기능 가격 API 레퍼런스

사업 제휴 계약 (BAA)

v1.0 -- 2026년 3월 시행

Morlivo는 HITECH Act에 의해 개정된 1996년 건강 보험 이동성 및 책임에 관한 법률(HIPAA)에 따라 보호 대상 건강 정보(PHI)를 보호할 것을 약속합니다. 본 사업 제휴 계약은 PHI 처리에 관한 Morlivo("사업 제휴자")와 고객("적용 대상 기관") 간의 관계를 규율합니다.

1. 범위 및 목적

본 사업 제휴 계약("BAA")은 적용 대상 기관과 사업 제휴자 간의 서비스 계약을 보완하며 그 일부를 구성합니다. 본 계약은 Morlivo가 제공하는 번역, 전사 및 언어 처리 서비스("서비스")와 관련하여 사업 제휴자가 적용 대상 기관을 대신하여 보호 대상 건강 정보("PHI")를 생성, 수신, 유지 또는 전송할 수 있는 조건을 정합니다.

당사자들은 사업 제휴자가 서비스 제공 과정에서 PHI에 접근, 이용 또는 공개할 수 있음을 인정하며, 본 BAA는 HIPAA, HITECH Act 및 그 시행 규정(총칭 "HIPAA 규칙")의 관련 조항에 따른 해당 PHI에 대한 사업 제휴자의 의무를 규정합니다.

2. 허용되는 이용 및 공개

사업 제휴자는 다음의 경우에만 PHI를 이용하거나 공개할 수 있습니다:

  • 기본 서비스 계약에 명시된 서비스를 수행하는 데 필요한 경우
  • 미국 보건복지부 장관이 요구하는 공개를 포함하되 이에 국한되지 않는, 법률에서 요구하는 경우
  • 법률에 의해 공개가 요구되거나 사업 제휴자가 제3자로부터 정보가 기밀로 유지된다는 합리적인 보증을 받는 경우, 사업 제휴자의 적절한 관리 및 운영을 위해
  • 서비스 계약에서 명시적으로 승인된 경우, 적용 대상 기관의 의료 운영과 관련된 데이터 집계 서비스를 제공하기 위해

사업 제휴자는 본 BAA에서 명시적으로 허용된 경우를 제외하고, 적용 대상 기관이 수행할 경우 HIPAA 규칙을 위반하는 방식으로 PHI를 이용하거나 공개해서는 안 됩니다. 사업 제휴자는 마케팅 목적으로 PHI를 이용하거나, PHI를 판매하거나, 심사 목적으로 PHI를 이용해서는 안 됩니다.

3. 보호 조치

사업 제휴자는 HIPAA 보안 규칙에서 요구하는 바에 따라, 전자 PHI(ePHI)를 포함한 PHI의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 관리적, 물리적 및 기술적 보호 조치를 구현하고 유지해야 합니다. 이러한 보호 조치에는 다음이 포함되지만 이에 국한되지 않습니다:

  • AES-256을 사용한 저장 시 및 TLS 1.2 이상을 사용한 전송 중 ePHI 암호화
  • 승인된 인원만 PHI에 접근할 수 있도록 하는 역할 기반 접근 제어
  • PHI에 대한 모든 접근 및 수정의 포괄적인 감사 로깅
  • 정기적인 위험 평가 및 취약성 스캔
  • HIPAA 요구 사항 및 보안 인식에 대한 인력 교육
  • 서비스에 더 이상 필요하지 않은 PHI의 안전한 폐기 절차

사업 제휴자는 45 CFR § 164.502(e)(1)(ii)에 따라, PHI를 제공하는 하도급업체를 포함한 모든 대리인이 본 BAA에 따라 사업 제휴자에게 적용되는 동일한 제한 및 조건에 동의하도록 보장해야 합니다.

4. 침해 통지

사업 제휴자는 45 CFR § 164.402에 정의된 비보호 PHI의 침해를 포함하여, 본 BAA에서 허용되지 않는 PHI의 이용 또는 공개를 인지한 경우 적용 대상 기관에 보고해야 합니다. 사업 제휴자는 불합리한 지연 없이, 침해 발견 후 30일(역일) 이내에 해당 통지를 제공해야 합니다.

통지에는 가능한 범위 내에서 다음이 포함되어야 합니다:

  • 비보호 PHI가 접근, 취득, 이용 또는 공개되었거나 그렇게 판단되는 각 개인의 식별
  • 관련된 PHI 유형을 포함한 침해의 성격에 대한 설명
  • 침해 발생일 및 발견일
  • 침해를 조사하고 완화하며 향후 재발을 방지하기 위해 사업 제휴자가 취하고 있는 조치에 대한 설명
  • 추가 세부 정보를 제공할 수 있는 개인의 연락처 정보

5. 기간 및 해지

본 BAA는 체결일부터 효력이 발생하며, 본 계약에서 규정한 바에 따라 조기 해지되지 않는 한 기본 서비스 계약 기간 동안 유효합니다.

어느 당사자든 상대방이 본 BAA의 중요한 조항을 위반했다고 판단하는 경우 본 BAA를 해지할 수 있습니다. 위반하지 않은 당사자는 위반 당사자에게 서면으로 위반 사항을 통지하고 30일의 시정 기간을 부여해야 합니다. 시정이 불가능한 경우, 위반하지 않은 당사자는 본 BAA와 기본 서비스 계약을 즉시 해지할 수 있습니다.

계약 해지 시, 사업 제휴자는 적용 대상 기관의 선택에 따라 적용 대상 기관으로부터 수령하거나 대신 생성한 모든 PHI를 반환하거나 파기해야 합니다. 반환 또는 파기가 불가능한 경우, 사업 제휴자는 해당 PHI에 대해 본 BAA의 보호를 연장하고 반환 또는 파기를 불가능하게 만드는 목적으로만 추가 이용 및 공개를 제한해야 합니다.

6. 적용 대상 기관의 의무

  • 적용 대상 기관은 사업 제휴자의 PHI 이용 또는 공개에 영향을 미칠 수 있는 개인정보 보호 관행 고지의 제한 사항을 사업 제휴자에게 통지해야 합니다
  • 적용 대상 기관은 PHI를 이용하거나 공개하는 개인의 승인 변경 또는 철회 사항이 사업 제휴자의 허용된 이용 및 공개에 영향을 미칠 수 있는 범위에서 사업 제휴자에게 이를 통지해야 합니다
  • 적용 대상 기관은 HIPAA 규칙을 위반하는 방식으로 사업 제휴자에게 PHI를 이용하거나 공개하도록 요청해서는 안 됩니다

7. 기타

본 BAA는 HIPAA 규칙을 포함한 관련 연방법에 따라 규율되고 해석됩니다. 본 BAA의 모호한 부분은 HIPAA 규칙 준수를 허용하는 방향으로 해석됩니다. 본 BAA는 본 계약의 주제에 관한 당사자 간의 전체 합의를 구성하며, 동일한 주제에 관한 서면 또는 구두의 모든 이전 합의를 대체합니다.

BAA 요청

사업 제휴 계약을 요청하려면 규정 준수 팀에 문의하세요. 귀하의 조직에 맞춤화된 BAA를 체결할 수 있도록 도와드리겠습니다.

규정 준수 팀에 문의 BAA 템플릿 다운로드