# HIPAA業務提携者追補（BAA）

{% hint style="info" %}
オフライン版の本契約に署名してDispelサービスの利用をDispel Enterprise Subscription Agreementの下で行っている場合、以下の条項は適用されず、対象サービスに関してはオフラインの条件が優先します。
{% endhint %}

本HIPAA事業者付随同意書（"BAA"）は、Dispel, LLC（"Dispel"）と以下の条項に同意する顧客（"Customer"）との間で締結され、対象サービス（以下に定義）に関してのみサービス契約（以下に定義）に補足、修正、組み込まれるものです。本BAAは、顧客が電子的に本BAAの受諾に署名したときに効力を生じます（"BAA発効日"）。

顧客は既存の [Enterprise Subscription Agreement](/terms-and-policies/legal-and-privacy-ja/term/enterprise-subscription-agreement.md) を有している必要があり、本BAAが有効で効力を有するために必要です。Enterprise Subscription Agreementと併せて、本BAAは保護対象医療情報（以下に定義）に関する各当事者の各自の義務を規定します。

あなたは以下を表明し保証します：(i) あなたは顧客を本BAAに拘束する完全な法的権限を有していること、(ii) 本BAAを読み理解していること、(iii) 顧客を代表して本BAAの条項に同意すること。顧客を拘束する法的権限がない場合、またはこれらの条項に同意しない場合は、本BAAの条項を電子的に署名して受諾しないでください。

## **1. 定義**

本BAAで使用されるが別途定義されていない大文字の用語は、(i) HIPAAおよびHITECH法、または(ii) サービス契約において与えられた意味を持つものとします。

* “Business Associate”は、HIPAAの45 CFR § 160.103に定められた定義を有します。
* “Breach”は、HIPAAの45 CFR § 164.402に定められた定義を有します。Breachには、Dispelが45 C.F.R. § 164.402に従って、PHIが侵害される可能性が低いと判断した取得、アクセス、使用、または開示は含まれません。
* “Breach Notification Rule”は、HIPAAのBreach Notification Rule、45 CFR §§ 164.400-414を意味します。
* “Covered Entity”は、HIPAAの45 CFR § 160.103に定められた定義を有します。
* “Covered Services”は、Dispelの製品およびサービスで、特に [HIPAA準拠](/security-and-data-protection/security-and-data-protection-ja/no/hipaa-zhun-ju.md#covered-products) にてDispel Zero Trust Engine BAAの対象として特定されているものを意味します。
* “Designated Record Set”は、HIPAAの45 CFR § 164.501に定められた定義を有します。
* “HIPAA”は、1996年のHealth Insurance Portability and Accountability Actおよびそれに基づく規則および規制（改正を含む）、プライバシールール、Breach Notification Rule、セキュリティルール、およびHITECH法によるHIPAAへの改正を意味します。
* “HIPAA Implementation Guide”は、対象サービスが顧客のHIPAAコンプライアンスの取組みに関連して顧客によってどのように設定され得るかを説明するDispelが提供する情報ガイドを意味します。対象サービスのHIPAA Implementation Guideは以下のURLで参照可能です： [HIPAA準拠](/security-and-data-protection/security-and-data-protection-ja/no/hipaa-zhun-ju.md).
* “HITECH Act”は、米国議会で制定されたHealth Information Technology for Economic and Clinical Health Act（American Recovery & Reinvestment ActのTitle XIII）およびそれに基づく規則（改正を含む）を意味します。
* “Privacy Rule”は、HIPAA Privacy Rule、45 CFR Part 160およびPart 164のSubparts AおよびEを意味します。
* “Protected Health Information”または“PHI”は、HIPAAの45 CFR § 160.103に定められた定義を有し、本BAAの目的上は、顧客の許可された対象サービスの使用に関連してDispelが対象サービスを通じてアクセスする顧客データ内のPHIに限定されます。
* “Required by Law”は、HIPAAの45 CFR § 160.103に定められた定義を有します。
* “Security Incident”は、HIPAAの45 CFR § 164.304に定められた定義を有します。
* “Services Agreement(s)”は、Dispelと顧客との間で締結され、対象サービスの提供を目的とする書面による契約を意味し、これらの契約はオンラインの利用規約の形式（例えば [Enterprise Subscription Agreement](/terms-and-policies/legal-and-privacy-ja/term/enterprise-subscription-agreement.md).
* “Security Rule”は、HIPAA Security Rule、45 CFR parts 160および164、subparts AおよびCを意味します。

## **2. 本BAAの適用範囲**

本BAAは、顧客が対象サービスを介してPHIを作成、受領、保管、または送信する際にCovered EntityまたはBusiness Associateとして行動している範囲、およびその結果としてDispelがHIPAAの下で顧客のBusiness Associateまたは下請け業者として行動する範囲に適用されます。本BAAは対象サービスでないDispelの製品、サービス、または機能には適用されません。本BAAは、顧客が対象サービスの外部で作成、受領、保管、または送信するPHI（顧客のオフラインまたはオンプレミスのストレージツールや第三者アプリケーションの使用を含む）には適用されません。

## **3. 保護対象医療情報の許可されたおよび要求される利用および開示**

(a) *契約の履行*. 本BAAで別段制限されている場合を除き、Dispelはサービス契約、本BAA、または法律により要求される場合に限り、顧客のためまたは顧客に代わってPHIを使用および開示することができます。 &#x20;

(b) *管理、運営、および法的責任*. Dispelは、Dispelの事業の適切な管理および運営のため、またはDispelの法的責任を遂行するためにPHIを使用および開示することができます。ただし、そのような目的でDispelがPHIを開示する場合は次のいずれかである場合に限ります：(i) 法律により要求される場合、または(ii) DispelがPHIを開示する相手方が本BAAと同等の実質的な保護レベルをPHIに対して提供することを規定する書面の義務に拘束されるよう適切な措置を講じた場合。

## **4. 保護対象医療情報に関するDispelの責務**

Dispelが本BAAの下でBusiness Associateとして行動する場合、Dispelは以下の義務を履行します：

1. *適切な保護措置*. Dispelは、対象サービスに関してPHIの不正な使用または開示を防止するよう設計された適切な保護措置を使用し、HIPAAに基づき要求されるその他の要件を遵守します。Dispelは電子的PHIに関してHIPAAセキュリティルールのすべての要件を実施します。
2. *報告および関連義務*.
   1. *セキュリティインシデントおよび違反の報告*. Dispelは、(i) Dispelが認識した任意のSecurity Incidentについて（セクション4(2)(c)の対象となる場合がある）、および(ii) Dispelが発見した任意のBreachについて、Breach Notification Ruleの45 CFR § 164.410に従う未保護PHIの違反を含め、速やかに顧客に通知します。ただし、Breachの通知は迅速かつ合理的に遅滞なく行われるものとします。本条に基づく通知は可能な範囲でBreachの詳細（潜在的リスクを軽減するために講じた措置およびDispelが顧客に推奨する対応措置を含む）を記載します。
   2. *通知*. Dispelは、該当する通知を、契約で顧客が提供した通知用メールアドレスまたは顧客との直接の連絡を通じて送信します。
   3. *未遂の試行*. セクション4(1)(a)にかかわらず、本セクション4(2)(c)は、Dispelが定期的に不正アクセス、使用、開示、改変、または情報の破壊の試み（これには、ping、ログオン失敗試行、サービス拒否攻撃、ポートスキャンおよび類似の試行を含むがこれらに限定されない）やDispelのシステムおよび対象サービスの通常運用への干渉を受ける未遂の試行を受け取ることがある旨の顧客への通知とみなされます。顧客は、これらの事象がSecurity Incidentに該当する場合でも、Dispelは本BAAに基づく通知を本条4(2)(c)以外に提供する義務を負わないことを認識し同意します。
3. *下請業者*. HIPAAの45 CFR §§ 164.502(e)(1)(ii)および164.308(b)(2)に従い、Dispelは、PHIへのアクセスを必要とする義務を履行するためにDispelが使用する下請業者が、本BAAと同等の実質的な保護レベルをPHIに対して提供することを規定する書面の義務に拘束されるよう適切な措置を講じます。Dispelが本契約上の義務の履行において下請業者を使用する範囲において、Dispelは当該下請業者の履行についてDispel自身が履行したかのように責任を負い続けます。
4. *アクセスおよび修正*. 顧客は、対象サービス内で顧客が保持するPHIの形式および内容（顧客が対象サービス内でそのPHIをDesignated Record Setとして保持しているかどうかを含む）について単独で責任を負うことを認め同意します。当事者は、Dispelが顧客のためにDesignated Record SetにPHIを保持していないことを確認し合意します。Dispelは、Privacy Ruleの45 CFR § 164.526および45 CFR § 164.528に従い、修正のためにPHIを利用可能にし（必要に応じて修正を組み込む）、開示の会計を行います。Dispelは、顧客が個人のアクセスおよび修正の権利に関してHIPAAの下での義務を履行できるように、対象サービスを通じて顧客のPHIへのアクセスを顧客に提供しますが、Designated Record Setsに関するHIPAAによって個人に付与される権利（PHIのアクセス権や修正権を含む）に関して、Dispelは顧客または個人に対して他の義務を負いません。顧客は、そのような個別の要求に適切に対応するために対象サービスの使用を管理する責任を負います。
5. *開示の会計*. 顧客の要求があった場合、DispelはDispelによるPHIの開示を記録し、HIPAAの下でBusiness Associateに要求される範囲および適用される要件に従ってそのような開示の会計を顧客に提供します。Dispelは、顧客または顧客のエンドユーザーが顧客のアカウントの下で対象サービスに提出するPHIに含まれる個人が誰であるか、またはどの種類のPHIが含まれているかを容易に特定できないため、顧客はDispelが開示した可能性のあるPHIに含まれている可能性のある個人を特定し、開示されたPHIの説明を提供する責任を単独で負うものとします。
6. *長官の記録へのアクセス*. Dispelは、顧客から受領したPHI、または顧客のためにDispelが作成または受領したPHIの使用および開示に関する内部の慣行、帳簿および記録を、法律で要求される範囲で、当該要求が本BAAへの準拠状況を判断するための米国保健福祉省長官（“Secretary”）に利用可能にし、適用されるすべての法的特権の対象となるものとします。 [プライバシーポリシー](/terms-and-policies/legal-and-privacy-ja/policies/privacy-policy.md#our-disclosure-of-your-information) のセクションは、 [プライバシーポリシー](/terms-and-policies/legal-and-privacy-ja/policies/privacy-policy.md) に係るDispelの長官からのそのような要求への対応に適用されます。
7. *情報の返却/破棄*. 契約の終了時に、Dispelは顧客から受領した、または顧客のためにDispelが作成または受領したすべてのPHIを返却または破棄します。ただし、そのような返却または破棄が実行不可能な場合、Dispelは本BAAの保護を返却または破棄されていないPHIに対して延長し、PHIの返却または破棄が不可能にする目的に限定してさらなる使用および開示を制限します。
8. *対象事業体の義務の履行*. Dispelが書面でPrivacy Ruleの下での対象事業体の義務の履行を引き受けることに同意する範囲において、Dispelは当該義務に適用される要件を遵守します。

## **5. 保護対象医療情報に関する顧客の責務**

1. *不適切な要求*. 顧客は、顧客（顧客がCovered Entityである場合）または顧客がBusiness AssociateであるCovered Entityが行う場合にHIPAAの下で許可されない方法でPHIを使用または開示するようDispelまたは対象サービスに要求してはなりません（Business Associateに対してHIPAAで明示的に許可される場合を除く）。
2. *サービス制御の使用*. PHIに関連して対象サービスを使用する顧客のエンドユーザーについて、顧客はサービス内で利用可能な制御（以下の [HIPAA Implementation Guide](/security-and-data-protection/security-and-data-protection-ja/no/hipaa-zhun-ju.md)で詳述されるものを含む）を使用して、PHIの使用が対象サービスに限定されるようにします。顧客は、HIPAA Implementation Guideが顧客の設定オプションに関する任意の情報ガイドとしてDispelによって提供されるものであり、顧客およびそのエンドユーザーが対象サービスの使用をHIPAAおよびHITECH法に準拠させる責任は顧客にあることを認め同意します。
3. *適切な保護措置*. 顧客は、対象サービスに関してPHIの不正な使用または開示を防止するよう設計された適切な保護措置を使用し、HIPAAに基づき要求されるその他の要件を遵守します。

## **6. 本事業者付随同意書の期間および終了**

1. *期間*. 本BAAの期間（“Term”）はBAA発効日に開始し、(i) セクション6に従った終了、または(ii) 顧客が対象サービスへアクセスするすべてのサービス契約の満了または終了のいずれか早い方に終了するものとします。
2. *違反による終了*. いずれかの当事者が本BAAに重大な違反をした場合、非違反当事者は違反当事者に対して10日間の書面による通知（“終了通知期間”）をもって本BAAを終了することができます。ただし、違反が終了通知期間内に是正される場合はこの限りではありません。本セクション6(2)の下での是正が合理的に不可能な場合、非違反当事者は本BAAを直ちに終了することができ、または本セクション6(2)の下で終了も是正も合理的に不可能な場合、非違反当事者は適用されるすべての法的特権の対象として長官に違反を報告することができます。
3. *終了後のサービスの使用*. 本BAAがサービス契約よりも早期に終了した場合、顧客はサービス契約に従ってサービスの使用を継続することができますが、終了通知期間の終了前に顧客が対象サービス内で保持するいかなるPHIも削除し、終了時には直ちにDispelに対して当該PHIをさらに作成、受領、保持、または送信することをやめることを条件とします。

## **7. 雑則**

1. *存続*. セクション4(7)（情報の返却/破棄）および7（雑則）は、本BAAの終了または満了後も存続します。 &#x20;
2. *BAAの効果*. 本BAAがサービス契約の残余部分と矛盾する範囲においては、本BAAが優先します。本BAAはサービス契約の“[準拠法、裁判管轄および裁判地](https://legal.dispel.com/terms-and-policies/legal-and-privacy-ja/term/pages/43440254f2a8cfe35529634f4420ef7b3e337f76#id-12.11.-governing-law-jurisdiction-and-venue)”のセクションの対象となります。本BAAによって明示的に修正または改訂されている場合を除き、サービス契約の条項は引き続き完全に効力を有します。
3. *第三者受益者の不存在*. 本BAAは、顧客およびDispel、その各々の承継者または譲受人以外の者に対して、本BAAに基づくいかなる権利または義務も与えるものではありません。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://legal.dispel.com/terms-and-policies/legal-and-privacy-ja/term/hipaa-ye-wu-ti-xie-zhe-zhui-bu-baa.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.