Lyve HIPAA事業提携契約書

本Lyve HIPAA事業提携契約（以下「BAA」という）は、言及により、本BAAが付属する、Seagateと会社間のLyve顧客契約、注文書、その他の契約（以下「契約」という。Seagateと会社は契約の下で個々に定義）に組み込まれます。本BAAにおいて、会社とSeagateは個々に「当事者」であり、総称して「両当事者」であるものとします。

本BAAは、(i) 契約の締結日、または (ii) 契約が電子的に締結された場合は契約が会社によって電子的に受理された日に発効します。

誤解を避けるために記すと、会社はサービス・スコープ内の会社データに保護された医療情報（以下に定義）を含める旨をSeagateに指示および明示した既存の契約を交わしている必要があり、本BAAが有効かつ効力を持つためには、当該契約が現在も締結されている必要があります。契約と共に、本BAAは当該保護された医療情報に関する各当事者の個々の義務に優先されます。

背景

1. 会社は、HITECH法（以下に定義）およびHHS公布関連規則（以下に定義）によって改定されたHealth Insurance Portability and Accountability Act of 1996, Public Law 104-191（1996年の医療保険の相互運用性と説明責任に関する法律）（総称して「HIPAA」という）において個々に定義される「対象事業者」または対象事業者の「事業提携者」であり、保護された医療情報（以下に定義）の機密性およびプライバシーに関するHIPAAの規定を遵守することが求められます。
2. 両当事者は契約を締結しており、契約に従い、Seagateは契約に規定されている会社に対して特定のサービスを提供します。
3. Seagateは契約に従いサービスを提供する際、保護された医療情報にアクセスすることができます。
4. Seagateは契約に従いサービスを提供することで、会社の「事業提携者」となります。
5. 両当事者は、プライバシー規則（以下に定義）をはじめとした医療情報の機密性とプライバシーについて定める適用可能なすべての米国連邦法および州法を遵守することを約束します。
6. 両当事者は、契約の規定、本BAA、HIPAAに従い、およびその他法律で定められているとおりに、Seagateに開示された保護された医療情報のプライバシーを保護し、セキュリティ対策を講じる意思があります。

合意書

契約による両当事者は以下のとおり合意するものとします。

1. 定義。本BAAにおいて、両当事者はこの第1条の各用語に以下の意味を付与します。本BAAで使用される大文字の用語で特に定義されていないものは、契約、HIPAA、プライバシー規則、または関連する法律において当該用語に与えられた意味を持ちます。
   1. 「事業提携者」はHIPAAで定められた定義を持つものとします。
   2. 「侵害」とは、45 CFR §164.402に定義されるとおり、プライバシー規則で許可されていない方法でPHIの取得、アクセス、使用、または開示を行い、PHIのセキュリティまたはプライバシーを侵害することを意味します。
   3. 「CFR」は連邦規則集を指すものとします。
   4. 「対象事業者」はHIPAAで定められた定義を持つものとします。
   5. 「対象サービス」とは、本BAAの対象として契約に明記されたサービスを指します。
   6. 「HHS」とは、米国保健福祉省を指します。
   7. 「HIPAA」は、上記「背景」条項において定められた意味を持つものとします。
   8. 「HITECH法」とは、American Recovery and Reinvestment Act of 2009, Public Law 111-005（2009年のアメリカ復興再投資法）の一部として制定されたHealth Information Technology for Economic and Clinical Health Act（経済的および臨床的健全性のための医療情報技術に関する法律）を指します。
   9. 「個人」は、45 CFR §164.502(g) に従い、人格代表者として適格な人物に関して、45 CFR §§164.501および160.130において当該用語に与えられた意味と同じ意味を持つものとします。
   10. 「容認できない使用または開示」はHIPAAで定められた定義を持つものとします。
   11. 「プライバシー規則」とは45 CFR Part 160およびPart 164のSubpart AおよびEに規定されるHIPAAの一部を指します。
   12. 「保護された医療情報」または「PHI」は、45 CFR §§164.501および160.103において、「保護された医療情報」という用語に与えられた意味を持ち、これはSeagateが会社から、または会社の代理として、作成または受領した情報に限定されます。
   13. 「法律で定められている」とは、HIPAAで定められた意味を持ちます。
   14. 「セキュリティ・インシデント」とは、情報システムにおける不正アクセス、情報の使用、開示、変更、もしくは破棄、またはシステム運用妨害の試みもしくは成功について45 CFR § 164.304のHIPAAで定められた意味を持ちます。
   15. 「セキュリティ規則」とは、45 CFR Part 160およびPart 164のSubparts AおよびCに規定される電子的な医療情報を保護するためのセキュリティ基準を指します。
   16. 「安全ではない保護された医療情報」または「安全ではないPHI」とは、HITECH法に従って発行され、42 USC §17932(h) に明文化されたガイダンスにおいてHHS長官が指定した技術または方法の使用を通じて権限のない個人に対する使用不可、読取り不可、または解読不可の状態にされていない医療情報を意味します。
   17. 「失敗に至ったセキュリティ事象」とは、保護された医療情報の不正アクセス、使用、開示、変更、または破棄に至らないSeagateのファイアウォールに対するプラグインまたはその他のブロードキャスト攻撃、ポート・スキャン、ログイン試行の失敗、サービス拒否攻撃、および上記を組み合わせたものや類似のものを指しますが、これらに限定されません。
2. PHIの使用と開示。
   1. 本BAAに別段の定めがある場合を除き、Seagateは契約に定められたサービスを会社に提供するため、および契約、本BAAにより、またはその他法律で定められているとおりに、Seagateに許可または要求されたその他の行為を行うために、合理的に必要な範囲でPHIのアクセス、使用、開示、変更、または破棄が可能です。
   2. 本BAA、連邦法、または州法により制限される場合を除き、会社はSeagateが保有するPHIをSeagateの事業の適切な管理と運営および法的責任の履行のために使用することを許可します。Seagateは、(i) 開示が法律で定められている場合、または (ii) 第三者への開示前に、Seagateがこの第三者から、PHIを本BAAに従って機密保持すること、および法律で定められているとおりに、またはこの第三者に開示された目的のためにのみ使用または追加開示することについて合理的な保証を得た場合、PHIをSeagateの管理と運用のために開示できます。
   3. Seagateは、本BAAで規定される方法、プライバシー規則で許可された方法、法律で定められている以外の方法でPHIを使用または開示しないものとします。Seagateは、PHIの使用や開示ごとに、HITECH法の第13405(b) 条（42 USC §17935(b) で明文化）を含むHIPAAの要件、およびHHSが採択した同法の施行規則の要件に従い、使用または開示の意図した目的を遂行するために、可能な範囲で限定的なデータ・セットとして、つまり合理的に必要な量のPHIに限定して、PHIの使用と開示を行うことができます。
   4. 要請があった場合、SeagateはSeagateまたはその代理人または請負業者が保有する会社のPHIを本BAAの規定に従い会社に提供するものとします。
   5. Seagateは、45 CFR §164.502(j)(1) に則って、米国の連邦および州の適切な当局に法律違反を報告するためにPHIを使用することができます。
3. PHIの悪用に対するセーフガード。Seagateはサービスの性質を踏まえた合理的な範囲で、PHIの使用または開示を防ぐために設計された適切なセーフガードを使用します。また、Seagateは会社の代理で作成、受領、保持、または転送する電子PHIの機密性、完全性、可用性を合理的かつ適切に保護する運用面、物理面、技術面のセーフガードを実装することに同意します。Seagateは、本BAAを遵守するための従業員研修の実施など、従業員や代理人の作為または不作為によってSeagateが本BAAの規定に違反することを防ぐための妥当な措置を講じることに同意します。
4. 暗号化。サービスに関連する暗号化構成やセキュリティ・コントロールにより、Seagateが本サービスに保存されている会社の暗号化されたファイルとフォルダに含まれるPHIにアクセスすることやその性質を知ることはありません。そのため、両当事者は、Seagateにはセキュリティ・インシデント、容認できない使用または開示、または安全ではないPHIの侵害に影響を受ける可能性のある個人のPHIに関するすべての関連情報を会社に提供できない場合があることを認めます。
5. PHIの開示およびセキュリティ・インシデントの報告。Seagateは、本BAAまたは契約に規定されていないPHIの使用または開示に気付いた場合、会社に書面による（電子メールを含む）報告を行います。また、Seagateは会社の電子PHIに実際に影響を与えるセキュリティ・インシデントに気付いた場合、会社に報告を行うことに同意します。Seagateは、当該事象を確認から5営業日以内に報告することに同意します。上記にかかわらず、両当事者はこの第5条が失敗に至ったセキュリティ事象の継続的な存在と発生に関するSeagateから会社への通知を構成するものであり、会社への追加の通知を必要としないことを認め、これに同意します。会社は、契約により、ここに通知がすべての失敗に至ったセキュリティ事象について通知が行われたとみなされること、およびSeagateは当該の失敗に至ったセキュリティ事象に関して本BAAに基づくいかなる通知も要求されないことを認め、これに同意します。
6. 安全ではないPHIに対する侵害の報告。Seagateは、安全ではないPHIに対する侵害を発見次第、45 CFR §164.410に規定された要件に従い、書面で（電子メールを含む）速やかに会社に通知しますが、当該侵害の発見後30暦日を超えないものとします。当該情報には、実行可能な範囲で、上記第5条に従い、保護された医療情報が不正アクセス、取得、もしくは開示された、または不正アクセス、取得、もしくは開示されたとSeagateが合理的に考える各個人の識別情報を含むものとします。
7. 報告の義務。上記第4条を踏まえ、会社は安全ではないPHIの侵害、セキュリティ・インシデント、または容認できない使用または開示があった場合に影響を受ける個人を特定し（存在する場合）、当該影響を受けた個人に通知するかどうかを判断し、米国保健福祉省長官などの規制当局や会社に適用されるその他執行委員会に通知を行う必要があるかを判断して、当該通知を行う責任を負います。
8. PHIの開示によるリスクの軽減。Seagateは、本BAAの要件に違反したSeagateまたはその代理人または請負業者によるPHIの使用または開示についてSeagateの知る有害な影響が合理的に発生しうる潜在的なリスクを可能な範囲で軽減するための妥当な措置を講じるものとします。
9. 代理人または請負業者との契約。Seagateは、契約に基づく義務を遂行するためにPHIへのアクセスを必要とするSeagateが使用する代理人または請負業者に、本BAAと実質的に同じレベルでPHIの保護を行う書面上の義務を負わせるための適切な措置を講じるものとします。Seagateが契約に基づく義務の履行に代理人または請負業者を使用する限りにおいて、SeagateはSeagateが履行する場合と同様に、代理人または請負業者の履行に対する責任を引き続き負うものとします。
10. 監査報告書。Seagateは、書面による要請を受けた場合に法律で定められている範囲で、適用されるすべての法的特権の下、PHIの使用と開示に関する内部慣行、帳簿、合意書、記録、ポリシーおよび手順を保健福祉省長官（以下「長官」という）に提供し、会社およびSeagateによるHIPAAおよび本BAAの遵守状況を長官が判断できるようにするものとします。
11. 開示の事実報告。
    1. Seagateは、45 CFR §164.528(a) の要求に従い、Seagateが行ったあらゆるPHIの開示を文書化し、当該開示の事実報告を行えるようにします。また、Seagateは、45 CFR §164.528に従い、会社が開示の事実報告の要求に応じるために必要とする場合、そのような開示に関する情報を提供するものとします。Seagateは、Seagateによる開示対象に関して、少なくとも以下の情報を会社に提供します。(i) PHIの開示の日付、(ii) PHIを受領した事業者または個人の名前、および、分かる場合は当該事業者または個人の住所、(iii) 開示されたPHIの簡潔な説明、および (iv) 当該開示の根拠を含む開示目的の簡潔な説明。
    2. Seagateは、本第11条に従って収集した情報を会社が書面による通知を行ってから15営業日以内に会社に提供して、会社が45 CFR §164.528に要求される開示の事実報告を行えるようにします。また、会社が事業提携者のリストを個人に提供することを選択した場合、Seagateは個人の要請に応じてPHIの開示に関する事実報告を行いますが、当該事実報告はHITECH法またはHITECH法に関連して採択されたHHS規則に基づき要求される範囲内で行われるものとします。
    3. 個人がSeagateに保管されている当該個人のPHIに関して事実報告を求める書面による最初の通知をSeagateに対して直接行った場合、Seagateは10営業日以内に当該要請を会社に送付します。
12. 会社の責任。Seagateによる保護された医療情報の使用または開示に関して、会社は以下のことに同意するものとします。
    1. 本BAAに基づき許可または要求されたSeagateによるPHIの使用または開示を制限するいかなる制限もプライバシー慣行の通知に含めないこと。ただし、そのような制限が法律で定められている場合を除きます。会社がプライバシー慣行の通知にそのような制限を含めることが法律で定められている場合、会社は当該制限がSeagateによるPHIの使用または開示に影響を与えうる範囲内で、当該制限をSeagateに速やかに通知するものとします。
    2. 個人によるPHIの使用または開示の許可の変更または取り消しは、当該変更がSeagateによるPHIの使用または開示に影響を与えうる範囲内で、Seagateに通知すること。
    3. 法律で定められている場合を除き、本BAAに基づき許可もしくは要求されたSeagateによるPHIの使用もしくは開示を制限する制限またはサービスの提供のいかなる要求にも同意しないこと。会社がそのような制限に同意することが法律で定められている場合、会社は当該制限をSeagateに速やかに通知するものとします。
    4. 会社が行った場合にはHIPAAの下で容認されない方法で、またはサービスにそぐわない方法で、PHIの使用または開示をSeagateに要求またはさせないこと。
    5. PHIの不正使用や不正開示を防ぐためのプライバシーおよびセキュリティの適切なセーフガードを実装および使用すること。また、HIPAAおよび本BAAに準拠し、その他セキュリティ規則で要求されているように、PHIを合理的かつ適切に保護するための運用面、物理面、技術面のセーフガードを実装および使用すること。特に、会社はオンラインで入手可能なHHS長官の文書『Guidance to Render Unsecured Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals（安全ではない保護された医療情報を権限のない個人に対して使用不可、読取り不可、または解読不可にするためのガイダンス）』(https://www.hhs.gov/hipaa/for-professionals/breach-notification/guidance/index.html) に従い、サービスに保存されるか、サービスを使用して転送されるPHIをすべて暗号化するものとします。この文書は、随時更新され、HHSが指定する後継サイトまたは関連サイトで公開される可能性もあります。会社がサービスを使用してPHIを暗号化せずに転送することを選択した限り、会社は暗号化が当該通信に合理的かつ適切ではないことをセキュリティ規則に従い文書化し、合理的かつ適切である場合は、同等の代替手段を実装する責任を負います。会社は、会社がサービス外でPHIを作成、受領、保持、転送する限り、Seagateが本BAAに従いPHIを保護する義務を負わないことを認め、これに同意するものとします。
    6. PHIの提供を行うごとに、サービスに関連してあらゆるデータ（PHIを含むがこれに限定されない）を開示またはアップロードする前に適用法に従い要求される可能性のある必要な認可、同意、およびその他の許可が取得されていることを保証すること。
13. データの所有権。いかなる場合も、本BAAにより契約において合意済みのデータの所有権に関する規定が変更されることはありません。
14. 契約期間および終了。
    1. 本BAAは、(i) この第14条に従い許可された終了、または (ii) 会社がサービスにアクセスするための契約の満了もしくは終了のいずれか早い時点で終了します。
    2. Seagateが本BAAの重要な規定に違反し、Seagateが会社からの書面による通知後30日以内に会社が合理的に満足する程度に当該重大違反を是正しなかったと会社が判断した場合、会社は本BAAを直ちに終了できます。会社は、法律で定められている場合、適用されるすべての法的特権に従って、HHS長官に問題を報告できます。
    3. 契約の中断に関する条項に従い、会社が本BAAの重要な規定に違反したとSeagateが判断した場合、Seagateは違反の存在を書面で会社に通知し、違反の是正期間として30日を与えるものとします。30日という期間内に会社が違反を是正できなかった場合、それを根拠としてSeagateは契約または本BAAを直ちに終了することができます。Seagateは、適用されるすべての法的特権に従い、HHSに違反を報告できます。
    4. いかなる理由であれ、契約または本BAAの終了後は、契約の企業データに関する規定に従い、Seagateが保持するすべてのPHIはサービスから削除されます。Seagateは本BAAの保護の適用を当該PHIにも拡大し、Seagateが当該PHIを保持する限り、当該PHIのさらなる使用や開示を返却または破棄を不可能にするためという目的に限定します。両当事者は、この第14.4.条が本BAAの終了後も存続することを理解します。
15. BAAの効力。本BAAは契約の一部を構成し、契約の規定に従うものとします。本BAAは、本BAAによって変更された契約とともに、(i) 両当事者の合意事項の最終的、完全、かつ排他的な意思表示であることが両当事者によって意図されており、(ii) 契約の主題に関する両当事者間の以前の合意事項および理解事項（口頭または書面）のすべてに優先します。本BAAの規定は、契約の矛盾するいかなる規定にも優先されます。ただし、契約の条項はPHIに関して本BAAの下で明示的に修正または変更された場合を除いて引き続き有効となります。
16. 法律を遵守するための修正。両当事者はデータ・セキュリティおよび医療情報のプライバシーに関連する連邦法および州法が急速に進化していること、および当該進化に応じた手続きを定めるために本BAAの変更が必要になる可能性があることを認めます。両当事者は、HIPAAの基準および要件を履行するために必要となるような措置を講じることに特に同意するものとします。一方の当事者の要請があった場合、他方の当事者はHIPAAまたはその他の適用法の基準と要件に則した保証事項を明文化し、組み込む本BAAの修正条項に関して速やかに交渉を開始することに同意するものとします。いずれの当事者も、他方の当事者が(i) この第16条に基づく要請時に速やかに本BAAの変更の交渉に応じなかった場合、または (ii) HIPAAの基準や要件を満たすのに十分なPHIの保護について保証を行う本BAAの変更を締結しなかった場合、30日前に書面で通知することにより、契約を終了することができます。
17. 解釈。本BAAおよび契約は、HIPAAを履行し、遵守するために必要な範囲で広範に解釈されるものとします。両当事者は、本BAAにおけるいかなる不明瞭な点も、HIPAAを遵守し、それに則した意味が支持されるように解決することに同意するものとします。

2024年12月10日