機能 料金 APIリファレンス

業務委託契約(BAA)

v1.0 -- 2026年3月発効

Morlivoは、HITECH法により改正された1996年医療保険の携行性と責任に関する法律(HIPAA)に従い、保護対象保健情報(PHI)を保護することに尽力しています。本業務委託契約は、PHIの取り扱いに関してMorlivo(「業務委託先」)とお客様(「対象事業体」)との関係を規定します。

1. 適用範囲と目的

本業務委託契約(「BAA」)は、対象事業体と業務委託先との間のサービス契約を補完し、その一部を構成します。本契約は、Morlivoが提供する翻訳、文字起こし、および言語処理サービス(「本サービス」)に関連して、業務委託先が対象事業体に代わって保護対象保健情報(「PHI」)を作成、受領、維持、または送信できる条件を定めます。

両当事者は、業務委託先がサービスの提供過程でPHIにアクセス、使用、または開示する場合があることを認め、本BAAは、HIPAA、HITECH法、およびそれらの施行規則(総称して「HIPAA規則」)の適用条項に基づく当該PHIに関する業務委託先の義務を定めるものです。

2. 許可される使用および開示

業務委託先は、以下の場合に限りPHIを使用または開示できます:

  • 基礎となるサービス契約に記載されたサービスの遂行に必要な範囲で
  • 米国保健福祉省長官が要求する開示を含むがこれに限定されない、法律で要求される範囲で
  • 業務委託先の適切な管理および運営のために、ただし開示が法律で要求される場合、または業務委託先が情報を秘密に保持することについて第三者から合理的な保証を得ている場合に限ります
  • サービス契約で明示的に承認されている場合、対象事業体のヘルスケア業務に関するデータ集約サービスを提供するため

業務委託先は、本BAAで明示的に許可される場合を除き、対象事業体が行った場合にHIPAA規則に違反するような方法でPHIを使用または開示してはなりません。業務委託先は、マーケティング目的でPHIを使用したり、PHIを販売したり、引受目的でPHIを使用したりしてはなりません。

3. 安全管理措置

業務委託先は、HIPAAセキュリティ規則が要求するとおり、電子PHI(ePHI)を含むPHIの機密性、完全性、および可用性を合理的かつ適切に保護する管理的、物理的、および技術的安全管理措置を実施・維持するものとします。これらの安全管理措置には以下が含まれますが、これらに限定されません:

  • AES-256による保存時およびTLS 1.2以上による転送時のePHIの暗号化
  • PHIへのアクセスを許可された人員のみに制限するロールベースのアクセス制御
  • PHIへのすべてのアクセスおよび変更の包括的な監査ログ
  • 定期的なリスク評価と脆弱性スキャン
  • HIPAA要件とセキュリティ意識に関する従業員トレーニング
  • サービスに不要となったPHIの安全な廃棄手順

業務委託先は、45 CFR § 164.502(e)(1)(ii)に従い、PHIを提供する下請業者を含むすべての代理人が、本BAAに基づき業務委託先に適用される同一の制限および条件に同意することを保証するものとします。

4. 違反通知

業務委託先は、45 CFR § 164.402に定義される非保護PHIの違反を含め、本BAAで許可されていないPHIの使用または開示を認識した場合、対象事業体に報告するものとします。業務委託先は、不当な遅延なく、いかなる場合も違反の発見から30暦日以内に当該通知を行うものとします。

通知には、入手可能な範囲で以下を含めるものとします:

  • 非保護PHIがアクセス、取得、使用、または開示された、又はそう合理的に信じられる各個人の特定
  • 違反の性質(関係するPHIの種類を含む)の説明
  • 違反の発生日および発見日
  • 業務委託先が違反を調査・軽減し、将来の再発を防止するために講じている措置の説明
  • 追加の詳細を提供できる担当者の連絡先情報

5. 期間と終了

本BAAは締結日をもって発効し、本契約に定めるとおり早期に終了されない限り、基礎となるサービス契約の期間中効力を有するものとします。

いずれの当事者も、相手方が本BAAの重要な条項に違反したと判断した場合、本BAAを終了することができます。違反していない当事者は、違反当事者に違反の書面による通知を行い、30日間の是正期間を設けるものとします。是正が不可能な場合、違反していない当事者は本BAAおよび基礎となるサービス契約の両方を直ちに終了することができます。

終了時、業務委託先は対象事業体の選択に従い、対象事業体から受領した又は対象事業体に代わって作成したすべてのPHIを返却または破棄するものとします。返却または破棄が実行不可能な場合、業務委託先は当該PHIに本BAAの保護を適用し、返却または破棄を不可能にする目的に限定してさらなる使用および開示を行うものとします。

6. 対象事業体の義務

  • 対象事業体は、業務委託先によるPHIの使用または開示に影響を及ぼし得るプライバシー慣行通知の制限事項について業務委託先に通知するものとします
  • 対象事業体は、当該変更が業務委託先の許可された使用および開示に影響を及ぼし得る範囲で、個人によるPHIの使用または開示に関する承認の変更または取消しについて業務委託先に通知するものとします
  • 対象事業体は、HIPAA規則に違反するような方法でPHIを使用または開示することを業務委託先に要求してはなりません

7. その他

本BAAは、HIPAA規則を含む適用される連邦法に準拠し、それに従って解釈されるものとします。本BAAにおける曖昧さは、HIPAA規則への準拠を許容するように解釈されるものとします。本BAAは、本契約の主題に関する両当事者間の完全な合意を構成し、同一の主題に関する書面または口頭の従前のすべての合意に優先します。

BAAをリクエスト

業務委託契約をリクエストするには、コンプライアンスチームにご連絡ください。お客様の組織のニーズに合わせたBAAの締結に向けて対応いたします。

コンプライアンスチームに連絡 BAAテンプレートをダウンロード