ビジネスアソシエイト契約

1.1 「違反」は、45 CFR 164.402の「違反」という用語と同じ意味を持つものとします。

1.2 「ビジネスアソシエイト」は、Ajentik AI Pte. Ltd.を意味するものとします。

1.3 「対象事業者」は、本契約を締結した医療機関を意味するものとします。

1.4 「データ集約」は、45 CFR 164.501の「データ集約」という用語と同じ意味を持つものとします。

1.5 「指定記録セット」は、45 CFR 164.501の「指定記録セット」という用語と同じ意味を持つものとします。

1.6 「電子保護健康情報」または「ePHI」は、電子媒体で作成、受信、維持、または送信される保護健康情報を意味します。

1.7 「個人」は、45 CFR 160.103の「個人」という用語と同じ意味を持ち、45 CFR 164.502(g)に従って個人代表として資格を有する者を含むものとします。

1.8 「保護健康情報」または「PHI」は、45 CFR 160.103の「保護健康情報」という用語と同じ意味を持つものとします。

1.9 「法律で義務付けられている」は、45 CFR 164.103の「法律で義務付けられている」という用語と同じ意味を持つものとします。

1.10 「長官」は、保健福祉省長官または指定された者を意味するものとします。

1.11 「セキュリティインシデント」は、45 CFR 164.304の「セキュリティインシデント」という用語と同じ意味を持つものとします。

1.12 「保護されていない保護健康情報」は、45 CFR 164.402の「保護されていない保護健康情報」という用語と同じ意味を持つものとします。

2.1 本契約で許可または要求されている場合、または法律で義務付けられている場合を除き、PHIを使用または開示しないこと。

2.2 本契約で規定されている以外のPHIの使用または開示を防止するために、ePHIに関して45 CFRパート164のサブパートCに準拠し、適切な保護措置を使用すること。

2.3 45 CFR 164.410で義務付けられている保護されていないPHIの違反を含む、本契約で規定されていないPHIの使用または開示について知った場合、対象事業者に報告すること。

2.4 45 CFR 164.502(e)(1)(ii)および164.308(b)(2)に従い、ビジネスアソシエイトに代わってPHIを作成、受信、維持、または送信する下請業者が、そのような情報に関してビジネスアソシエイトに適用されるのと同じ制限、条件、および要件に書面で同意することを保証すること。

2.5 対象事業者が45 CFR 164.524に基づく義務を満たすために必要に応じて、指定記録セット内のPHIを対象事業者に提供すること。

2.6 45 CFR 164.526に従って対象事業者が指示または同意した指定記録セット内のPHIの修正を行うか、対象事業者が45 CFR 164.526に基づく義務を満たすために必要なその他の措置を講じること。

2.7 対象事業者が45 CFR 164.528に基づく義務を満たすために必要に応じて、開示の記録を対象事業者に提供するために必要な情報を維持し、利用可能にすること。

2.8 ビジネスアソシエイトが45 CFRパート164のサブパートEに基づく対象事業者の義務の1つ以上を実行する範囲において、そのような義務の履行において対象事業者に適用されるサブパートEの要件に準拠すること。

2.9 HIPAA規則の遵守を判断する目的で、長官が内部慣行、帳簿、および記録を利用できるようにすること。

3.1 ビジネスアソシエイトは、サービス契約に定められたサービスを実行するために必要な範囲でのみPHIを使用または開示することができます。

3.2 ビジネスアソシエイトは、法律で義務付けられている場合、PHIを使用または開示することができます。

3.3 ビジネスアソシエイトは、対象事業者の最小限必要なポリシーと手順に一致してPHIの使用と開示および要求を行うことに同意します。

3.4 ビジネスアソシエイトは、対象事業者が行った場合に45 CFRパート164のサブパートEに違反するような方法でPHIを使用または開示してはなりません。

3.5 ビジネスアソシエイトは、開示が法律で義務付けられている場合、またはビジネスアソシエイトが情報が開示される者から、情報が機密に保たれ、法律で義務付けられている場合または開示された目的のためにのみ使用またはさらに開示されるという合理的な保証を得た場合、ビジネスアソシエイトの適切な管理および運営、またはビジネスアソシエイトの法的責任を遂行するためにPHIを使用することができます。また、その者は情報の機密性が侵害された事例をビジネスアソシエイトに通知するものとします。

3.6 ビジネスアソシエイトは、対象事業者の医療業務に関連するデータ集約サービスを提供することができます。

4.1 管理的保護措置:

• セキュリティ担当者の指定と責任
• 従業員のトレーニングとアクセス管理手順
• アクセス承認と終了手順
• セキュリティ意識とトレーニングプログラム
• セキュリティインシデント対応手順
• 下請業者とのビジネスアソシエイト契約

4.2 物理的保護措置:

• 施設アクセス制御
• ワークステーションの使用とセキュリティポリシー
• デバイスとメディアの制御

4.3 技術的保護措置:

• 一意のユーザー識別と自動ログオフ
• ePHIの暗号化と復号化
• 監査ログと制御
• 整合性制御
• 送信セキュリティ

5.1 ビジネスアソシエイトは、保護されていないPHIの違反を発見してから、不当な遅延なく、いかなる場合でも60暦日以内に対象事業者に通知するものとします。

5.2 そのような通知には、可能な範囲で以下を含めるものとします:

• 違反中にアクセス、取得、使用、または開示された、またはビジネスアソシエイトによって合理的に信じられている保護されていないPHIを持つ各個人の識別
• 違反の日付と発見の日付を含む、何が起こったかの説明
• 関与する保護されていないPHIの種類の説明
• 個人が潜在的な害から身を守るために取るべき措置
• ビジネスアソシエイトが違反を調査し、害を軽減し、将来の違反を防ぐために行っていることの説明
• 個人が質問したり追加情報を得たりするための連絡手順

5.3 ビジネスアソシエイトは、対象事業者が合理的に要求するその他の情報を提供するものとします。

5.4 ビジネスアソシエイトは、必要なすべての通知の文書を維持し、要求に応じて、そのような文書を対象事業者または長官に提供するものとします。

6.1 ビジネスアソシエイトは、PHIを提供する代理人(下請業者を含む)が、そのようなPHIに関してビジネスアソシエイトに適用されるのと同じ制限と条件に書面で同意することを保証するものとします。

6.2 ビジネスアソシエイトは、ePHIを提供する代理人(下請業者を含む)が、そのようなePHIを保護するための合理的かつ適切な保護措置を実施することに書面で同意することを保証するものとします。

6.3 ビジネスアソシエイトは、代理人または下請業者から、代理人または下請業者がePHIの機密性、完全性、および可用性を合理的かつ適切に保護する管理的、物理的、および技術的保護措置を実施したことの書面による証明を取得するものとします。

7.1 アクセス： 指定記録セットに含まれる個人に関するPHIへのアクセス要求を対象事業者から受け取ってから10営業日以内に、ビジネスアソシエイトは、指定記録セットにそのような情報を維持している限り、対象事業者にそのようなPHIを利用可能にするものとします。

7.2 修正： 指定記録セットに含まれる個人のPHIの修正要求を対象事業者から受け取ってから10営業日以内に、ビジネスアソシエイトは、45 CFR 164.526に従って対象事業者が指示または同意した指定記録セット内のPHIの修正を組み込むものとします。

9.1 原因による終了: 対象事業者がビジネスアソシエイトによる重大な違反を知った場合、対象事業者は以下のいずれかを行うものとします:

• ビジネスアソシエイトが違反を是正するか違反を終了する機会を提供し、ビジネスアソシエイトが対象事業者が指定した時間内に違反を是正しないか違反を終了しない場合は、本契約を終了する。または
• ビジネスアソシエイトが本契約の重要な条項に違反し、是正が不可能な場合は、直ちに本契約を終了する。

9.2 終了の効果:

• 9.3項に規定されている場合を除き、本契約が何らかの理由で終了した場合、ビジネスアソシエイトは、対象事業者から受け取った、または対象事業者に代わってビジネスアソシエイトが作成または受け取ったすべてのPHIを返却または破棄するものとします。この規定は、ビジネスアソシエイトの下請業者または代理人が所有するPHIに適用されるものとします。ビジネスアソシエイトは、PHIのコピーを保持しないものとします。
• ビジネスアソシエイトがPHIの返却または破棄が実行不可能であると判断した場合、ビジネスアソシエイトは、返却または破棄を実行不可能にする条件の通知を対象事業者に提供するものとします。PHIの返却または破棄が実行不可能であると判断した場合、ビジネスアソシエイトは、本契約の保護をそのようなPHIに拡大し、ビジネスアソシエイトがそのようなPHIを維持する限り、返却または破棄を実行不可能にする目的にそのようなPHIのさらなる使用および開示を制限するものとします。

9.3 存続： セクション9.2に基づくビジネスアソシエイトの義務は、本契約の終了後も存続するものとします。

11.1 ビジネスアソシエイトは、ビジネスアソシエイトによる本契約の違反またはビジネスアソシエイトによるHIPAAの違反から生じる、または関連する請求、訴訟原因、責任、損害、費用または経費(合理的な弁護士費用および訴訟費用を含む)から、対象事業者およびその役員、取締役、従業員、および代理人を補償し、防御し、損害を与えないものとします。

11.2 対象事業者は、本契約またはHIPAAに基づく義務に関連する対象事業者の過失または不法な作為または不作為から生じる、または関連する請求、訴訟原因、責任、損害、費用または経費(合理的な弁護士費用および訴訟費用を含む)から、ビジネスアソシエイトおよびその役員、取締役、従業員、および代理人を補償し、防御し、損害を与えないものとします。

13.1 規制上の参照： 本契約におけるHIPAA規則のセクションへの言及は、有効または修正されたセクションを意味します。

13.2 第三者受益者なし： 本契約において明示的または黙示的に意図されていること、または本契約の何物も、当事者および当事者のそれぞれの承継人または譲受人以外の者に対して、いかなる権利、救済、義務、または責任も付与するものではなく、付与しないものとします。

13.3 あいまいさ： 本契約のあいまいさは、HIPAA規則の遵守を許可するように解釈されるものとします。

13.4 準拠法： 本契約は、法の抵触規定にかかわらず、シンガポールの法律に準拠するものとします。