録を開示できるのでしょうか?

次の州のうち、生体認証データの収集を具体的に規制する法律を制定した最初の州はどれですか?

シナリオ
次の質問に回答するには、以下を使用してください。
あなたは、米国 A 州の大都市にある大規模病院、HealthCo の最高プライバシー責任者です。
HealthCo は HIPAA の対象事業体であり、100,000 人以上の患者に医療サービスを提供しています。サードパーティのクラウド コンピューティング サービス プロバイダーである CloudHealth は、HealthCo に代わってこれらの個人の電子保護医療情報 (ePHI) を保存および管理しています。CloudHealth はデータを状態 B に保存します。
HealthCo と CloudHealth とのビジネス アソシエート契約 (BAA) の一環として、HealthCo は CloudHealth に対し、データを適切に保護するために業界標準の暗号化手法を含むセキュリティ対策を実施することを要求しています。しかし、HealthCo は契約締結前に CloudHealth に対してデューデリジェンスを実施しておらず、CloudHealth のセキュリティ対策の監査も実施していません。
CloudHealth の従業員が最近フィッシング攻撃の被害者になりました。従業員が不審なメールのリンクをうっかりクリックしたため、HealthCo の患者 10,000 人以上の PHI が侵害され、その後、その情報がオンラインで公開されました。HealthCo のサイバーセキュリティ チームは、犯人が他の病院に対して同様の攻撃を仕掛けた既知のハッカーであることをすぐに特定しました。この攻撃では、著名人や政治家などの公人の PHI が漏洩しました。
調査の過程で、HealthCo は、CloudHealth が契約条件に従って PHI を暗号化していなかったことを発見しました。さらに、CloudHealth は従業員にプライバシーやセキュリティに関するトレーニングを提供していませんでした。法執行機関は、HealthCo に対し、侵害に関する調査報告書と影響を受けた個人の PHI のコピーを提供するよう要求しました。
侵害の影響を受けた患者は、HealthCo 社が患者の ePHI を適切に保護しなかったため、漏洩したデータによって患者が多大な損害を被ったと主張して同社を訴えました。患者の弁護士は、侵害で漏洩した ePHI に関する証拠開示請求を提出しました。
米国保健福祉省 (HHS) が HealthCo に罰金を課す可能性がある最も重要な理由は何ですか?

米国の民間部門の職場監視について最もよく説明されているのは次のどれですか?