1. 範囲と目的
本Business Associate Agreement ("BAA")は、Covered EntityとBusiness Associate間のサービス契約を補完し、その一部を構成します。本BAAは、Morlivoが提供する翻訳、文字起こし、言語処理サービス("Services")に関連して、Business AssociateがCovered Entityに代わってProtected Health Information ("PHI")を作成、受領、保管、または送信するための条件を定めるものです。
当事者は、Business AssociateがServicesを提供する過程でPHIにアクセス、使用、または開示する可能性があることを認め、本BAAは、HIPAA、HITECH Actおよびそれらの施行規則(総称して "HIPAA Rules")の該当規定に従い、当該PHIに関するBusiness Associateの義務を定めるものとする。
2. 許可される使用と開示
業務提携者は、PHI を次の場合にのみ使用または開示できます。
- 基礎となるサービス契約に記載されているサービスを実行するために必要な場合。
- 法律で義務付けられている場合。これには、米国保健福祉省長官によって要求される開示が含まれますが、これに限定されません。
- 業務提携業者の適切な管理および運営のため。ただし、法律により開示が義務付けられている場合、または業務提携業者が情報が機密として保持されることについて第三者から合理的な保証を取得している場合に限ります。
- サービス契約で明示的に許可されている場合、対象事業体の医療業務に関連するデータ集約サービスを提供するため。
Business Associate は、本 BAA で明示的に許可される場合を除き、Covered Entity によって行われた場合に HIPAA 規則に違反するような方法で PHI を使用または開示してはなりません。Business Associate は、PHI をマーケティング目的で使用したり、PHI を販売したり、引受(アンダーライティング)目的で PHI を使用したりしてはなりません。
3. 安全対策
Business Associate は、HIPAA セキュリティ規則が要求するように、PHI(電子的 PHI(ePHI)を含む)の機密性、完全性、および可用性を合理的かつ適切に保護する行政的、物理的、技術的な安全対策を実施し、維持するものとします。これらの安全対策には、以下を含むがこれらに限定されない:
- 保存時は AES-256 を使用し、転送中は TLS 1.2 以降を使用して ePHI を暗号化します。
- 役割ベースのアクセス制御により、PHI アクセスを許可された担当者のみに制限します。
- PHI へのすべてのアクセスと変更の包括的な監査ログ。
- 定期的なリスク評価と脆弱性スキャン。
- HIPAA 要件とセキュリティ意識に関する従業員トレーニング。
- PHI の安全な廃棄手順は、サービスには必要なくなりました。
Business Associate は、PHI を提供するすべての代理人(下請業者を含む)が、本 BAA に基づき Business Associate に適用されるのと同じ制限および条件に同意するよう確保するものとします(45 CFR § 164.502(e)(1)(ii) に従う)。
4. 違反通知
Business Associate は、本 BAA により許可されない PHI の使用または開示(45 CFR § 164.402 で定義される Unsecured PHI の漏洩(Breach)を含む)を認識した場合、Covered Entity に報告するものとします。Business Associate は、そのような通知を不当な遅延なく、かつ漏洩(Breach)の発見後いかなる場合も暦日で三十(30)日以内に行うものとします。
通知には、可能な範囲で以下を含めるものとします。
- 安全でない PHI がアクセス、取得、使用、または開示された、またはアクセス、取得、使用、または開示されたと合理的に考えられる各個人の ID。
- 関係する PHI の種類を含む、侵害の性質の説明。
- 侵害の日付とその発見の日付。
- ビジネスアソシエイトが違反を調査して緩和し、今後の発生を防ぐために講じている手順の説明。
- 追加の詳細を提供できる個人の連絡先情報。
5. 期間と終了
本BAAは、締結日をもって効力を生じ、ここに定める早期終了がない限り、基礎となるサービス契約の期間中有効とします。
いずれの当事者も、相手方が本 BAA の重要な条項に違反したと判断した場合、本 BAA を終了させることができます。違反していない当事者は、違反している当事者に対して書面で違反を通知し、是正のために三十(30)日間の猶予を与えるものとします。是正が実行不可能な場合、違反していない当事者は、本 BAA および基礎となるサービス契約の両方を直ちに終了させることができます。
終了時に、Business AssociateはCovered Entityの選択に従い、Covered Entityから受領した、またはCovered Entityのために作成したすべてのPHIを返却または破棄するものとします。返却または破棄が実行不可能な場合、Business Associateは本BAAの保護を当該PHIに拡張し、返却または破棄が実行不可能である目的に限定してさらなる利用および開示を行うものとします。
6. 対象となる事業体の義務
- 対象事業体は、業務提携業者による PHI の使用または開示に影響を与える可能性のあるプライバシー慣行に関する通知の制限を業務提携業者に通知するものとします。
- 対象事業体は、個人による PHI の使用または開示の許可の変更または取り消しについて、そのような変更が業務提携者の許可された使用および開示に影響を及ぼす可能性がある範囲で、業務提携者に通知するものとします。
- 対象事業体は、HIPAA 規則に違反するような方法で PHI を使用または開示することを業務提携者に要求してはなりません。
7. その他
本BAAは、HIPAA Rulesを含む適用される連邦法に準拠し、それに従って解釈されるものとします。本BAAのいかなる曖昧さもHIPAA Rulesへの準拠を可能とするように解釈されるものとします。本BAAは本件事項に関する当事者間の完全な合意を構成し、同一の事項に関してなされた従前の書面・口頭を問わないすべての合意に優先します。