---

면책조항: 본 한국어 번역본은 참고용이며, 영어 원본이 공식 버전입니다.

최종 업데이트: 2025년 7월 16일

본 사업 협력 계약서("BAA")는 주요 사업장이 [회사 주소]에 위치한 델라웨어 법인 Bloo Inc.("사업 협력업체")와 본 계약에 동의하는 기관 또는 조직("대상 기관") 간에 대상 기관의 수락일("효력 발생일")부로 체결됩니다. 본 BAA에서 대상 기관과 사업 협력업체는 각각 "당사자"이며, 총칭하여 "당사자들"입니다.

배경

1. 대상 기관은 1996년 건강보험 이동성 및 책임에 관한 법률, 공법 104-191호에서 정의된 바와 같이 HITECH 법에 의해 수정되고 HHS에서 공포한 관련 규정(총칭하여 "HIPAA")에 따른 "대상 기관" 또는 대상 기관의 "사업 협력업체"이며, 따라서 보호되는 건강정보의 기밀성 및 개인정보보호에 관한 HIPAA 조항을 준수해야 합니다;

2. 당사자들은 사업 협력업체가 Blue 플랫폼을 통해 대상 기관에 특정한 서비스를 제공하는 하나 이상의 계약(총칭하여 "계약")을 체결했거나 체결할 예정입니다;

3. 계약에 따른 서비스 제공 과정에서 사업 협력업체는 보호되는 건강정보에 접근하게 됩니다;

4. 계약에 따른 서비스 제공을 통해 사업 협력업체는 HIPAA에서 정의한 바와 같이 대상 기관의 "사업 협력업체"가 됩니다;

5. 양 당사자는 45 CFR 제160편 및 제164편, 하위편 A 및 E에서 찾을 수 있는 개별적으로 식별 가능한 건강정보의 개인정보보호 표준(총칭하여 "개인정보보호 규칙")을 포함하되 이에 국한되지 않는 건강정보의 기밀성 및 개인정보보호에 관한 모든 연방 및 주 법률을 준수하기로 약속합니다; 그리고

6. 양 당사자는 본 계약, HIPAA 및 기타 적용 법률의 조건에 따라 사업 협력업체에게 공개되는 보호되는 건강정보의 개인정보를 보호하고 보안을 제공하고자 합니다.

계약

따라서, 본 문서에 포함된 상호 약속 및 조건과 본 BAA에 의존하여 계약 하에서 대상 기관이 사업 협력업체에게 계속 PHI를 제공하는 것을 고려하여, 당사자들은 다음과 같이 합의합니다:

1. 정의

본 BAA의 목적상, 당사자들은 아래 각 용어에 다음과 같은 의미를 부여합니다. 본 BAA에서 사용되는 대문자로 표기된 용어가 별도로 정의되지 않은 경우, 해당 용어는 개인정보보호 규칙 또는 관련 법률에서 부여된 의미를 갖습니다.

1.1 45 CFR § 160.103에서 정의된 HIPAA 용어:

• "보호되는 건강정보" 또는 "PHI"는 대상 기관을 대신하여 사업 협력업체가 생성, 수신, 유지 또는 전송하는 개별적으로 식별 가능한 건강정보를 의미합니다.
• "대상 기관"은 45 CFR §160.103에서 해당 용어에 부여된 의미를 갖습니다.
• "사업 협력업체"는 45 CFR §160.103에서 해당 용어에 부여된 의미를 갖습니다.
• "침해"는 45 CFR §164.402에서 정의된 바와 같이 PHI의 보안 또는 개인정보를 침해하는 개인정보보호 규칙에서 허용되지 않는 방식으로 PHI를 취득, 접근, 사용 또는 공개하는 것을 의미합니다.
• "지정 기록 세트"는 45 CFR §164.501을 포함하여 개인정보보호 규칙에서 해당 용어에 부여된 의미를 갖습니다.

1.2 추가 정의:

• "Blue 서비스"는 https://www.blue.cc를 통해 제공되는 프로젝트 관리 및 데이터 저장 서비스를 의미합니다
• "전자 PHI" 또는 "ePHI"는 45 CFR §160.103에서 정의된 전자 매체에 의해 유지되거나 전송되는 모든 PHI를 의미합니다.
• "HHS"는 미국 보건복지부를 의미합니다.
• "HITECH 법"은 2009년 미국 경기회복 및 재투자법의 일부로 제정된 경제적 및 임상적 건강을 위한 건강정보기술법, 공법 111-005호를 의미합니다.
• "개인"은 45 CFR §§164.501 및 160.130에서 해당 용어에 부여된 동일한 의미를 가지며, 45 CFR §164.502(g)에 따라 개인 대리인으로 자격을 갖춘 사람을 포함합니다.
• "보안 사건"은 정보 시스템에서 정보에 대한 무단 접근, 사용, 공개, 수정 또는 파괴를 시도하거나 성공하거나 시스템 운영을 방해하는 것을 의미합니다.
• "보안 규칙"은 45 CFR 제160편 및 제164편, 하위편 A 및 C에서 제공되는 전자 건강정보 보호를 위한 보안 표준을 의미합니다.
• "보안되지 않은 보호되는 건강정보" 또는 "보안되지 않은 PHI"는 HHS 장관이 지정한 기술 또는 방법론을 사용하여 무단 개인에게 사용 불가능하거나, 읽을 수 없거나, 해독할 수 없게 만들어지지 않은 모든 PHI를 의미합니다.

2. 사업 협력업체의 의무

2.1 허용되는 사용:
사업 협력업체는 다음과 같은 경우에만 PHI를 사용하거나 공개할 수 있습니다:

• 다음 목적으로만 PHI 처리: (a) 환자 데이터 저장 (b) 치료/운영을 위한 분석 (c) 서비스 약관에 명시된 기타 서비스
• 계약에서 설명된 서비스를 대상 기관에 제공하는 데 필요한 경우
• 사업 협력업체 사업의 적절한 관리 및 운영을 위해
• 사업 협력업체의 법적 책임을 수행하기 위해
• 법률에 의해 요구되는 경우

2.2 금지되는 사용 및 공개:
사업 협력업체는 본 BAA에서 제공된 것 이외의 방식으로, 개인정보보호 규칙에서 허용되지 않은 방식으로, 또는 법률에 의해 요구되지 않은 방식으로 PHI를 사용하거나 공개하지 않습니다. 사업 협력업체는 HITECH 법 제13405(b)항에 따라 실행 가능한 범위 내에서 PHI를 제한된 데이터 세트로 사용하거나 공개하거나, 사용 또는 공개의 목적을 수행하는 데 필요한 최소한의 PHI로 제한하여 사용하거나 공개합니다.

2.3 보호조치:
사업 협력업체는 다음을 포함하여 PHI의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 관리적, 물리적, 기술적 보호조치를 구현합니다:

• 저장 및 전송 시 AES-256 암호화
• 프로젝트별 권한을 가진 역할 기반 접근 제어(RBAC)
• PHI 접근/수정을 추적하는 감사 제어
• 이메일을 통한 매직 링크를 사용한 보안 인증(비밀번호 없음)
• 응급 접근 절차 문서화
• 본 BAA에서 허용된 것 이외의 PHI 사용 또는 공개를 방지하는 데 필요한 기타 보호조치

3. 하청업체

3.1 승인된 하청업체:
사업 협력업체는 대상 기관에 제공되는 서비스와 관련하여 다음 하청업체를 사용할 수 있습니다:

• Cloudflare (전송 암호화)
• Amazon AWS (저장 암호화)

3.2 요구사항:

• 사업 협력업체는 PHI에 접근하거나 사업 협력업체가 PHI를 제공하는 모든 대리인 또는 하청업체가 본 BAA에 포함된 PHI 사용 및 공개에 관한 제한 및 조건에 서면으로 동의하도록 보장합니다
• 사업 협력업체는 PHI를 처리하는 모든 하청업체와 BAA를 유지합니다
• 사업 협력업체는 새로운 하청업체에 대해 이메일 알림을 통해 30일 전 통지를 제공합니다
• 사업 협력업체는 모든 하도급 계약 및 협정이 본 BAA와 동일한 수준의 개인정보보호 및 보안을 제공하도록 보장합니다

4. 보고 요구사항

4.1 침해 통지:

• 사업 협력업체는 본 BAA에서 제공되지 않은 PHI의 사용 또는 공개를 알게 된 경우 영업일 기준 5일 이내에 대상 기관에 서면으로 보고합니다
• 사업 협력업체는 보안되지 않은 PHI의 침해를 발견한 날로부터 60일 이내에 보고합니다
• 500명 이상의 개인이 영향을 받은 경우 사업 협력업체는 즉시 예비 통지를 제공합니다
• 보고서는 영향을 받은 개인을 식별하고, 침해의 성격을 설명하며, 취해진 완화 조치를 설명하고, 영향받은 당사자들을 위한 연락 절차를 제공합니다

4.2 보안 사건:
사업 협력업체는 대상 기관의 전자 PHI에 영향을 미치는 보안 사건을 알게 된 경우 영업일 기준 5일 이내에 대상 기관에 보고하기로 합의합니다.

5. 데이터 관리

5.1 최소 필요:

• 사업 협력업체는 업무에 필요한 최소한으로 PHI 접근을 제한하는 정책을 구현합니다
• 사업 협력업체는 보안팀에 의해 분기별 접근 검토를 수행합니다

5.2 개인의 권리:

• 요청 시, 사업 협력업체는 45 CFR §164.524에 따른 개인의 접근 요청에 대상 기관이 응답할 수 있도록 지정 기록 세트에서 사업 협력업체가 유지하는 PHI의 사본을 대상 기관에 제공합니다
• 대상 기관의 요청 및 지시에 따라, 사업 협력업체는 45 CFR §164.526에 따라 대상 기관이 지시한 대로 지정 기록 세트의 PHI를 수정합니다
• 사업 협력업체는 45 CFR §164.528에 따른 공개 내역 요청에 대상 기관이 응답하는 데 필요한 PHI 공개를 문서화합니다

5.3 폐기:

• 사업 협력업체는 NIST 800-88 표준을 사용하여 보안 삭제를 구현합니다
• 요청 시 PHI 파기 증명서를 제공합니다

6. 기간 및 종료

6.1 기간:
본 BAA는 효력 발생일에 발효되며, 계약 및 본 BAA 하에서 당사자들의 모든 의무가 이행될 때까지 계속 효력을 유지합니다.

6.2 사유에 의한 종료:

• 대상 기관이 사업 협력업체가 본 BAA의 중대한 조항을 위반했다고 판단하고 사업 협력업체가 서면 통지 후 30일 이내에 해당 중대한 위반을 치유하지 못한 경우, 대상 기관은 본 BAA와 계약을 즉시 종료할 수 있습니다
• 사업 협력업체가 대상 기관이 본 BAA의 중대한 조항을 위반했다고 판단하고 통지 후 30일 이내에 치유하지 못한 경우, 사업 협력업체는 본 BAA와 계약을 종료할 수 있습니다

6.3 종료 시 의무:

• 어떤 이유든 계약 또는 본 BAA가 종료되면, 사업 협력업체가 유지하는 모든 PHI는 대상 기관에 반환되거나 파기됩니다
• 반환이나 파기가 불가능한 경우가 아닌 한 사업 협력업체는 PHI의 사본을 보유하지 않습니다
• 불가능으로 인해 보유된 PHI와 관련된 의무는 종료 후에도 존속합니다
• 가능한 경우 종료 후 180일 이내에 완전한 파기 증명서를 제공합니다

6.4 존속:
이 조에 따른 사업 협력업체의 의무는 본 BAA의 종료 후에도 존속합니다.

7. 일반 조항

7.1 감사 권리:

• 대상 기관은 연간 제3자 HIPAA 감사를 요청할 권리가 있습니다
• 사업 협력업체는 HHS의 준수 결정 목적을 위해 HHS에 PHI 사용 및 공개와 관련된 내부 관행, 장부, 계약, 기록, 정책 및 절차를 요청 시 제공합니다
• 사업 협력업체는 HHS 감사 요구사항에 협력합니다

7.2 충돌:

• HIPAA 요구사항이 본 BAA 또는 계약의 상충되는 조항보다 우선합니다
• 본 BAA의 조항과 계약의 조항 간에 충돌이 있는 경우, 본 BAA의 조항이 우선합니다

7.3 수정:

• 본 BAA는 당사자들의 권한 있는 대표자가 정식으로 서명한 서면에 의하지 않고는 수정되거나 조항이 포기되거나 수정될 수 없습니다
• HIPAA 규칙 또는 규정의 변경으로 인해 수정이 필요할 수 있습니다

7.4 HITECH 법 준수:
당사자들은 HITECH 법이 HIPAA 요구사항에 중대한 변경을 포함한다는 것을 인정합니다. 각 당사자는 HITECH 법의 적용 조항과 HITECH 법과 관련하여 발행된 모든 HHS 규정을 준수하기로 합의합니다.

7.5 데이터 소유권:
사업 협력업체의 데이터 관리는 모든 형태의 PHI를 포함하여 계약 하에서 공유된 모든 데이터에 대해 사업 협력업체에게 데이터 소유권을 부여하지 않습니다.

7.6 제3자 수익자 없음:
본 BAA에서 명시적으로 기술되거나 법률에서 제공되는 경우를 제외하고, 본 BAA는 제3자에게 유리한 권리를 창설하지 않습니다.

7.7 통지:
본 BAA에 따라 당사자에게 제공될 모든 통지, 요청, 요구 또는 기타 커뮤니케이션은 일반 우편, 등기 또는 증명 우편 또는 특급 택배, 또는 계정 등록 시 제공되거나 이후 서면으로 업데이트된 당사자의 주소로 전자 메일을 통해 이루어집니다.

이에 증언하여, 당사자들은 계정 생성 시 대상 기관의 이 조항 수락 또는 이 조항의 통지 후 Blue 서비스의 지속적인 사용을 통해 위의 조항에 대한 합의를 인정합니다.