バージョン: 2022 年 12 月 22 日
この HIPAA 業務提携に関する追加条項(以下「BAA」)は、Google と本規約に同意するお客様(以下「お客様」)との間で締結され、対象サービス(以下で定義)にのみ限定して、契約(以下で定義)を補足、修正し、契約に組み込まれます。本 BAA は、お客様が本 BAA にクリックして同意した、または当事者間で本 BAA が他の方法により同意された日に発効します。
この BAA が有効に機能するには、お客様が既存の契約を締結している必要があります。本 BAA は、本契約とともに、保護医療情報(以下で定義)に関する各当事者の義務を規定します。
お客様は、(i)お客様を本 BAA に拘束する完全な法的権限を有すること、(ii)本 BAA を読んで内容を理解していること、および(iii)お客様に代わって本 BAA の条項に同意することを表明し、保証するものとします。お客様を拘束する法的権限を持たない場合、または本規約に同意しない場合は、本 BAA に署名したり、本 BAA の条項に同意するボタンをクリックしたりしないでください。
この BAA で使用されているが、別途定義されていない用語は、(a)Health Insurance Portability and Accountability Act of 1996(1996 年の医療保険の相互運用性と説明責任に関する法律)、Health Information Technology for Economic and Clinical Health Act(経済的および臨床的健全性のための医療情報技術に関する法律)、およびそれらの施行規則(以下「HIPAA」)の行政簡素化セクション、または(b)本契約で定義されている意味を有するものとします。
「契約」とは、対象サービスの提供について Google とお客様の間で締結された書面による契約を意味します。この契約は、オンライン利用規約の形式をとる場合があります。
「対象サービス」とは、Looker Studio を意味します。ただし、Looker Studio Pro は含まれません。
「エンドユーザー」には、本契約で定義されている意味が適用されます。
「Google」とは、本契約の当事者である Google 法人を意味します。
「Google 法人」とは、Google LLC、Google Ireland Limited、または Google LLC のその他の関係会社を意味します。
「HIPAA 実装ガイド」とは、お客様の HIPAA コンプライアンスへの取り組みと関連して、お客様が対象サービスを設定する方法を説明する Google が提供する情報ガイドを意味します。対象サービスの HIPAA 実装ガイドは、次の URL で確認できます。https://support.google.com/looker-studio/answer/10043514
「保護対象の保健情報」または「PHI」には、HIPAA で定義されている意味が適用されます。この BAA の目的においては、お客様が対象サービスの使用を許可している場合に、Google が対象サービスを通じてアクセスできるお客様データ内の PHI に限定されます。
- 定義。
- 適用性。
- この BAA は、お客様が適用対象サービスを通じて PHI を作成、受信、維持、送信する際に適用対象事業者または関連事業者として行動し、その結果、Google が HIPAA に基づきお客様の関連事業者または下請け業者として行動しているとみなされる範囲に適用されます。お客様は、この BAA が(i)対象サービス以外の他の Google プロダクト、サービス、機能、または(ii)対象サービス以外でお客様が作成、受信、維持、送信する PHI(お客様によるオフラインまたはオンプレミスのストレージ ツールやサードパーティ アプリケーションの使用を含む)には適用されないことを認めます。
- この BAA で HIPAA の条項に言及する場合は、随時改正される可能性がある条項を指します。
- PHI の使用と開示。
- Google は、(i)本契約または本 BAA で許可または義務付けられている場合、または(ii)法律で義務付けられている場合を除き、PHI を使用または開示することはできません。
- Google は、適切な管理と運営、および法的責任の履行のために PHI を使用および開示できます。ただし、そのような目的での PHI の開示は、(1)法律で義務付けられている場合、または(2)Google が PHI を開示する相手から、その PHI が法律で義務付けられている場合または開示された目的でのみ秘密にされ、使用またはさらに開示され、Google に違反またはセキュリティ インシデントが発生した場合に通知されることを合理的に保証する書面を取得した場合にのみ行えます。
- Google は、HIPAA の「必要最小限」の要件に従い、リクエスト、使用、開示の目的を達成するために必要な最小限の PHI のみをリクエスト、使用、開示します。
- Google が HIPAA プライバシー ルールに基づくお客様の義務の履行に書面で同意する範囲で、Google は、そのような義務の履行においてお客様に適用される HIPAA プライバシー ルールの要件を遵守するものとします。
- お客様の義務。
- お客様は、お客様のエンドユーザーが対象サービス内で PHI を共有、開示、作成、使用する権限を付与されているかどうかを管理する責任を負います。
- お客様は、本 BAA の第 3 条に規定されている場合を除き、Google または対象サービスが、お客様(お客様が適用対象事業者である場合)またはお客様がビジネス アソシエイトである適用対象事業者(ビジネス アソシエイトに対して HIPAA で明示的に許可されている場合を除く)が行った場合、HIPAA で許可されない方法で PHI を使用するか、PHI を開示するようリクエストしてはなりません。
- お客様は、Google に PHI を開示する際に、Google の目的の達成に必要な最小限の PHI を提供します。
- 保護対象サービスを使用して PHI を処理するエンドユーザーに対しては、HIPAA 実装ガイドに記載されているものを含む、サービス内で利用可能な管理機能を使用して、PHI の使用が保護対象サービスに限定されるようにします。お客様は、HIPAA 実装ガイドが、お客様の構成オプションに関する参考情報としてのみ Google から提供されることを認識し、お客様とそのエンドユーザーによる対象サービスの使用が HIPAA に準拠していることを保証する責任を負うことに同意するものとします。
- お客様は、HIPAA やその他の適用法に基づき Google への PHI の開示に必要な同意、承認、その他の法的許可を取得し、今後も取得し続けることを保証します。個人から PHI の使用または開示について付与された権限に変更または取り消しがあった場合、お客様は、対象サービスでの PHI の更新または削除に応じて対象サービスの使用を管理する責任を負います。
- 安全保護対策。Google とお客様は、本 BAA で別途許可または義務付けられている場合を除き、それぞれ合理的かつ適切な安全保護対策を講じて PHI の使用または開示を防止するものとします。また、Google は、お客様に代わって作成、受信、維持、送信する電子メディア(「ePHI」)で送信または保持される PHI の機密性、完全性、可用性を合理的かつ適切に保護する管理上の安全保護対策、物理的な安全保護対策、技術的な安全保護対策を実装するものとします。Google は、ePHI に関して HIPAA セキュリティ ルールの該当する規定を遵守するものとします。
- 報告と関連する義務。
- Google は、(i)Google が認識したセキュリティ インシデント(第 6 条 c 項を条件とする)と、(ii)Google が検出した違反について、速やかにお客様に通知します。ただし、違反に関する通知は、速やかに、不当な遅滞なく、かつ、発見後 60 暦日以内に行われます。本項に基づく通知には、潜在的なリスクを軽減するために実施する手順、およびお客様が侵害に対処するために Google が推奨する手順など、可能な範囲で侵害の詳細情報を含めるものとします。
- Google は、該当する通知を、お客様が本契約(および該当するサービスのユーザー インターフェース)で指定した通知用メールアドレスに送信するか、お客様に直接連絡して送信します。
- 第 6 条(a)にかかわらず、この第 6 条(c)は、Google が Google の情報システムおよび対象サービスに関する一般的な運用に対する不正アクセス、使用、開示、改ざん、破壊、妨害の試みを定期的に受けていることをお客様に通知するものとみなされます。お客様は、そのような事象がセキュリティ インシデントとなる場合でも、Google が本 BAA に基づき、本第 6 条(c)以外のそのような不成功の試行について通知する義務がないことを認識し、これに同意するものとします。
- Google は、この BAA に違反して Google が PHI を使用または開示したことによる有害な影響(Google が認識しているもの)を、可能な限り軽減するために合理的な措置を講じます。
- Google は、本 BAA で許可されていない PHI の使用または開示を認識した場合、お客様に報告します。
- 下請け業者。Google は、Google に代わって PHI を作成、受信、維持、送信する各サブコントラクタと、45 C.F.R. §§ 164.504(e) および 164.314(a)(2) の要件を満たす書面による契約を締結します。Google は、各サブコントラクタとの書面による契約において、サブコントラクタが、この BAA と同等の重要なレベルの PHI 保護を提供する制限と条件を遵守することを義務付けます。
- [アクセスと修正] を選択します。お客様は、対象サービス内でお客様が保持する PHI の形式と内容(対象サービス内の指定レコードセットにそのような PHI を保持するかどうかを含む)について、お客様が単独で責任を負うことを認め、同意するものとします。Google は、対象サービスを通じてお客様の PHI へのアクセスをお客様に提供し、お客様が個人のアクセス権と修正権に関する HIPAA の義務を果たせるようにします。ただし、Google は、指定レコードセットに関する HIPAA によって個人に付与される権利(PHI へのアクセス権や修正権など)について、お客様または個人に対してその他の義務を負いません。お客様は、対象サービスの使用を管理し、そのような個人からのリクエストに適切に対応する責任を負うものとします。
- 開示情報の会計処理。Google は、Google による PHI の開示を記録し、HIPAA に基づく業務提携の要件に従って、HIPAA に基づく業務提携の要件に従って、お客様に開示の説明を提供します。
- 書籍の提供と記録へのアクセス。Google は、法律で義務付けられている範囲で、適用される弁護士とクライアント間の秘密保持義務に従い、お客様から受け取った、またはお客様に代わって Google が作成または受け取った PHI の使用と開示に関する内部手続き、帳簿、記録を、米国保健福祉省長官(以下「長官」)が本 BAA への準拠を判断する目的で、長官に提供します。
- 有効期限と終了。
- この BAA は、(i)下記の第 11 条(b)に従って許可される解除、または(ii)お客様が対象サービスにアクセスするすべての契約の満了または解除のいずれか早い方で終了します。
- いずれかの当事者が本 BAA に重大な違反を犯した場合、違反を犯していない当事者は、違反が 15 日以内に是正されない限り、違反を犯した当事者に 15 日前の書面による通知をもって本 BAA を解除できます。この第 11 条(b)項に基づく是正が合理的に不可能な場合、違反していない当事者は直ちに本 BAA を解除できます。また、この第 11 条(b)項に基づく解除も是正も合理的に不可能な場合、違反していない当事者は、適用されるすべての法的権限に従い、違反を秘書に報告できます。
- この BAA が契約よりも早く終了した場合、お客様は契約に従って引き続きサービスを利用できます。ただし、対象サービスで保持している PHI はすべて削除し、そのような PHI の作成、受信、保持、Google への送信を停止する必要があります。
- 情報の返却/破棄。本契約が解除された場合、Google は、お客様から受領した、またはお客様に代わって Google が作成または受領したすべての PHI を返却または破棄します。ただし、そのような返却または破棄が不可能な場合は、Google は返却または破棄されない PHI に本 BAA の保護を適用し、それ以降の使用と開示を、PHI の返却または破棄を不可能にする目的に限定します。
- この BAA の変更。Google は、本 BAA の条項(本条項で参照されている URL および当該 URL 内のコンテンツを含む)を随時変更できるものとします。このような変更に関する通知は、関連する URL(または Google が随時提供する別の URL)または関連する対象サービスのユーザー インターフェースで確認できます。これらの利用規約の変更(URL 内のコンテンツの変更を含む)は、過去にさかのぼって適用されることはなく、掲載日から 14 日後に有効になります。ただし、URL の参照に関する変更は直ちに有効になります。
- その他。
- 存続。第 12 条(情報の返却/破棄)および第 14 条(その他)は、本 BAA の解除または満了後も存続します。
- 追加条項の効果。本 BAA が本契約の他の部分と矛盾する場合は、本 BAA が優先して適用されます。この BAA には、契約の「準拠法」条項が適用されます。本 BAA で明示的に変更または修正されている場合を除き、契約の条項は引き続き完全な効力を有します。