ビジネスアソシエイト契約

最終更新日: 2024年12月1日

HIPAA準拠:このビジネスアソシエイト契約(「BAA」)は、HIPAA規制に従ってWhispieが対象事業体を代理して保護医療情報(PHI)を取り扱う条件を定めるものです。

ビジネスアソシエイト契約

このビジネスアソシエイト契約(「本契約」)は、Black Eagle Group LLC(「ビジネスアソシエイト」)と以下に定義される対象事業体(「対象事業体」)との間で締結されます。

前文

対象事業体は、1996年の医療保険の携行性と責任に関する法律(公法104-191)(「HIPAA」)およびその下で公布された規制に従う義務があること;

ビジネスアソシエイトは対象事業体に特定のサービスを提供し、そのサービスに関連して、ビジネスアソシエイトは対象事業体から、または対象事業体を代理して保護医療情報を受領、作成、保持、または送信する可能性があること;

当事者は、HIPAAに準拠してかかる保護医療情報を保護するために本契約を締結することを望むこと;

したがって、以下の相互の約束を考慮して、当事者は以下に合意します:

1. 定義

本契約で使用されるが別に定義されない用語は、プライバシールールおよびセキュリティルールにおける用語と同じ意味を持ちます。

用語 定義
違反 PHIのセキュリティまたはプライバシーを損なうプライバシールールで許可されていない方法でのPHIの取得、アクセス、使用、または開示
対象事業体 電子形式で健康情報を送信する健康保険プラン、医療情報交換機関、または医療提供者
指定記録セット 個人に関する決定を行うために使用される対象事業体またはその代理が維持する記録のグループ
保護医療情報(PHI) いかなる形式または媒体で送信または維持される個別に識別可能な健康情報
法律による要求 事業体にPHIの使用または開示を強制する法律に含まれる義務
長官 保健福祉省長官

2. ビジネスアソシエイトの義務と活動

2.1 PHIの使用と開示

ビジネスアソシエイトは、本契約または法律による要求で許可または要求される場合を除き、保護医療情報を使用または開示しないことに同意します。

2.2 適切な保護措置

ビジネスアソシエイトは、本契約に定められたとおり以外の方法で保護医療情報が使用または開示されることを防ぐための適切な保護措置を使用します。

2.3 損害の軽減

ビジネスアソシエイトは、本契約の要件に違反するビジネスアソシエイトによる保護医療情報の使用または開示について、ビジネスアソシエイトが知っている有害な影響を実行可能な範囲で軽減することに同意します。

2.4 報告

ビジネスアソシエイトは、本契約で定められていない保護医療情報の使用または開示(45 CFR 164.410で要求されるセキュリティで保護されていない保護医療情報の違反を含む)を認識した場合に対象事業体に報告します。

2.5 サブコントラクター

ビジネスアソシエイトは、ビジネスアソシエイトを代理して保護医療情報を作成、受領、維持、または送信するサブコントラクターが、ビジネスアソシエイトに適用されるものと同じ制限、条件、要件に同意することを確保します。

2.6 PHIへのアクセス

ビジネスアソシエイトは、45 CFR 164.524の要件を満たすために、対象事業体の要求に応じて、指定記録セット内の保護医療情報への対象事業体またはその指示による個人へのアクセスを提供することに同意します。

2.7 PHIの修正

ビジネスアソシエイトは、対象事業体または個人の要求に基づいて対象事業体が指示または同意する45 CFR 164.526に従い、指定記録セット内の保護医療情報に対するいかなる修正も行うことに同意します。

2.8 開示の会計

ビジネスアソシエイトは、45 CFR 164.528に従って保護医療情報の開示の会計に関する個人の要求に対象事業体が応答するために必要となるような保護医療情報の開示およびかかる開示に関連する情報を文書化することに同意します。

2.9 内部慣行

ビジネスアソシエイトは、HIPAAルールへの準拠を決定する目的のために、長官に対してその内部慣行、帳簿、記録を利用可能にすることに同意します。

3. ビジネスアソシエイトによる許可された使用と開示

3.1 一般的な使用と開示

本契約で別途制限される場合を除き、ビジネスアソシエイトは、その使用または開示が対象事業体によって行われた場合にプライバシールールに違反しない限り、基礎となるサービス契約で指定された対象事業体のためまたはその代理として機能、活動、またはサービスを実行するために保護医療情報を使用または開示することができます。

3.2 特定の使用と開示

ビジネスアソシエイトは、ビジネスアソシエイトの適切な管理および運営のため、またはビジネスアソシエイトの法的責任を果たすために保護医療情報を使用することができます。

3.3 データ集計

ビジネスアソシエイトは、42 CFR 164.504(e)(2)(i)(B)により許可されているように、対象事業体にデータ集計サービスを提供するために保護医療情報を使用することができます。

4. 対象事業体の義務

4.1 プライバシー通知の規定

対象事業体は、45 CFR 164.520に従って対象事業体が作成するプライバシー通知、およびかかる通知への変更をビジネスアソシエイトに提供します。

4.2 変更の通知

対象事業体は、保護医療情報を使用または開示する個人の許可の変更または撤回について、その変更がビジネスアソシエイトによる保護医療情報の使用または開示に影響を与える範囲でビジネスアソシエイトに通知します。

4.3 制限の通知

対象事業体は、45 CFR 164.522に従って対象事業体が同意した保護医療情報の使用または開示に関するいかなる制限もビジネスアソシエイトに通知します。

5. 期間と終了

5.1 期間

本契約の期間は、基礎となるサービス契約の発効日から有効となり、対象事業体からビジネスアソシエイトに提供された、またはビジネスアソシエイトが対象事業体を代理して作成または受領したすべての保護医療情報が破棄されるか対象事業体に返却されるときに終了します。

5.2 原因による終了

対象事業体がビジネスアソシエイトによる重大な違反を知った場合、対象事業体は違反を修正するかまたは違反を終了させる機会をビジネスアソシエイトに提供します。ビジネスアソシエイトが対象事業体が指定した期間内に違反を修正または終了させない場合、対象事業体は本契約を終了します。

5.3 終了の効果

いかなる理由による本契約の終了時も、ビジネスアソシエイトは対象事業体から受領した、またはビジネスアソシエイトが対象事業体を代理して作成または受領したすべての保護医療情報を返却または破棄します。この規定はビジネスアソシエイトのサブコントラクターまたは代理人が保持する保護医療情報に適用されます。

6. その他の規定

6.1 規制上の参照

本契約のHIPAAルールのセクションへの参照は、有効または改正されたセクションを意味します。

6.2 修正

当事者は、HIPAAルールの要件への準拠のために必要に応じて本契約を修正するために必要な措置を講じることに同意します。

6.3 解釈

本契約の曖昧さは、対象事業体がHIPAAルールに準拠できるように解決されます。

6.4 第三受益者なし

本契約のいかなる内容も、当事者およびそれぞれの後継者または譲受人以外の人物にいかなる権利、救済、義務、または責任を付与するものではありません。

7. セキュリティと技術的保護措置

7.1 管理的保護措置

ビジネスアソシエイトは以下の管理的保護措置を実施します:

保護措置 実施内容 HIPAA参照
セキュリティ管理プロセス リスク分析、リスク管理、制裁ポリシー、情報システム活動のレビュー §164.308(a)(1)
人員セキュリティ 承認および/または監督、人員クリアランス手続き、終了手続き §164.308(a)(3)
情報アクセス管理 アクセス承認、アクセスの確立と修正 §164.308(a)(4)
セキュリティ意識とトレーニング セキュリティリマインダー、悪意のあるソフトウェアからの保護、ログイン監視、パスワード管理 §164.308(a)(5)

7.2 物理的保護措置

保護措置 実施内容 HIPAA参照
施設アクセス制御 緊急時の運用、施設セキュリティ計画、アクセス制御と検証手続き §164.310(a)(1)
ワークステーションの使用 ワークステーションの適切な使用に関する仕様 §164.310(b)
ワークステーションセキュリティ ワークステーションのための物理的保護措置 §164.310(c)
デバイスとメディアの制御 廃棄、メディアの再利用、説明責任、データバックアップと保存 §164.310(d)(1)

7.3 技術的保護措置

保護措置 実施内容 HIPAA参照
アクセス制御 固有のユーザー識別、緊急アクセス手続き、自動ログオフ、暗号化と復号化 §164.312(a)(1)
監査制御 活動を記録・検査するハードウェア、ソフトウェア、手続きのメカニズム §164.312(b)
完全性 電子保護医療情報を認証するメカニズム §164.312(c)(1)
人物またはエンティティの認証 アクセスを求める人物またはエンティティを確認する手続き §164.312(d)
送信セキュリティ 完全性制御、暗号化 §164.312(e)(1)

8. 違反通知要件

8.1 違反の定義

本契約の目的のために、「違反」は45 CFR § 164.402の「breach」と同じ意味を持ちます。

8.2 違反調査

ビジネスアソシエイトは潜在的な違反を調査し、調査とその結果を文書化します。

8.3 通知タイムライン

ビジネスアソシエイトは、違反の発見後60暦日以内に不合理な遅延なく対象事業体に通知を提供します。

8.4 通知の内容

違反通知には、可能な範囲で以下を含める必要があります:

以上を証するために

当事者は発効日付けで本ビジネスアソシエイト契約を締結しました。

ビジネスアソシエイト:

Black Eagle Group LLC
d/b/a Whispie
30 N Gould St Ste N
Sheridan, WY 82801, USA
メール: [email protected]

署名: ___________________________
氏名: ___________________________
役職: ___________________________
日付: ___________________________

対象事業体:

法人名: ___________________________
住所: ___________________________
メール: ___________________________

署名: ___________________________
氏名: ___________________________
役職: ___________________________
日付: ___________________________

発効日:2024年12月1日