サインアップ
お問い合わせ ログイン サインアップ
システム状態

保護対象保健情報(PHI)の取り扱いに関するHIPAA準拠契約書

この翻訳は便宜上提供されているものです。この文書の英語版が法的拘束力のある契約書となります。

最終更新日:2025年7月16日

本事業提携者契約書(以下「BAA」)は、主たる事業所をデラウェア州[COMPANY ADDRESS]に置くデラウェア州法人であるBloo Inc.(以下「事業提携者」)と、本契約に同意する事業体または組織(以下「対象事業体」)との間で、対象事業体による受諾日(以下「効力発生日」)をもって締結されます。本BAAにおいて、対象事業体と事業提携者をそれぞれ「当事者」と呼び、総称して「両当事者」と呼びます。

背景

  1. 対象事業体は、1996年医療保険の携行性と責任に関する法律(1996年公法第104-191号、HITECH法により修正、HHSが公布した関連規則を含む、総称して「HIPAA」)に定義される「対象事業体」または対象事業体の「事業提携者」であり、保護対象保健情報の機密性およびプライバシーに関するHIPAAの規定を遵守することが求められています。

  2. 両当事者は、事業提携者がBlueプラットフォームを通じて対象事業体に特定のサービスを提供する一つまたは複数の契約(総称して「本契約」)を締結している、または締結する予定です。

  3. 本契約に従ってサービスを提供するにあたり、事業提携者は保護対象保健情報にアクセスします。

  4. 本契約に従ってサービスを提供することにより、事業提携者はHIPAAに定義される対象事業体の「事業提携者」となります。

  5. 両当事者は、45 CFR第160部および第164部、サブパートAおよびE(総称して「プライバシー規則」)に規定される個人識別可能健康情報のプライバシー基準を含むがこれに限定されない、健康情報の機密性およびプライバシーを規定するすべての連邦法および州法を遵守することを約束します。

  6. 両当事者は、本契約、HIPAA、およびその他の適用法の条項に従って事業提携者に開示される保護対象保健情報のプライバシーを保護し、セキュリティを提供することを意図しています。

契約

よって、本書に含まれる相互の約束および条件、ならびに本BAAに依拠して本契約の下で対象事業体から事業提携者へのPHIの継続的な提供を約因として、両当事者は以下の通り合意します。

1. 定義

本BAAにおいて、両当事者は以下の各用語に以下の意味を与えます。本BAAで使用される大文字で表記された用語で、他に定義されていないものは、プライバシー規則または関連法で与えられた意味を有します。

1.1 45 CFR § 160.103で定義されるHIPAA用語:

  • 「保護対象保健情報」または「PHI」とは、事業提携者が対象事業体に代わって作成、受信、維持、または送信する個人識別可能健康情報を意味します。
  • 「対象事業体」は45 CFR §160.103でそれに与えられた意味を有します。
  • 「事業提携者」は45 CFR §160.103でそれに与えられた意味を有します。
  • 「漏洩」とは、45 CFR §164.402で定義される通り、PHIのセキュリティまたはプライバシーを損なうプライバシー規則で許可されていない方法でのPHIの取得、アクセス、使用、または開示を意味します。
  • 「指定記録セット」は45 CFR §164.501を含むプライバシー規則の下でその用語に与えられた意味を有します。

1.2 追加定義:

  • 「Blueサービス」とはhttps://www.blue.ccを通じて提供されるプロジェクト管理およびデータストレージサービスを意味します。
  • 「電子PHI」または「ePHI」とは45 CFR §160.103で定義される電子媒体で維持または送信されるPHIを意味します。
  • 「HHS」とは米国保健福祉省を意味します。
  • 「HITECH法」とは2009年アメリカ復旧・再投資法(公法111-005)の一部として制定された経済的・臨床的健康のための健康情報技術法を意味します。
  • 「個人」は45 CFR §§164.501および160.130でその用語に与えられた同じ意味を有し、45 CFR §164.502(g)に従って個人代理人として適格な人を含みます。
  • 「セキュリティインシデント」とは情報システムにおける情報への不正アクセス、使用、開示、改変、または破壊の試行もしくは成功、またはシステム運用への干渉を意味します。
  • 「セキュリティ規則」とは45 CFR第160部および第164部、サブパートAおよびCで提供される電子健康情報の保護のためのセキュリティ標準を意味します。
  • 「保護されていない保護対象保健情報」または「保護されていないPHI」とは、HHS長官が指定する技術または方法論の使用により、無許可の個人にとって使用不可能、読み取り不可能、または判読不可能にされていないPHIを意味します。

2. 事業提携者の義務

2.1 許可される使用:
事業提携者は以下の場合にのみPHIを使用または開示できます:

  • PHIを以下の目的のためにのみ処理:(a) 患者データストレージ (b) 治療/運営のための分析 (c) 利用規約で指定されたその他のサービス
  • 対象事業体に本契約で記載されたサービスを提供するために必要な場合
  • 事業提携者の事業の適切な管理および運営のため
  • 事業提携者の法的責任を果たすため
  • 法により要求される場合

2.2 禁止される使用および開示:
事業提携者は、本BAAで提供される方法以外、プライバシー規則で許可される場合、または法により要求される場合を除き、PHIを使用または開示しません。事業提携者は、HITECH法第13405条(b)項に従い、実行可能な範囲で、限定データセットとして、または使用もしくは開示の意図された目的を実行するために必要な最小限のPHIに限定してPHIを使用または開示します。

2.3 セーフガード:
事業提携者は、PHIの機密性、完全性、および可用性を合理的かつ適切に保護する管理的、物理的、および技術的セーフガードを以下を含めて実装します:

  • 保存時および転送時のAES-256暗号化
  • プロジェクトごとの権限を持つ役割ベースアクセス制御(RBAC)
  • PHIアクセス/変更を追跡する監査制御
  • 電子メール経由のマジックリンクを使用したセキュアな認証(パスワードレス)
  • 緊急アクセス手順文書
  • 本BAAで許可される以外のPHIの使用または開示を防ぐために必要なその他のセーフガード

3. 下請業者

3.1 承認された下請業者:
事業提携者は、対象事業体に提供されるサービスに関連して以下の下請業者を使用できます:

  • Cloudflare(転送暗号化)
  • Amazon AWS(ストレージ暗号化)

3.2 要件:

  • 事業提携者は、PHIにアクセスする、または事業提携者がPHIを提供するその代理人または下請業者が、本BAAに含まれるPHIの使用および開示に関する制限および条件に書面で同意することを保証します
  • 事業提携者はPHIを取り扱うすべての下請業者とBAAを維持します
  • 事業提携者は新しい下請業者について電子メール通知により30日前に通知します
  • 事業提携者は、すべての下請契約および合意が本BAAと同レベルのプライバシーおよびセキュリティを提供することを保証します

4. 報告要件

4.1 漏洩通知:

  • 事業提携者は、本BAAで提供されていないPHIの使用または開示について知った場合、5営業日以内に対象事業体に書面で報告します
  • 事業提携者は、保護されていないPHIの漏洩について発見から60暦日以内に報告します
  • 500人を超える個人が影響を受ける場合、事業提携者は即座に予備通知を提供します
  • 報告書は影響を受けた個人を特定し、漏洩の性質を記述し、取られた軽減措置を概説し、影響を受けた当事者への連絡手順を提供します

4.2 セキュリティインシデント:
事業提携者は、対象事業体の電子PHIに影響するセキュリティインシデントについて知った場合、5営業日以内に対象事業体に報告することに同意します。

5. データ管理

5.1 最小必要:

  • 事業提携者は、タスクに必要な最小限にPHIアクセスを制限するポリシーを実装します
  • 事業提携者は、そのセキュリティチームによる四半期ごとのアクセス審査を実施します

5.2 個人の権利:

  • 要求に応じて、事業提携者は、45 CFR §164.524に基づく個人のアクセス要求に対象事業体が対応できるよう、指定記録セットで事業提携者が維持するPHIのコピーを対象事業体に提供します
  • 対象事業体からの要求および指示に応じて、事業提携者は、45 CFR §164.526に従って対象事業体が指示する通りに指定記録セットのPHIを修正します
  • 事業提携者は、45 CFR §164.528に基づく開示の会計処理要求に対象事業体が対応するために必要な通り、PHIの開示を文書化します

5.3 廃棄:

  • 事業提携者はNIST 800-88標準を使用したセキュアな削除を実装します
  • PHI破棄証明書は要求に応じて利用可能になります

6. 期間および終了

6.1 期間:
本BAAは効力発生日に発効し、本契約および本BAAの下での両当事者のすべての義務が満たされるまで継続して効力を有します。

6.2 事由による終了:

  • 対象事業体は、事業提携者が本BAAの重要な条項に違反し、書面による通知後30日以内にその重要な違反を是正しなかった場合、本BAAおよび本契約を即座に終了できます
  • 事業提携者は、対象事業体が本BAAの重要な条項に違反し、通知後30日以内に是正しなかった場合、本BAAおよび本契約を終了できます

6.3 終了時の義務:

  • いかなる理由による本契約または本BAAの終了時も、事業提携者が維持するすべてのPHIは対象事業体に返還されるか破棄されます
  • 返還または破棄が実行不可能でない限り、事業提携者はPHIのコピーを保持しません
  • 実行不可能により保持されるPHIに関連する義務は終了後も存続します
  • 実行可能な場合、終了から180日以内に完全な破棄証明書が提供されます

6.4 存続:
本条項に基づく事業提携者の義務は、本BAAの終了後も存続します。

7. 一般条項

7.1 監査権:

  • 対象事業体は年次第三者HIPAA監査を要求する権利を有します
  • 事業提携者は、コンプライアンスの決定目的でHHSに対し、PHIの使用および開示に関するその内部慣行、帳簿、合意、記録、ならびにポリシーおよび手順を要求に応じて利用可能にします
  • 事業提携者はHHS監査要件に協力します

7.2 抵触:

  • HIPAA要件は本BAAまたは本契約の抵触する条項に優先します
  • 本BAAの条項と本契約の条項との間に抵触がある場合、本BAAの条項が優先します

7.3 修正:

  • 本BAAは、両当事者の権限ある代表者が正式に署名した書面によってのみ変更され、いかなる条項も放棄または修正されません
  • HIPAA規則または規制の変更により修正が必要な場合があります

7.4 HITECH法コンプライアンス:
両当事者は、HITECH法がHIPAA要件への重要な変更を含むことを認識します。各当事者は、HITECH法の適用条項およびHITECH法に関してHHSが発行する規制を遵守することに同意します。

7.5 データ所有権:
事業提携者のデータ管理は、本契約の下で共有されるあらゆる形式のPHIを含むデータに関して、事業提携者にデータ所有権を付与しません。

7.6 第三者受益者なし:
本BAAで明示的に述べられている場合または法により提供される場合を除き、本BAAは第三者の利益に権利を創設しません。

7.7 通知:
本BAAの下で当事者に与えられるすべての通知、要求および要望またはその他の通信は、第一種郵便、書留もしくは証明もしくは速達便、または当事者のアカウント登録時に提供されたもしくはその後書面で更新された住所への電子メールによって行われます。

これを証して、両当事者は、アカウント作成時のこれらの条項の対象事業体による受諾、またはこれらの条項の通知後のBlueサービスの継続使用を通じて、上記の条項への合意を認めます。

© Blue | 愛を込めて設計 全体にわたって

AIアシスタント

回答はAIを使用して生成されており、間違いが含まれる可能性があります。

どのようにお手伝いできますか?

Blueやこのドキュメントについて何でも聞いてください。

送信するにはEnterを押してください • 新しい行を作成するにはShift+Enterを押してください • ⌘Iで開く