monday.com 法務ポータル

Last Updated: 11月 24, 2020

HIPAAビジネスアソシエイト契約

Last Updated: 11月 24, 2020

ビジネスアソシエイト契約

本ビジネスアソシエイト契約(「BAA」)は、あなたが本契約に同意した既存の顧客であるか、現在本契約に同意する新規顧客であるかにかかわらず、当社の利用規約(「契約」)の一部を形成します。あなたは、個人として、またあなたの雇用主または他の法人(総称して「対象事業体」、「あなた」、「あなたの」または「顧客」)を代表して、BAAを読み、理解し、遵守することに同意することを認め、monday.comの所有者であるmonday.com Ltd (「monday.com」、「当社」、「当社の」、または「サービスプロバイダー」)と拘束力のある法的契約を締結します。これはビジネスアソシエイトによる45 C.F.R. § 160.103で定義された対象事業体の保護健康情報(PHI)の使用および/または開示に関する当事者の合意を反映するものです(「PHI」は、本契約の条件において、電子、紙上、口頭を問わず、あらゆる媒体のPHIに集合的に関係します)。

両当事者は「当事者達」と呼ばれ、それぞれが「当事者」と呼ばれるものとします。ここで定義されていない大文字の用語は、本契約または1996年の医療保険の相互運用性と責任に関する法律およびその施行規則に基づいて与えられた意味を持ち、随時更新される場合があります(総称「HIPAA」)。貴社は、お客様をこのBAAに拘束する完全なる権限を持っているか、その権利が付与されていることを表明および保証すべきです。本BAAに準拠できず、拘束されない場合、またはお客様やその他のエンティティを拘束する権限がない場合は、PHIを当社に提供しないでください。お客様は、自分自身の名前で、HIPAAおよび適用データ保護法および規制で要求される範囲で、お客様およびお客様の関連会社の名前で、お客様がそうした関連会社が「対象事業体」として適格であるPHIを処理する場合またはその範囲で、本BAAを締結するものとします。本BAAの目的にのみ、特に明記されていない限り、「対象事業体」という用語には、お客様であるあなた、および/またはお客様の関連会社が含まれるものとします。

本契約に従ってサービスを提供する過程で、当社は「ビジネスアソシエイト」の資格で、あなたおよび/またはお客様に代わってPHIにアクセス、使用、開示、および/または処理する場合があります。両当事者は、PHIに関して以下の規定を遵守し、各者が合理的かつ誠実に行動することに同意します。本BAAの署名付きコピーが必要な場合は、BAAをwww.monday.com/terms/hipaa-baaからダウンロードし、署名付きコピーをlegal@monday.comに送信すると、副署付きコピーが提供されます。このBAAの特定の条項と本契約の条項との間に矛盾がある場合、このBAAの条項は、本契約の矛盾する条項よりも優先されるものとします。

ビジネスアソシエイトは現在、当事者間の契約でさらに概説されているように、サービスを提供するために対象事業体のPHIを使用および/または開示しています。また、本契約に従ってサービスを提供することにより、ビジネスアソシエイトはHIPAAで定義されているように、対象事業体のビジネスアソシエイトになります。したがって、ビジネスアソシエイトがお客様に代わって作成または受信するPHIの機密性とプライバシー面での義務があります。        

1. 許可された使用と開示。ビジネスアソシエイトは、契約に定められているように、またはHIPAAに基づく法律で許可または要求されているように、対象事業体に対する義務を履行するために必要なPHIを使用および開示することができます。ただし、ビジネスアソシエイトは、対象事業体がPHIを使用、開示したとしても、許可されない方法でPHIを使用または開示しないことを条件とします。ビジネスアソシエイトは次のこともできます:

 (a)PHIを(i)必要に応じて、適切な管理と統制のために使用、または(ii)法的責任を実行するために使用;

 (b) (i)開示が法律で義務付けられている場合、または(ii)ビジネスアソシエイトが、PHIが機密として保持され、法的要求に従ってまたはその目的で使用またはさらに開示され、第三者がPHIの機密性が侵害されたことを認識している場合はビジネスアソシエイトに通知するという十分な保証を第三者から得る場合に限り、PHIを同じ目的で第三者に開示;そして

 (c) ビジネスアソシエイトは、対象事業体の最低限必要なポリシーと手順に従って、PHIの使用と開示および要求を行うことに同意します。

2. ビジネスアソシエイトの義務。

(a) 開示の制限。ビジネスアソシエイトは、本書や書面合意(契約を含む)で許可または要求されているか、法律で要求されている場合を除き、PHIを使用またはさらに開示しないことに同意します。

(b) 保護措置。ビジネスアソシエイトは、本契約または関係契約に従って対象事業体に代わって作成、受信、保存、維持、または送信するPHIの機密性、完全性、および可用性を合理的かつ適切に保護する管理的、物理的、および技術的な保護措置を講じることに同意します。本契約で規定されている場合または法律で義務付けられている場合を除き、対象事業体によるPHIの使用または開示を防止するものとします。

(c) 合意に基づいていない使用/開示の報告。ビジネスアソシエイトは、本契約または既知書面合意によって規定されていないPHIの使用または開示について対象事業体に報告することに同意します。

(d) 緩和措置。ビジネスアソシエイトは、本契約の要件に違反してビジネスアソシエイトがPHIを使用または開示した場合、ビジネスアソシエイトに知られている有害な影響を実行可能な範囲で軽減することに同意します。

(e) エージェント/下請け業者の使用。ビジネスアソシエイトは、対象事業体に代わってビジネスアソシエイトから受け取った、またはビジネスアソシエイトによって作成または受け取られ、ビジネスアソシエイトがPHIを提供する下請け業者を含むすべてのエージェントが、PHIに関するビジネスアソシエイトに適用される同様の制限と条件に実質的に同意することを保証致します。HIPAAおよび本契約に基づく義務に従い、本契約条件ほどの制限に劣らない義務を含む契約を下請け業者と締結するのを保証することは、ビジネスアソシエイトの全責任です。

(f) PHIへのアクセス。対象事業体からPHIコピーの書面による要求を受け取ってから15日以内に、45 C.F.R. § 164.524に従ってそうした要求を拒否する合理的な理由があると考えられない限り、ビジネスアソシエイトは、対象事業体がPHIの検査またはコピーを求める個人に対応できるよう、要求されたPHIを対象事業体が利用できるようにすることに同意します。その場合、適切な方法で対象事業体に通知するものとします。ビジネスアソシエイトは、PHIが電子的に保存されている場合、書面による要求に応じて電子形式のPHIコピーを利用できるようにすることを含めて、これに限定されない電子PHIに関するセキュリティルールを遵守する必要があります。

(g) PHIの修正。対象事業体からPHIの修正を求める書面による要求を受け取ってから15日以内に、45 C.F.R. § 164.526に従って、そのような要求を拒否する合理的な理由があると考えられない限り、ビジネスアソシエイトはそうした修正を行い、ビジネスアソシエイトに知られているPHI所有者に通知します。この場合、対象事業体に適宜通知するものとします。

(h) 特定開示の会計処理。個人に関するPHIの開示会計処理において、対象事業体から書面による要求を受け取ってから30日以内に、ビジネスアソシエイトは対象事業体にビジネスアソシエイトがPHIを開示した人または事業体のリスト、および過去6年以内に個人PHIを開示した場合、開示の日付、理由、および簡単な説明を提供して、対象事業体がPHI開示の会計処理を求める個人に対応できるようにします。(45 C.F.R. § 164.528を参照してください。)

(i)帳簿および記録へのアクセス。ビジネスアソシエイトは、対象事業体に代わってビジネスアソシエイトから受け取り、ビジネスアソシエイトによって作成、または受け取られたPHIの使用と開示に関連する社内慣行、帳簿、および記録が米国保健厚生局に要求に応じて利用できるようにするものとします。これによって、対象事業体のプライバシー規則への準拠における評価を可能にします。

(j) 解約時のビジネスアソシエイトの義務。ビジネスアソシエイトは、契約の終了時、またはビジネスアソシエイトによるPHIの使用および/または開示の終了時に、可能であれば、対象事業体に代わってビジネスアソシエイトから受取り、ビジネスアソシエイトによって作成または受け取られたすべてのPHIを対象事業体に返却または破棄することを許可するものとします。ビジネスアソシエイトが自分で提供した削除オプションを通じて本契約に関連して引き続き何らかの形で対象事業体を維持しようとしてもPHIのコピーを保持させません; またはそうした返却または破棄が実行可能でない場合、PHIに対する本契約上の保護を延長し、PHIの返却または破棄の実行を不可能にしようとする目的に対して、さらなる使用および開示を制限いたします。

(k) セキュリティインシデントの報告。ビジネスアソシエイトは、気付いたセキュリティインシデントを対象事業体に報告するものとします。(45 C.F.R. § 164.304によれば、セキュリティインシデントは、情報への不正アクセス、使用、開示、情報の破壊または情報システムにおけるシステム操作への干渉の試みまたは成功として定義されます。)上記にかかわらず両当事者は、この項がビジネスアソシエイトによる対象事業体へ試行されたが失敗したセキュリティインシデントの継続的な存在および発生に関する通知であることを認め、同意します。失敗したセキュリティインシデントには、ビジネスアソシエイトのファイアウォールに対するpingやその他のブロードキャスト攻撃、ポートスキャン、失敗したログオン試行、サービス拒否、上記の任意の組み合わせ、またはその他のメカニズムによるものが含まれますが、これらに限定されません。こうしたインシデントは、PHIの不正アクセス、使用、または開示につながります。

3. 違反通知手順。

(a) 契約で規定されていない使用/開示の報告。ビジネスアソシエイトは、HIPAAに完全に準拠して、PHIの無許可取得、アクセス、使用、または開示の疑惑を含めて、これらに限定されない違反を対象事業体に報告することに同意します。PHIの不正使用または開示の疑惑をめぐるそうした通知(形式を問わず)は、不当な遅延なしに、ビジネスアソシエイトが気付いた日から30営業日以内に、書面で対象事業体に迅速に行われるものとします。いわゆる不正使用または開示を摘発するには、相当な注意を払う必要があります。さらに、ビジネスアソシエイトは、PHIの不正使用または開示が発生した場合、実行可能な範囲で、当該使用または開示における有害な影響を軽減するものとします。

(b) 違反を報告するための指示。HIPAAに基づく報告可能な違反が発生した場合、ビジネスアソシエイトは対象事業体に通知します。そうした通知に、ビジネスアソシエイトは可能な範囲で以下の情報を無制限に含めるものとします:(1)発生した違反の簡単な説明(インシデントの日付と発見日を含めて); (2)PHIが危険にさらされた、または危険にさらされる可能性のある各個人の識別; (3)インシデントに巻き込まれたPHIタイプの説明; (4)インシデントから生じる潜在的な危害から守るために個人が取るべき措置;(5)ビジネスアソシエイトがインシデントを調査し、PHIの侵害を軽減し、さらなるインシデントからの保護をはかっていることに対する簡単な説明。通知の時点でそうした情報が利用できない場合、ビジネスアソシエイトは対象事業体と協力して、情報が利用可能になった後すぐに追加情報を提供するものとします。

4.コンプライアンス関連の変更

両当事者は、HIPAAが随時変更または明確化される可能性があること、およびそのような変更または明確化を遵守し続けるために、弁護士の助言に基づいて本契約条件改訂の必要性を認め、潜在的または実際の違反または不履行の原因となる1つまたは複数の条件の改訂について誠意を持って交渉することに同意します。いずれの当事者が合理的に行動するが、契約全体を遵守するために必要な新しい条件または変更された条件に同意できない場合、いずれの当事者は、他方の当事者への書面による通知後30日に、本契約を終了することができます。必要に応じて、期限または発効日における違反を防止するため、または問題のPHIを保護するため、およびこれらの手順、規則、規制、または法律のいずれかに基づくすべての義務の遵守を確保するために、早期に終了することができます。

5. 期限および終了。

(a)期限。本契約は、上記の発効日に効力を発し、本契約の終了または満了時、およびまたは本項に従って、いずれの当事者から他方の当事者に提供され、またはお客様に代わってビジネスアソシエイトによって作成または受領されたすべてのPHIが破棄されるか、お客様に返却される場合に終結されます。当事者がPHIを返却または破棄することが不可能であると判断した場合、本契約の条件に従って、そうしたPHIに保護が適用されます。

(b) 終了。他の契約条項にかかわらず、いずれの当事者が分別をわきまえて行動するが、他方の当事者がこのBAAの重要な条件に違反し、書面によるその通知を受け取った後30日以内に違反を是正しなかったと判断した場合、直ちに本契約を終了することができます。契約の終了時、またはビジネスアソシエイトによるPHIの使用および/または開示の終了時に、ビジネスアソシエイトは、可能であれば、対象事業体がビジネスアソシエイトから受け取り、ビジネスアソシエイトによって作成、または維持されたすべてのPHIを破棄または対象事業体に返却することを許可するものとします。ビジネスアソシエイトが自分で提供した自動削除オプションを通じて本BAAに関連して引き続き何らかの形で対象事業体を維持しようとしてもPHIのコピーを保持させません。

6. その他。

(a) 統合と共有。ビジネスアソシエイトのサービスでは、HIPAAに準拠しているか、準拠していないサードパーティのサービスおよびリンク(両方とも契約で定義されている)との情報の統合、共有、および交換が可能です。対象事業体は、そうした第三者のサービスおよび/またはリンクを使用することを選択した場合、、ビジネスアソシエイトのサービスと第三者との間のPHIを含む情報の交換に対して、単独で責任を負います。サードパーティのサービスプロバイダーは、monday.comに代わってサービスを提供しないばかりか、monday.comのビジネスアソシエイトでもありません。monday.comは、こうしたサードパーティサービスプロバイダーが行った使用、開示、その他の行動、またはPHIおよびサードパーティのサービスを含む情報の共有に関連する適用法、規制、または契約条項に対する対象事業体の違反について、明示的に責任を負わないものとします。

(b)監査。適用法を遵守するために、必要な場合およびその範囲内でビジネスアソシエイトは合理的な時間に、対象事業体(および対象事業体の規制者)に、ビジネスアソシエイトの担当者への合理的な通知および調整によって、施設へのアクセスを提供するものとします。それにより、PHI関連サービス、およびビジネスアソシエイトの記録およびその他の関連情報は、ビジネスアソシエイトの本契約に基づく義務を遵守する監査の関連範囲で提供されます。ビジネスアソシエイトは、対象事業体またはその被指名人がそうした監査を実施する際に合理的に要求した支援を提供するものとします。

(c)サードパーティ受益者の不在。本契約による明示または黙示の何でも、対象事業体、ビジネスアソシエイト、およびそれぞれの後継者および譲受人以外の人に、いかなる権利、救済、義務、または責任を与えることを意図するものではなく、また与えるものでもありません。

ビジネスアソシエイトは、すべての要件を遵守し、法律で義務付けられている範囲でそれらの要件を独自の契約に組み込むことに同意します。本契約は、本契約の主題に関連する両当事者間の以前のHIPAA ビジネスアソシエイト契約に優先します。

[署名ページが続きます]

         これを証するために、両当事者は正式に権限が与えられた代表者によって、このビジネスアソシエイト契約が発効日を基点として効力を発するようにしました。

免責条項: このバージョンは、英語の原文を翻訳したものであり、便宜上の目的でのみ提供されています。この英語の原文は、正式な法的拘束力のあるバージョンであり、矛盾が生じた場合には英語の原文が優先されるものとします。

チームが協力してより多くのことを達成できるようにします

14 日間の無料トライアル | クレジットカード不要