기능 요금 API 레퍼런스 소개
로그인 가입

비즈니스 연계 계약(BAA)

v1.0 -- 2026년 3월 시행

Morlivo는 Stelica Ventures LLC(텍사스 유한책임회사)의 브랜드로("Morlivo", "Business Associate"), HITECH 법에 의해 개정된 1996년 Health Insurance Portability and Accountability Act(HIPAA)에 따라 Protected Health Information(PHI)를 보호하기 위해 최선을 다합니다. 본 Business Associate Agreement("BAA")는 PHI 취급과 관련하여 Morlivo와 당사 고객("Covered Entity") 간의 관계를 규율합니다. 'Morlivo' 또는 'Morlivo.ai'에 대한 언급은 Morlivo.ai로 영업하는 Stelica Ventures LLC를 의미합니다.

1. 범위 및 목적

이 Business Associate Agreement("BAA")는 Covered Entity와 Business Associate 간의 서비스 계약을 보완하며 그 일부를 구성합니다. 이는 Business Associate가 Morlivo가 제공하는 번역, 전사 및 언어 처리 서비스(이하 "Services")와 관련하여 Covered Entity를 대신하여 보호 건강 정보("PHI")를 생성, 수신, 보관 또는 전송할 수 있는 조건을 규정합니다.

당사자들은 Business Associate가 서비스를 제공하는 과정에서 PHI에 접근하거나 이를 사용·공개할 수 있음을 인정하며, 본 BAA는 해당 PHI와 관련하여 HIPAA, HITECH Act 및 그 시행 규정(통칭 "HIPAA Rules")의 적용 조항에 따른 Business Associate의 의무를 규정합니다.

2. 허용된 사용 및 공개

비즈니스 연계인은 PHI를 다음과 같은 경우에만 사용하거나 공개할 수 있습니다:

  • 기본 서비스 계약에 설명된 서비스를 수행하는 데 필요한 범위에서.
  • 법률에 의해 요구되는 경우, 여기에는 미 보건복지부 장관이 요구하는 공개사항을 포함하되 이에 국한되지 않습니다.
  • Business Associate의 적절한 관리 및 운영을 위해, 단, 공개가 법률에 의해 요구되는 경우 또는 Business Associate가 제3자로부터 정보가 기밀로 유지된다는 합리적 보장을 받는 경우에 한한다.
  • 서비스 계약에 명시적으로 승인된 경우, 피보호 기관(Covered Entity)의 의료 운영과 관련된 데이터 집계 서비스를 제공하기 위함.

Business Associate는 본 BAA에서 명시적으로 허용되는 경우를 제외하고 Covered Entity가 행하는 경우 HIPAA 규칙을 위반하게 될 방식으로 PHI를 사용하거나 공개해서는 안 됩니다. Business Associate는 PHI를 마케팅 목적으로 사용하거나 PHI를 판매하거나, 보험 인수(underwriting) 목적으로 PHI를 사용해서는 안 됩니다.

3. 보호 조치

Business Associate는 HIPAA 보안 규칙에서 요구하는 바와 같이 전자 PHI(ePHI)를 포함한 PHI의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 관리적, 물리적 및 기술적 안전장치를 구현하고 유지해야 합니다. 이러한 안전장치에는 다음이 포함되지만 이에 국한되지는 않습니다:

  • 휴지 상태의 ePHI 암호화는 AES-256을 사용하며 전송 중 암호화는 TLS 1.2 이상을 사용합니다.
  • 권한 있는 인원만 PHI에 접근하도록 제한하는 역할 기반 접근 제어.
  • PHI에 대한 모든 접근 및 변경사항에 대한 포괄적인 감사 로깅.
  • 정기적인 위험 평가 및 취약점 스캔.
  • 직원 대상 HIPAA 요구사항 및 보안 인식 교육.
  • 서비스에 더 이상 필요하지 않은 PHI의 안전한 폐기 절차.

Business Associate는 45 CFR § 164.502(e)(1)(ii)에 따라 PHI를 제공받는 모든 대리인(하청업체 포함)이 본 BAA에 따라 Business Associate에 적용되는 동일한 제한 및 조건에 동의하도록 보장해야 합니다.

4. 침해 통지

Business Associate는 본 BAA에서 허용되지 않는 PHI의 사용 또는 공개(45 CFR § 164.402에 정의된 Unsecured PHI의 유출을 포함)를 인지한 경우 이를 Covered Entity에 보고해야 합니다. Business Associate는 그러한 통지를 불합리하게 지체 없이 제공해야 하며, 어떠한 경우에도 위반을 발견한 후 삼십(30) 캘린더일을 초과하여 통지해서는 안 됩니다.

통지에는 가능한 범위에서 다음이 포함됩니다:

  • 보호되지 않은 PHI에 접근, 획득, 사용 또는 공개되었거나 그럴 것으로 합리적으로 추정되는 각 개인의 식별.
  • 침해의 성격에 대한 설명(관련된 PHI의 유형 포함).
  • 유출 발생일과 발견일.
  • 비즈니스 어소시에이트가 침해를 조사하고 완화하며 향후 발생을 방지하기 위해 취하고 있는 조치에 대한 설명.
  • 추가 정보를 제공할 수 있는 담당자들의 연락처 정보.

5. 기간 및 해지

본 BAA는 서명일에 발효되며, 본 문서에 규정된 바에 따라 조기 해지되지 않는 한 기초 서비스 계약의 기간 동안 유효합니다.

어느 당사자든 상대방이 본 BAA의 중대한 조항을 위반했다고 판단하는 경우 본 BAA를 해지할 수 있습니다. 비위반 당사자는 위반 당사자에게 서면으로 위반 사실을 통지하고 30일의 시정 기간을 부여해야 합니다. 시정이 불가능한 경우 비위반 당사자는 본 BAA 및 근본적인 서비스 계약을 즉시 해지할 수 있습니다.

해지 시 Business Associate는 Covered Entity의 선택에 따라 Covered Entity로부터 수령했거나 그를 대신하여 생성한 모든 PHI를 반환하거나 파기해야 합니다. 반환 또는 파기가 불가능한 경우 Business Associate는 해당 PHI에 대해 본 BAA의 보호조치를 연장하고, 반환 또는 파기를 불가능하게 만드는 목적에 한정하여 추가 사용 및 공개를 제한해야 합니다.

6. 적용 대상자의 의무

  • Covered Entity는 Business Associate의 PHI 사용 또는 공개에 영향을 미칠 수 있는 자체 Notice of Privacy Practices의 어떤 제한사항도 Business Associate에게 통지해야 합니다.
  • Covered Entity는 개인이 PHI를 사용하거나 공개하도록 한 권한의 변경 또는 취소가 Business Associate의 허용된 사용 및 공개에 영향을 미칠 수 있는 범위에서 그 변경 사항 또는 권한의 취소를 Business Associate에게 통지해야 합니다.
  • Covered Entity는 Business Associate에게 HIPAA 규칙을 위반하는 방식으로 PHI를 사용하거나 공개하도록 요청해서는 안 됩니다.

7. 기타

본 BAA는 HIPAA Rules를 포함한 적용 가능한 연방법에 따라 규율되고 해석됩니다. 본 BAA의 모호한 사항은 HIPAA Rules 준수를 허용하도록 해석되어야 합니다. 본 BAA는 이와 관련된 당사자 간의 완전한 합의를 구성하며, 동일한 주제에 관한 모든 이전의 서면 또는 구두 합의를 대체합니다.

BAA 요청

Business Associate Agreement를 요청하려면 당사의 컴플라이언스 팀에 문의하세요. 당사는 귀 조직의 요구에 맞춘 BAA를 체결할 수 있도록 협력하겠습니다.

컴플라이언스 팀에 문의 BAA 템플릿 요청