---

最終更新日：2025年7月16日

この翻訳は便宜上提供されているものです。この文書の英語版が法的拘束力のある契約書となります。

1. はじめに

このHIPAAプライバシーポリシーは、Bloo, Inc.（「当社」、「我々」、または「Blue」）が、1996年医療保険の携行性と責任に関する法律（HIPAA）およびその実施規則に従って、保護対象保健情報（PHI）のプライバシーと安全性をどのように保護するかについて説明します。このポリシーは、当社のウェブサイトwww.Blue.ccおよび当社のB2B SaaSプラットフォームがPHIの取り扱いに使用される場合に適用されます。

2. 定義

• 保護対象保健情報（PHI）：特定の個人に結び付けることができる健康状態、ヘルスケアの提供、またはヘルスケアの支払いに関する情報。
• 対象事業体：電子的に保健情報を送信するヘルスケアプロバイダー、健康保険、およびヘルスケア情報処理機関。
• 事業提携者：対象事業体の代理でPHIの使用または開示を伴う特定の機能や活動を実行する、または対象事業体にサービスを提供する個人または事業体。

3. 当社の役割

BlueはB2B SaaSプラットフォームがPHIの取り扱いに使用される際に、対象事業体に対する事業提携者として機能します。当社はこの立場でHIPAA規則を遵守することをお約束いたします。

4. 当社が取り扱う可能性のあるPHI

事業提携者として、当社は以下を含むがこれに限定されない様々な種類のPHIを取り扱う場合があります：

• 患者氏名
• 住所
• 日付（生年月日、入院日、退院日など）
• 電話番号
• メールアドレス
• 診療記録番号
• アカウント番号
• 健康保険受益者番号

5. PHIの使用および開示

当社は、対象事業体との事業提携者契約により許可され、HIPAA規則に準拠する場合にのみPHIを使用または開示いたします。これには以下が含まれる場合があります：

• 当社のB2B SaaSプラットフォームサービスの提供
• サービス改善のためのデータ分析の実施
• システムメンテナンスとトラブルシューティングの実行

当社は、対象事業体および個人により明示的に承認されない限り、マーケティング目的でPHIを使用または開示することや、PHIを販売することはいたしません。

6. データセキュリティ対策

当社は、PHIを保護するために以下を含む強固なセキュリティ対策を実装しています：

• 保存時および転送時のデータに対する企業レベルの暗号化（AES-256）
• 高度な監視およびアラートシステム
• バックエンドシステムの多要素認証（MFA）
• 定期的な第三者セキュリティ監査
• 日次データバックアップ
• 外部セキュリティ研究者との協力

7. 従業員研修およびアクセス

当社の全従業員は、HIPAA遵守に関する定期的な研修を受けています。PHIへのアクセスは、必要最小限の原則に基づいて承認された担当者に制限されています。

8. データ保持

当社は、サービス提供に必要な期間、または法律により要求される期間のみPHIを保持します。PHIが削除されると、完全な削除前に30日間保持されます。

9. データ保存および転送

PHIは、AWSデータセンターにおいて暗号化された状態で保存されます。当社がPHIを米国外（例：シンガポール）に転送する場合、適切な保護措置が講じられ、適用される全ての法律および規則を遵守することを保証します。

10. 侵害通知

未保護のPHIの侵害が発生した場合、当社は影響を受けた対象事業体に対して、不当な遅延なく、かつ侵害の発見から60暦日以内に通知いたします。

11. 個人の権利

当社は、以下を含むHIPAA下での個人の権利に関して、対象事業体がその義務を履行することを支援いたします：

• 自身のPHIにアクセスする権利
• 自身のPHIの修正を要求する権利
• 開示の説明を受ける権利
• 自身のPHIの使用および開示に対する制限を要求する権利
• 機密性の高い通信を要求する権利

個人がこれらの権利を行使する場合は、その医療提供者（対象事業体）に連絡する必要があります。

12. 事業提携者契約（BAA）

事業提携者として、BlueはHIPAAにより要求される事業提携者契約（BAA）を対象事業体と締結することをお約束いたします。対象事業体で、保護対象保健情報（PHI）の取り扱いに当社のサービスをご利用希望の場合、当社との署名済みBAAが必要となります。

BAAをご要望の場合：

1. sales@blue.ccまたは当社ウェブサイトの問い合わせフォームから営業チームにご連絡ください。
2. HIPAA遵守のためのBAAが必要な対象事業体である旨をお伝えください。
3. 貴組織名および連絡先情報をご提供ください。
4. 当社チームが2営業日以内に標準BAAまたはカスタム要件についてご返答いたします。

ご注意ください：

• 当社は、法務チームがHIPAA遵守についてレビューした標準BAAテンプレートを使用しています。
• 標準BAAの修正には、追加のレビューおよび承認が必要な場合があります。
• 署名前に、貴社の法務顧問にBAAをレビューしていただくことをお勧めします。
• 当社プラットフォームを通じてPHIが処理される前に、署名済みBAAが必要です。

13. このポリシーの変更

当社は、このHIPAAプライバシーポリシーを随時更新する場合があります。このページに新しいプライバシーポリシーを掲載することにより、重要な変更について対象事業体に通知いたします。すべてのバージョン管理された変更は、当社のGitlabリポジトリでご確認いただけます。

14. お問い合わせ

このHIPAAプライバシーポリシー、当社のデータ取り扱い、またはBAAプロセスについてご質問がございましたら、当社プライバシー責任者までご連絡ください：

Emanuele FAJA、CEO
メール：support@blue.cc