1. 範囲と目的
This Business Associate Agreement ("BAA") supplements and is made part of the service agreement between Covered Entity and Business Associate. It establishes the terms under which Business Associate may create, receive, maintain, or transmit Protected Health Information ("PHI") on behalf of Covered Entity in connection with the translation, transcription, and language processing services provided by Morlivo (the "Services").
The parties acknowledge that Business Associate may access, use, or disclose PHI in the course of providing the Services, and this BAA sets forth the obligations of Business Associate with respect to such PHI pursuant to the applicable provisions of HIPAA, the HITECH Act, and their implementing regulations (collectively, the "HIPAA Rules").
2. 許可される使用と開示
業務提携者は、PHI を次の場合にのみ使用または開示できます。
- 基礎となるサービス契約に記載されているサービスを実行するために必要な場合。
- 法律で義務付けられている場合。これには、米国保健福祉省長官によって要求される開示が含まれますが、これに限定されません。
- 業務提携業者の適切な管理および運営のため。ただし、法律により開示が義務付けられている場合、または業務提携業者が情報が機密として保持されることについて第三者から合理的な保証を取得している場合に限ります。
- サービス契約で明示的に許可されている場合、対象事業体の医療業務に関連するデータ集約サービスを提供するため。
Business Associate shall not use or disclose PHI in a manner that would violate the HIPAA Rules if done by Covered Entity, except as expressly permitted in this BAA. Business Associate shall not use PHI for marketing purposes, sell PHI, or use PHI for underwriting purposes.
3. 安全対策
Business Associate shall implement and maintain administrative, physical, and technical safeguards that reasonably and appropriately protect the confidentiality, integrity, and availability of PHI, including electronic PHI (ePHI), as required by the HIPAA Security Rule. These safeguards include but are not limited to:
- 保存時は AES-256 を使用し、転送中は TLS 1.2 以降を使用して ePHI を暗号化します。
- 役割ベースのアクセス制御により、PHI アクセスを許可された担当者のみに制限します。
- PHI へのすべてのアクセスと変更の包括的な監査ログ。
- 定期的なリスク評価と脆弱性スキャン。
- HIPAA 要件とセキュリティ意識に関する従業員トレーニング。
- PHI の安全な廃棄手順は、サービスには必要なくなりました。
Business Associate shall ensure that any agent, including subcontractors, to whom it provides PHI agrees to the same restrictions and conditions that apply to Business Associate under this BAA, in accordance with 45 CFR § 164.502(e)(1)(ii).
4. 違反通知
Business Associate shall report to Covered Entity any use or disclosure of PHI not permitted by this BAA of which it becomes aware, including any Breach of Unsecured PHI as defined in 45 CFR § 164.402. Business Associate shall provide such notification without unreasonable delay and in no event later than thirty (30) calendar days after discovery of the Breach.
通知には、可能な範囲で以下を含めるものとします。
- 安全でない PHI がアクセス、取得、使用、または開示された、またはアクセス、取得、使用、または開示されたと合理的に考えられる各個人の ID。
- 関係する PHI の種類を含む、侵害の性質の説明。
- 侵害の日付とその発見の日付。
- ビジネスアソシエイトが違反を調査して緩和し、今後の発生を防ぐために講じている手順の説明。
- 追加の詳細を提供できる個人の連絡先情報。
5. 期間と終了
This BAA shall be effective as of the date of execution and shall remain in effect for the duration of the underlying service agreement, unless earlier terminated as provided herein.
Either party may terminate this BAA if it determines that the other party has violated a material term of this BAA. The non-breaching party shall provide the breaching party with written notice of the violation and afford thirty (30) days to cure. If cure is not feasible, the non-breaching party may immediately terminate both this BAA and the underlying service agreement.
Upon termination, Business Associate shall, at the election of Covered Entity, return or destroy all PHI received from or created on behalf of Covered Entity. If return or destruction is not feasible, Business Associate shall extend the protections of this BAA to such PHI and limit further uses and disclosures to those purposes that make return or destruction infeasible.
6. 対象となる事業体の義務
- 対象事業体は、業務提携業者による PHI の使用または開示に影響を与える可能性のあるプライバシー慣行に関する通知の制限を業務提携業者に通知するものとします。
- 対象事業体は、個人による PHI の使用または開示の許可の変更または取り消しについて、そのような変更が業務提携者の許可された使用および開示に影響を及ぼす可能性がある範囲で、業務提携者に通知するものとします。
- 対象事業体は、HIPAA 規則に違反するような方法で PHI を使用または開示することを業務提携者に要求してはなりません。
7. その他
This BAA shall be governed by and construed in accordance with applicable federal law, including the HIPAA Rules. Any ambiguity in this BAA shall be interpreted to permit compliance with the HIPAA Rules. This BAA constitutes the entire agreement between the parties with respect to the subject matter hereof and supersedes all prior agreements, whether written or oral, relating to the same subject matter.