HIPAA 비즈니스 제휴 부칙

버전: 2022년 12월 22일

본 HIPAA 비즈니스 제휴 부칙('BAA')은 Google과 본 약관, 보충안, 개정안에 동의하는 고객('고객') 간에 체결되었으며, '관련 서비스'(아래에 정의됨) 사용에 한해 '본 계약'(아래에 정의됨)에 통합됩니다. '본 BAA'는 '고객'이 클릭하여 동의하거나 양 당사자가 '본 BAA'에 동의하는 날부터 발효됩니다.

'고객'이 기존에 계약 관계에 있어야만 '본 BAA'가 유효하고 효력을 발효합니다. 본 BAA는 계약과 함께 각 당사자의 보호 건강 정보 (아래에 정의됨) 관련 의무에 적용됩니다.

귀하는 (i) '고객'이 '본 BAA'를 준수하도록 구속할 충분한 법적 권한이 귀하에게 있고, (ii) 귀하가 '본 BAA'의 내용을 읽고 이해했으며, (iii) 귀하가 '고객'을 대신해 '본 BAA'에 동의한다는 사실을 진술하고 보증합니다. 귀하가 '고객'을 구속할 법적 권한이 없거나 본 약관에 동의하지 않는다면 '본 BAA' 약관에 서명하거나 클릭하여 동의하지 마시기 바랍니다.

본 BAA에서 사용되지만 달리 정의되지 않은 대문자로 표기된 용어는 (a) 1996년 건강 보험 이동성 및 책임법, 경제 및 임상 건강을 위한 보건 정보 기술법 및 경우에 따라 개정된 관련 시행 규정(통칭 'HIPAA')의 행정 간소화 섹션 또는 (b) 계약에서 해당 용어에 할당된 각각의 의미를 갖습니다.

'계약'은 '관련 서비스'의 조항에 대한 Google과 '고객' 간의 서면 계약을 의미합니다. 계약은 온라인 서비스 약관의 형태일 수도 있습니다.

'해당 서비스'는 Looker Studio를 의미하며 Looker Studio Pro는 포함되지 않습니다.

'최종 사용자'는 '계약'에 정의된 바를 따릅니다.

'Google'은 '계약' 당사자인 'Google 법인'을 의미합니다.

'Google 법인'은 Google LLC, Google Ireland Limited 또는 기타 Google LLC의 계열사를 의미합니다.

'HIPAA 시행 가이드'는 '고객'의 'HIPAA' 규정 준수 노력과 관련하여 '고객'이 '적용 범위 내 서비스'를 구성하는 방법을 설명하는 정보 가이드로, 'Google'에서 제공합니다. 적용을 받는 서비스에 대한 HIPAA 시행 가이드는 https://support.google.com/looker-studio/answer/10043514에서 검토할 수 있습니다.

'보호 건강 정보' 또는 'PHI'는 HIPAA에 따라 정의되며, 이 BAA의 목적상 '보호 건강 정보'는 '대상 서비스'의 허용된 사용과 관련하여 '대상 서비스'를 통해 Google이 액세스할 수 있는 '고객 데이터' 내의 '보호 건강 정보'로 제한됩니다.

  1. 정의.
  2. 적용 대상.
    1. '본 BAA'는 '고객'이 '관련 서비스'를 통해 PHI를 생성, 수신, 유지관리 또는 전송하는 '적용 대상' 또는 '비즈니스 제휴사' 역할을 수행하는 범위 및 그 결과 HIPAA에 따라 Google이 '고객'의 '비즈니스 제휴사' 또는 '하도급업체'의 역할을 수행하는 범위 내에서 적용됩니다. 고객은 이 BAA가 (i) 적용 범위 내 서비스가 아닌 다른 Google 제품, 서비스 또는 기능 또는 (ii) 고객이 적용 범위 내 서비스 외부에서 생성, 수신, 유지 또는 전송하는 모든 PHI (고객의 오프라인 또는 온프레미스 저장소 도구 또는 서드 파티 애플리케이션 사용 포함)에는 적용되지 않는다는 점을 확인합니다.
    2. '본 BAA'에서 참조하는 HIPAA의 항은 경우에 따라 개정될 수 있습니다.
  3. PHI의 사용 및 공개
    1. Google은 (i) '계약' 및/또는 '본 BAA'에 의해 허가 또는 요구되는 경우 또는 (ii) '법에서 요구'하는 경우에만 PHI를 사용 및 공개할 수 있습니다.
    2. Google은 적절한 관리 및 운영, 법적 책임 이행을 위해 PHI를 사용 및 공개할 수 있습니다. 단, 이와 같은 목적으로 PHI를 공개하는 경우는 (1) 법에서 요구하는 경우 또는 (2) Google이 PHI가 공개될 대상자로부터 해당 PHI가 비밀로 유지되고, 법에서 요구하거나 공개된 목적으로만 사용 또는 추가로 공개되며, Google에 모든 위반 또는 보안 사고가 통지된다는 합당한 서면 보장을 받는 경우에만 가능합니다.
    3. Google은 HIPAA의 '최소 필요' 요건에서 요구하는 범위 내에서 요청, 사용 또는 공개 목적을 달성하는 데 필요한 최소한의 PHI만을 요청, 사용, 공개합니다.
    4. Google은 'HIPAA 개인 정보 보호 규칙'에 따라 '고객'의 의무를 이행하는 데 서면으로 동의한 범위 내에서, 이러한 의무 이행에 있어 '고객'에 적용되는 'HIPAA 개인 정보 보호 규칙'의 요건을 준수합니다.
  4. 고객의 의무.
    1. '고객'의 '최종 사용자'가 '관련 서비스' 내에서 PHI를 공유, 공개, 생성 및/또는 사용하도록 승인되었는지 여부를 관리할 책임은 전적으로 '고객'에게 있습니다.
    2. '본 BAA'의 제3항에 명시된 경우를 제외하고, '고객'은 '고객'('고객'이 '적용 대상'인 경우) 또는 '고객'이 '비즈니스 제휴사'인 '적용 대상'에 HIPAA에서 허용하지 않는 어떤 방식으로도 PHI를 사용 또는 공개할 것을 Google 또는 '관련 서비스'에 요청하지 않습니다('비즈니스 제휴사'에 대한 HIPAA에 명시적으로 허용된 경우 제외).
    3. '고객'이 PHI를 Google에 공개하는 경우 '고객'은 Google의 목적을 달성하는 데 필요한 최소한의 PHI만을 제공합니다.
    4. PHI와 관련해 '관련 서비스'를 사용하는 '최종 사용자'의 경우 '고객'은 'HIPAA 구현 가이드'에 설명된 항목을 포함하여 '서비스' 내에서 사용할 수 있는 관리 수단을 활용하여 PHI 사용이 '관련 서비스'에 한정되도록 합니다. '고객'은 'HIPAA 구현 가이드'가 '고객'의 구성 옵션과 관련된 정보 제공 가이드로만 Google에서 제공된다는 사실을 확인하고 이에 동의하며, '고객' 및 '고객'의 최종 사용자가 '관련 서비스'를 사용하는 방식이 'HIPAA'를 준수하는지 확인할 책임은 전적으로 '고객'에게 있음을 확인하고 이에 동의합니다.
    5. '고객'은 Google에 PHI를 공개하는 데 있어 HIPAA 및/또는 기타 관련 법규에서 요구하는 동의, 승인 및/또는 기타 법적 허가를 받았으며 향후에도 받을 것임을 보증합니다. PHI의 사용 또는 공개에 대해 '개인'이 부여한 허가가 변경 또는 취소된 경우 '고객'은 이에 따라 '관련 서비스'의 사용을 관리하여 '관련 서비스'에서 해당 PHI를 업데이트 및/또는 삭제할 책임이 있습니다.
  5. 보호 장치. Google 및 '고객'은 합당하고 적절한 보호 장치를 사용하여 PHI의 사용 또는 공개를 방지합니다('본 BAA'에서 달리 허용하거나 요구하는 경우 제외). 또한 Google은 고객을 대신하여 생성, 수신, 유지 또는 전송하는 전자 미디어 ('EPHI')로 전송되거나 유지되는 PHI의 기밀성, 무결성, 가용성을 합리적이고 적절하게 보호하는 관리적 보호 조치, 물리적 보호 조치, 기술적 보호 조치를 구현해야 합니다. Google은 'EPHI'와 관련된 'HIPAA 보안 규칙'의 관련 조항을 준수해야 합니다.
  6. 보고 및 관련 의무.
    1. Google은 (i) 제6(c)항에 따라 Google에서 인지하는 모든 '보안 사고' 및 (ii) Google에서 발견하는 '위반' 사항을 '고객'에게 즉시 통지해야 합니다. 단, 모든 '위반' 사항은 부당한 지연 없이 즉시 통지되어야 하며 어떠한 경우에도 발견된 후 달력일 기준 60일 이내에 통지되어야 합니다. 본 항에 따라 이루어지는 통지는 잠재적 위험 완화를 위해 취한 조치 및 '위반' 사항 해결을 위해 Google에서 '고객'에게 권장하는 조치를 포함해 '위반' 사항의 세부정보를 가능한 범위 내에서 설명해야 합니다.
    2. Google은 '고객'이 '계약'(및/또는 관련 서비스 사용자 인터페이스)에서 제공한 통지 이메일 주소로, 또는 '고객'과의 직접적인 커뮤니케이션을 통해 모든 관련 통지를 전송해야 합니다.
    3. 6(a)항에도 불구하고 이 6(c)항은 Google이 정보의 무단 액세스, 사용, 공개, 수정 또는 파기 또는 Google의 정보 시스템 및 해당 서비스의 일반 운영을 방해하기 위한 시도를 주기적으로 시도했으나 실패했다는 것을 고객에게 알리는 것으로 간주됩니다. '고객'은 이러한 이벤트가 '보안 사고'에 해당하더라도 실패한 시도(본 제6(c)항을 제외)와 관련하여 '본 BAA'에 따라 Google에서 이를 통지해야 할 필요가 없다는 사실을 인정하고 이에 동의합니다.
    4. Google은 '본 BAA'를 위반하여 PHI가 사용 또는 공개됨으로써 발생하는 유해한 영향(Google이 인지하는 영향)을 합리적인 범위 내에서 완화하기 위한 합당한 조치를 취합니다.
    5. Google은 Google에서 인지하게 된, '본 BAA'에 따라 허가되지 않은 모든 PHI의 사용 또는 공개를 '고객'에게 보고합니다.
  7. 하도급업체. Google은 해당하는 경우 Google을 대신하여 PHI를 생성, 수신, 유지관리 또는 전송하는 각 '하도급업체'와 45 C.F.R. §§ 164.504(e) 및 164.314(a)(2)의 요건을 충족하는 서면 계약을 체결합니다. Google은 각 '하도급업체'와 체결하는 서면 계약을 통해 '하도급업체'에 '본 BAA'와 동일하게 상당한 수준으로 PHI를 보호하는 제한사항과 조건을 준수할 의무를 부여합니다.
  8. 접근권 및 정정권. '고객'은 '관련 서비스' 내에서 '고객'이 유지관리하는 PHI의 형식과 내용이 '고객'의 단독 책임임을 인정하고 이에 동의합니다. 여기에는 '고객'이 '관련 서비스' 내 '지정된 기록 세트'에서 이러한 PHI를 유지관리하는지 여부가 포함됩니다. Google은 고객이 개인의 액세스 및 수정 권리에 관한 HIPAA 의무를 이행할 수 있도록 적용 범위 내 서비스를 통해 고객의 PHI에 대한 액세스 권한을 제공하지만, PHI의 액세스 또는 수정 권리를 포함하여 지정된 레코드 세트와 관련하여 HIPAA에서 개인에게 부여된 권리에 관해서는 고객 또는 개인에 대해 다른 의무를 부담하지 않습니다. '관련 서비스' 사용을 관리하여 이러한 '개인'의 요청에 적절하게 대응할 책임은 '고객'에게 있습니다.
  9. 공개 기록. Google은 Google에 의한 PHI의 공개를 문서화하며 HIPAA에 따라 '비즈니스 제휴사'에게 요구되는 범위 내에서 그리고 HIPAA에 따라 '비즈니스 제휴사'에게 적용되는 요건에 따라 이러한 공개 기록을 '고객'에게 제공합니다.
  10. 문서 이용 가능 여부 및 기록에 대한 액세스 권한. 법에서 요구하는 범위 내에서 그리고 관련 변호사-고객 특권에 따라 Google은 고객으로부터 수신했거나 고객을 대신하여 Google에서 생성했거나 수신한 PHI의 사용 및 공개와 관련된 내부 관행, 장부, 기록을 미국 보건복지부 장관('장관')에게 제공하여 장관이 본 BAA 준수를 판단할 수 있도록 합니다.
  11. 만료 및 해지.
    1. '본 BAA'는 (i) 아래 제11(b)항에 따라 해지가 허용된 경우 또는 (ii) '고객'이 액세스 권한을 가지는 '관련 서비스'의 모든 '계약'이 만료 또는 해지되는 경우 해지됩니다.
    2. 어느 한 당사자가 중대하게 본 BAA를 위반하는 경우, 위반하지 않은 당사자는 위반 사항이 15일 이내에 해결되지 않을 시 위반한 당사자에게 15일 서면 통지를 보내 '본 BAA'를 해지할 수 있습니다. 본 제11(b)항에 따른 해결 방법으로 문제를 합당하게 해결할 수 없는 경우 위반하지 않은 당사자는 '본 BAA'를 즉시 해지할 수 있습니다. 혹은 본 제11(b)항에 따라 해지 또는 해결을 합당하게 수행할 수 없는 경우 위반하지 않은 당사자는 모든 관련 법적 권한에 따라 '장관'에게 위반 사실을 보고할 수 있습니다.
    3. '본 BAA'가 '계약'보다 먼저 해지되는 경우 '고객'은 '계약'에 따라 '서비스'를 계속 이용할 수 있습니다. 그러나 '관련 서비스'에서 유지관리하는 PHI를 삭제하고 이러한 PHI를 생성, 수신, 유지관리, Google에 전송하는 것을 중지해야 합니다.
  12. 정보의 반환 및 폐기. '계약'이 해지되면 Google은 '고객'으로부터 수신했거나 '고객'을 대신하여 Google에서 생성 또는 수신한 모든 PHI를 반환하거나 파기합니다. 단, 반환 또는 파기가 불가능하다면 Google은 본 BAA의 보호 조치를 반환 또는 파기되지 않은 PHI에까지 확대 적용하고 추가 사용 및 공개를 PHI의 반환 또는 파기를 불가능하게 하는 목적으로 제한합니다.
  13. '본 BAA'의 변경사항. Google은 '본 BAA' 약관에 언급된 URL과 이 URL에 포함된 내용을 비롯한 약관의 내용을 경우에 따라 수정할 수 있습니다. 수정된 내용은 관련 URL(또는 경우에 따라 Google에서 제공하는 다른 URL) 또는 연관된 '관련 서비스'의 사용자 인터페이스를 통해 게시됩니다. URL 내 내용의 변경사항을 포함하여 본 약관의 변경사항은 소급 적용되지 않으며, URL 참조의 변경사항이 즉시 효력을 가지는 경우를 제외하고는 게시일로부터 14일 후에 효력이 발생합니다.
  14. 기타.
    1. 효력 유지. 제12항('정보의 반환 및 폐기')과 제14항('기타')은 '본 BAA'가 해지 또는 만료된 후에도 효력이 유지됩니다.
    2. 부칙의 효력. '본 BAA'가 '계약'의 나머지 내용과 상충하는 경우 '본 BAA'가 우선적으로 적용됩니다. 본 BAA에는 계약의 '준거법' 항이 적용됩니다. '본 BAA'에 따라 명시적으로 수정되거나 개정된 경우를 제외하고, '계약'의 조항은 완전한 효력을 발휘합니다.

이전 버전

2020년 11월 16일