本業務提携契約(以下「BAA」)は、当事者による最終署名日(以下「発効日」)をもって、Notion Labs, Inc.(以下「Notion」、「業務提携先」、「当社」、「当社の」または「私たち」)と、署名ページに記載された顧客(以下「顧客」、「貴社」または「貴社の」)との間で締結される。Notionおよび顧客は、個別に「当事者」、総称して「当事者ら」と称されることがある。

リサイタル:

A. 顧客は、HIPAA(医療保険の携行性と責任に関する法律)で定義される「対象事業者」または「業務提携先」のいずれかに該当します。当該立場において、顧客は保護対象健康情報(PHI)の機密性およびプライバシーに関するHIPAAの要件を遵守する必要があります。

B. 業務提携先は、当事者間の基本契約(以下「本契約」)に基づき、顧客に対してサービスを提供する。本サービスに関連し、当事者は、業務提携先が顧客のために、または顧客に代わって、随時保護対象健康情報を作成および/または受領する可能性があることを想定する。顧客へのサービス提供において保護医療情報を作成および/または受領することにより、業務提携先はHIPAAで定義される「業務提携先」または「下請業者」となり、顧客のために作成する、または顧客からもしくは顧客に代わって受領する保護医療情報の機密性およびプライバシーに関する義務を負うものとする。

C. 本BAAは、以下の条件を満たす場合に限り適用されます:(1) お客様がHIPAAで定義される「対象機関」または「業務提携先」である場合;(2) お客様がHIPAA対応のNotionアカウント利用を許可する注文書に署名している場合;(3) お客様がドキュメントに規定されるその他のHIPAA適格基準を全て満たしている場合 (現在はこちらに記載:https://www.notion.so/help/hipaa。これには適格なサブスクリプションプランの維持および必要な設定の完了(「HIPAA適格性基準」)が含まれます)。HIPAA適格性基準は、Notionの単独の裁量により随時更新される場合があります。

  1. 定義:本BAAにおいて、大文字で始まる用語は以下に定める意味を有する。本契約において使用されるが別途定義されていないすべての大文字で始まる用語は、HIPAA、本契約、または適用される補足条項によって定められる意味を有する。
    1. HIPAA」とは、1996年健康保険の携行性と責任に関する法律およびそれに基づき公布された規則を意味する。
    2. HITECH法」とは、2009年アメリカ復興・再投資法(正式名称:経済的・臨床的健康のための医療情報技術法)のセキュリティ規定を指す。
    3. 保護対象健康情報」または「PHI」とは、顧客のために、または顧客に代わって業務提携先が作成、受領、維持、または伝送する、口頭またはあらゆる形態・媒体で記録された情報であって、個人を特定する、または合理的に個人を特定するために使用され得るものであり、かつ以下に関連するものをいう:(i) 当該個人の過去、現在または将来の身体的または精神的健康状態; (ii) 当該個人への医療の提供;または(iii) 医療に関する過去、現在または将来の支払い。
    4. 長官」とは、米国保健福祉省長官を指すものとする。
    5. 保護されていない PHI」とは、長官が指定する技術または方法(例:暗号化)を用いて、権限のない個人に対して使用不能、判読不能、または解読不能にされていないPHIを意味する。この定義は、紙媒体のPHIと電子媒体のPHIの両方に適用される。
  2. 業務提携先の義務
    1. 個人健康情報の利用および開示
      1. 業務提携先は、自らが、その代理人及び下請け業者が以下の事項を保証する:(i) 本業務提携契約(BAA)及び本契約に基づく義務及び責務の履行に関連する場合に限り、PHIを使用又は開示すること;(ii) 本契約で許可又は要求される場合、もしくは法律で要求される場合を除き、PHIを使用又は開示しないこと; (iii) 適用される連邦法および州法に違反する方法、または顧客が同様の方法で使用または開示した場合に当該法律に違反するおそれのある方法でPHIを使用または開示しないこと;および(iv) 特定の目的に必要な最小限のPHIのみを使用および開示すること。顧客は、使用および開示が本最小限必要要件を満たすか否かの判断において、業務提携先が顧客の指示に依拠できることに同意する。
      2. 本BAAに定める制限に従い、業務提携先は、必要に応じて顧客から受領した情報を以下の目的で使用することができる:(i) 業務提携先の適切な管理及び運営のため、または (ii) 業務提携先の法的責任を履行するため。
      3. 本BAAに定める制限に従い、業務提携先は、業務提携先の適切な管理及び運営のためにPHIを開示することができる。ただし、以下の条件を満たす場合に限る:(1) 法令により開示が義務付けられている場合、または (2) 業務提携先が、情報開示先の個人または団体から、当該情報が機密保持され、法律で要求される場合または開示目的の範囲内でのみ使用・再開示されること、および情報の機密性が侵害された事実を業務提携先に通知することを求める合理的な保証を得ている場合。
      4. ビジネスアソシエイトは、HIPAAの下で許容される範囲において、データ集約の目的のために、本BAAに基づきビジネスアソシエイトが顧客に代わって作成または受領したPHIを、45 C.F.R. 160.103に定義されるPHIと組み合わせて使用、開示、および結合することを許可される。160.103に定義されるPHIと、他の被保険事業体のビジネスアソシエイトとしての立場でビジネスアソシエイトが受領したPHIを、各被保険事業体および/または顧客の医療業務に関連するデータ分析を可能とするために、使用、開示、および結合することを許可される。
    2. 保護措置。 業務提携先は、PHIの機密性を保護し、本BAAまたは契約の条項に反する方法によるPHIの使用または開示を防止するため、適切な管理上、技術上および物理上の保護措置を講じなければならない。業務提携先は、該当する場合、電子PHIに関して45 C.F.R. Part 164 Subpart Cを遵守し、本BAAまたは契約で規定される場合以外の当該電子PHIの使用または開示を防止するものとする。
    3. 監査および記録 業務提携先は、HIPAAに従い、顧客から受領した、または顧客に代わって業務提携先が作成もしくは受領したPHIの利用および開示に関する業務提携先の内部慣行、帳簿および記録を、顧客のHIPAAに基づく義務遵守状況を判断する目的で、長官が閲覧できるようにしなければならない。
    4. 個人のPHIに対する権利
      1. ビジネスアソシエイトが指定記録セット内にPHIを保持する範囲において、顧客(または顧客が「ビジネスアソシエイト」として行動する場合の関連する「被保険者」)が、45 CFR 第164.524条に基づき個人によるPHIへのアクセス要求に対応できるようにするため、ビジネスアソシエイトは、顧客からの書面による要求を受領後10営業日以内に、当該PHIを顧客に提供するものとする。
        1. 個人から業務提携先に対して直接PHIへのアクセスが要求された場合、業務提携先は当該要求を受けた日から5営業日以内に、当該要求を顧客に転送するものとする。
        2. 顧客は、個人によるPHI開示請求の許可または拒否に関する全ての判断を行う責任を負い、業務提携先はかかる判断を行わない。法令で要求される場合を除き、当該請求に基づく個人へのPHI開示の決定は顧客のみが責任を負う。顧客が45 CFRセクション164.524に基づき決定し、ビジネスアソシエイトに伝達したPHIへのアクセス拒否は、拒否に起因するすべての異議申立ておよび/または苦情の解決または報告を含め、顧客の責任とする。
      2. ビジネスアソシエイトが指定記録セット内にPHIを保持する範囲において、顧客(または顧客が「ビジネスアソシエイト」として行動する場合の関連する「被保険者」)が個人によるPHIの修正要求に対応できるようにするため、ビジネスアソシエイトは、顧客からの書面による要求を受領後10営業日以内に、当該PHIを顧客に提供するものとする:
        1. 個人から業務提携先に対して直接PHIの修正を請求された場合、業務提携先は当該請求を受領後5営業日以内に当該請求を顧客に転送するものとする。
        2. 顧客は、個人によるPHIの修正要求の承認または拒否に関する全ての決定を行う責任を負い、業務提携先はかかる決定を行わない。顧客が45 CFRセクション164.526に基づき決定し、業務提携先に伝達したPHI修正の拒否は、拒否に起因する全ての異議申立ておよび/または苦情の解決または報告を含め、顧客の責任とする。
        3. 顧客から指定記録セット内の個人のPHIを修正する要求を受領してから10営業日以内に、業務提携先は、45 CFRセクション164.526の要求に従い、承認された修正、異議申立書、および/または反論を、自社の指定記録セットに組み込むか、顧客が組み込めるようにPHIを提供しなければならない。
      3. 顧客(または顧客が「業務提携先」として行動する場合の関連する「対象事業体」)が、45 CFR 第164.528条に基づく個人からの開示記録請求に対応できるよう、業務提携先は、顧客から個人に関するPHIの開示記録の開示を文書で請求されてから10営業日以内に、当該PHIを顧客に提供するものとする。
        1. 個人から業務提携先に対し、直接にPHI開示の記録開示を請求された場合、業務提携先は当該請求を受領後5営業日以内に、当該請求を顧客に転送するものとする。
        2. 顧客は、個人に対する会計報告書の作成および提出について責任を負う。
        3. 業務提携先は、本業務提携契約書の要件を遵守できるよう、適切な記録管理プロセスを実施するものとする。
      4. 下請業者。業務提携先は、顧客のために、または顧客に代わって業務提携先が受領した、または作成もしくは受領したPHIにアクセスする、またはアクセスする予定の下請業者または代理人それぞれと、書面による契約を締結し維持するものとする。当該契約に基づき、当該下請業者および代理人は、本BAAに基づき当該PHIに関して業務提携先に適用されるのと同様の種類の制限、条項、および条件に拘束されることに同意するものとする。
    5. セキュリティ侵害と報告義務。
      1. ビジネスアソシエイトが顧客に代わってアクセス、維持、保持、変更、記録、またはその他の方法で保有もしくは使用する未保護のPHI(以下「未保護PHI」)について、不正または偶発的な開示もしくはアクセスが確認された場合(以下「セキュリティ侵害」)、ビジネスアソシエイトは当該セキュリティ侵害を顧客に速やかに報告するものとし、いかなる場合もセキュリティ侵害が発見された日から10営業日以内に報告しなければならない。セキュリティ侵害の通知には、ビジネスアソシエイトが把握している範囲において、以下の情報を含めるものとする:(1) セキュリティ侵害の発生中に、そのPHIがアクセスされ、取得され、または開示された、あるいはその可能性が合理的に認められる個人を特定する情報;(2) セキュリティ侵害の発生日(判明している場合)および発見日; (3) セキュリティ侵害の範囲;および (4) ビジネスアソシエイトによるセキュリティ侵害への対応。
      2. 本BAAに基づき不適切なPHIの使用または開示が発生した場合(ただしセキュリティ侵害には該当しない場合)、業務提携先は当該使用または開示を認識した日から10営業日以内に、当該使用または開示について顧客に報告するものとする。
      3. 当事者は、失敗に終わったセキュリティ侵害(例:ファイアウォールに対するpingやその他のブロードキャスト攻撃、サービス拒否攻撃、ポートスキャン、失敗したログイン試行)が通常の業務過程で発生し得ることを認識し、本項が当該失敗したセキュリティ侵害に関するビジネスアソシエイトから顧客への通知を構成することを規定し、合意する。
  3. 顧客の義務
    1. 顧客は、当該利用または開示が顧客によって行われた場合に適用される連邦法および州法に違反するいかなる方法においても、ビジネスアソシエイトに対しPHIの利用または開示を要求してはならない。
    2. 顧客は、顧客がビジネスアソシエイトに送信する、または送信を指示するPHIに関連するすべての適用法令を遵守するものとする。
    3. 顧客がNotionによって提供される生成型人工知能機能を利用する場合、当該機能に関連する医療活動において、当該出力の利用または開示を行うのは、医療活動の実施に必要な免許、認定、その他の認可を保持する、適切に訓練され資格を有する個人のみとすることを顧客は要求するものとする。
    4. 特定の種類のPHIに関する制限事項 顧客は、指紋、虹彩スキャン、網膜スキャン、顔認識画像を含む機微な生体認証情報を含むPHIを、本サービスを通じて保存またはその他の方法で処理しないことに同意する。
    5. 必要な通知。
      1. 顧客は、適用されるプライバシー慣行に関する通知における制限事項が業務提携先のPHIの利用または開示に影響を及ぼす可能性がある範囲において、45 CFR 第164.520条に従い、当該制限事項を業務提携側に通知するものとする。
      2. 顧客は、個人によるPHIの使用または開示に関する許可の変更または撤回について、当該変更が業務提携先のPHIの使用または開示に影響を及ぼす可能性がある範囲において、業務提携先に通知するものとする。
      3. 顧客は、45 CFR 第164.522条に従い顧客が合意したPHIの利用または開示に関する制限について、当該制限が業務提携先のPHIの利用または開示に影響を及ぼす可能性がある範囲において、業務提携先に通知するものとする。
  4. 期間および終了。
    1. 期間。 本BAAは、本契約の発効日より効力を生じ、以下のいずれかの時点で終了する。(i) 本契約の条項に従い、または第4条(b)項で明示的に認められた方法で本契約が終了した場合; (ii) 本BAAの条項に厳密に従い全てのPHIが廃棄された時;(iii) 顧客がHIPAA適格サブスクリプションプランを維持できなくなった時;または(iv) 顧客がHIPAA適格基準の変更または更新について通知を受けた後、改訂後のHIPAA適格基準を満たせなくなった時;のいずれか遅い方。
    2. 重大な違反による解除。いずれかの当事者が相手方の重大な違反を認識した場合、非違反当事者は違反当事者に是正の機会を与えるものとする。当該違反が、違反当事者が非違反当事者から当該違反に関する通知を受領した日から20営業日以内に、非違反当事者の合理的な満足を得られる形で是正されない場合、非違反当事者は、実行可能な場合に限り、本BAA及び重大な違反の影響を受ける契約の一部を解除するものとする。いずれかの当事者が相手方の重大な違反を認識し、かつ是正が不可能な場合、非違反当事者は、実行可能な場合に限り、本BAA及び当該重大な違反の影響を受ける契約部分を解除するものとする。
    3. PHIの返還または破棄 本BAAが何らかの理由で終了した場合、業務提携先は以下を行うものとする:
      1. ビジネスアソシエイトが実行可能と判断した場合、ビジネスアソシエイトまたはその下請業者・代理人がいかなる形態であれ依然として保持している、顧客から受領した、または顧客のために、もしくは顧客に代わってビジネスアソシエイトが作成もしくは受領したすべてのPHIを返却または破棄するものとし、ビジネスアソシエイトは当該情報の複製を一切保持しないこと。または
      2. 業務提携先が当該返還または破棄が実行不可能と判断した場合、当該情報に対して本業務提携契約書の保護を適用し、PHIの返還または破棄を不可能とする目的に限定して、さらなる利用および開示を制限するものとする。この場合、本第4条(c)(ii)項に基づく業務提携先の義務は、本業務提携契約書の終了後も存続するものとする。
  5. 一般
    1. 改正。 HIPAAまたはHITECH法に基づき公布された規制のいずれかが改正され、または本BAAと矛盾する形で解釈された場合、当事者は誠実に協力し、かかる改正または解釈に準拠するために必要な範囲で本BAAを改正するものとする。
    2. 解釈。本BAAにおけるいかなる曖昧さも、当事者がHIPAAおよびHITECH法に準拠することを可能とするよう解決されるものとする。
    3. 責任の制限 当事者は、本契約に含まれる責任制限条項が本BAAに基づく各当事者の履行に適用され、これを規律することを合意し、確認する。
    4. 矛盾する条項について 本BAAの条項が本契約の条項と矛盾する場合、本BAAの条項が優先し、本契約の矛盾する条項に優先して適用されるものとする。本契約のその他の矛盾しない条項は、引き続き有効かつ執行力を有する。

最終更新日: @2024年8月5日