コンテンツへスキップ

Exabeamピート・ハーテフェルドをCEOに任命。続きを読む

デモを見る

ベンダー業務提携契約

本 HIPAA ビジネス・アソシエイト契約(以下、「BAA」といいます)は、エクサビーム株式会社(以下、「エクサビーム」といいます)と、本契約において特定される相手方、その取締役、役員、従業員、関連会社、代理人、下請業者、および第三者(第 3 条に規定)(以下、総称して「契約者」といいます)との間で締結されるものです。EXABEAMは、HIPAAに基づき、医療提供者、対象事業体、またはその他の業務提携者に対して業務提携者として行動する場合があります。そのため、本 BAA は、エクサビームがビジネスアソシエイトとして、対象事業体またはビジネスアソシエイトのために PHI または PII を作成、受領、維持、または送信する場合に適用され、その結果、契約者が HIPAA に基づき、エクサビームのビジネスアソシエイトまたは下請業者として行動しているとみなされる場合に適用されます。したがって、契約者は、随時更新される本 BAA に定める条件に従うことに同意するものとします。

したがって、HIPAA およびより厳格な州法および連邦法(該当する場合)により、PHI および PII が不適切な使用または開示から保護されることが要求されています。従って、契約者は、PHI の使用および開示が、本 BAA および連邦規則集第 45 編第 164.504 条(e)の条件を遵守しなければならないことを認め、これに同意する。

本BAAの諸条件は、契約者がエクサビームのビジネスアソシエイトまたは下請業者として、PHIまたはPIIを作成、受領、維持、アクセス、送信、使用、および/または開示することを規定し、またはその結果となる両当事者間のすべての契約および関係(以下「契約」といいます)を補足し、修正するものとします。

本BAAの曖昧さは、当事者がHIPAAを遵守できるように解決されるものとします。本契約(EXABEAMまたはEXABEAMの子会社、関連会社、親会社、役員、取締役、従業員、請負業者、および/または代理人との間の添付書類、修正書類、またはこれらに付随するその他の契約を含みますが、これらに限定されません)と本AAAとの間に矛盾または抵触がある場合には、本AAAが優先するものとします。補足および/または修正された場合を除き、本契約の条項は、本契約で取り扱われる事項に引き続き適用されるものとします。

1.定義。本書または本契約で明示的に定義されていない用語は、HIPAAで規定されている意味を持つものとします。

1.1「関連会社」とは、当事者を直接的または間接的に支配する、支配される、または当事者と共通の支配下にある事業体を意味する。本定義において、「支配」とは、直接または間接に、取締役選任またはその他の統治権について投票権を有する議決権付き株式(またはその他の証券もしくは権利)の少なくとも50%以上を所有または支配することを意味する。

1.2.「業務提携者」は、HIPAAで定められた定義を有する。

1.3「情報漏えい」は、HIPAAで定められた定義を有します。本契約の目的上、「違反」という用語は、さらにPIIの漏洩に関連します。

1.4「データ対象者」とは、HIPAAまたは適用されるデータセキュリティ法規でさらに定義されるとおり、特定のPHIまたはPIIに関連する個人を意味します。

1.5「HIPAA」とは、1996年医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act of 1996)、および同法に基づく規則および規制を意味します。本契約におけるHIPAAの定義には、HITECH法が含まれるものとします。

1.6「HITECH法」とは、米国議会で制定された「経済的および臨床的健康のための医療情報技術法(Health Information Technology for Economic and Clinical Health Act)」(米国復興・再投資法(American Recovery & Reinvestment Act)のタイトルXIII)および同法に基づく規制を意味する。

1.7「保護されるべき健康情報」(「PHI」)および「電子的保護されるべき健康情報」(「ePHI」)は、HIPAAで定められた定義を有する。

1.8「個人情報」または「PII」とは、EXABEAM、その関連会社、顧客、および/またはエンドユーザーの氏名、電話番号、郵送先住所、クレジットカード情報、社会保障番号、および/またはアカウントまたは財務情報である個人情報を意味しますが、これらに限定されません。

1.9「セキュリティインシデント」は、HIPAAで与えられた定義を有する。

2. PHIおよびPIIの許可された使用。契約者は、EXABEAM が PHI および PII の使用、開示、作成、受領、維持、または送信を伴う機能またはサービ スを実施すること、またはその実施において EXABEAM を支援することを認めるものとします。したがって、HIPAA およびより厳格な州法および連邦法(該当する場合)により、 PHI および PII が不適切な使用または開示から保護されることが要求されます。

2.1 許可された使用本BAAに別段の定めがある場合を除き、契約者は、本契約に基づき契約者がEXABEAMから契約上義務付けられている機能、活動、サービスおよび業務を遂行するために、または適用される法律により要求される場合に限り、本BAAにより許可または要求される場合に限り、PHIを使用、開示、作成、受領、維持または送信することができるものとします。

2.2禁止される使用および開示。契約者は、本契約または本BAAにより許可または要求されていない方法、またはEXABEAMまたは対象事業体が行った場合にHIPAA違反とみなされる行為を含むがこれに限定されない適用法違反となる方法で、PHIまたはPIIを使用、開示、作成、受領、維持または送信してはならない。ただし、意図された目的を達成するために追加情報が必要な場合、またはHITECH第13405条(b)およびその後採択されたその他のガイダンスに従って許可される場合はこの限りではありません。契約者は、EXABEAM の書面による事前の同意なく、PHI または PII を本国外に送付したり、本国外から PHI または PII にアクセスさせたりしてはならない。

2.3報酬の制限。契約当事者は、45 CFR 164.502(5)(ii)(B)で許可されている場合を除き、PHIと引き換えに直接的にも間接 的にも報酬を受領しないものとする。また、契約者は、45 CFR 164.508(a)(3)で許可され、かつ、EXABEAMの事前の書面による許可を得た場合を除き、PHIまたはPIIを含む、またはPHIまたはPIIに基づく、製品の購入または使用のためのコミュニケーションに関連して、直接的または間接的に報酬を受領しないものとします。

2.4勧誘・連絡の制限契約者は、本契約により知り得た情報を用いて、EXABEAMの会員またはEXABEAMの顧客の会員に対して、勧誘または連絡をしてはならない。

2.5制限的合意。(i)45CFR164.522(a)に基づき、PHIの使用、開示、作成、受領、維持、送信を制限する場合、または(ii)45CFR164.522(b)に基づき、PHIに関する秘密保持を要求する場合。

3.第三者への開示

3.1同意の要件。契約者は、当社の書面による事前の同意がない限り、PHIまたはPIIを、下請業者、関連会社、または代理人(以下、総称して「第三者」といいます)を含むがこれらに限定されない第三者に提供、開示、またはアクセスさせてはならないものとします。

3.2第三者による契約。請負者は、EXABEAMのために請負者から受領した、または請負者が利用できるようにしたPHIまたはPIIにアクセスする許可された第三者との間で、本BAAに基づき請負者に適用される制限、条件および条件(本条第4項(「セキュリティ要件およびセーフガード」)に記載されるセーフガードを含むがこれに限定されない)に拘束されることに同意する契約を締結するものとする。

3.3第三者への開示。契約者が第三者にPHIまたはPIIを開示する場合、契約者は、当該PHIまたはPIIを開示する前、および当該第三者との契約期間中、確実に開示するものとします:

  • 契約者は、当該第三者との間で、本 BAA に基づき契約者に適用されるのと同じ制限、条件、および要件を含む有効な業務提携契約を締結しています;
  • 当該第三者への開示または当該第三者による使用は、エクサビームが書面により承認した限定的な目的のためにのみ行われるものとします;
  • 契約者は、法令により禁止されている場合を除き、PHIまたはPIIを第三者に開示または利用させる前に、当社から書面による同意を得たものとします;
  • 請負人は、本 BAA の第 5 条に従い、当該第三者に対し、直ちにその旨を通知するものとします:
    • セキュリティ事故または侵害;
    • PHIまたはPIIの不正な開示、使用、またはアクセス;
  • 契約者は、EXABEAMの書面による事前の同意なく、PHIまたはPIIを本国外に送信しないものとします。

契約者と エクサビームとの間において、契約者は、第三者による、または第三者に起因するPHIまたはPIIの漏洩、不正アクセス、不正使用、不正開示について、単独で責任を負うものとします。契約者は、EXABEAMからの要求に応じて、契約者のすべての第三者のリストをEXABEAMに提供することに同意するものとします。

4.セキュリティ要件と保護措置

4.1契約者は、本BAAまたは本契約により明示的に許可されていないPHIまたはPIIへのアクセス、使用、または開示を防止するため、少なくともEXABEAMのベンダーデータセキュリティポリシーに規定されている最低限の条項を含む、すべての適切な保護措置を実施することに同意するものとします。セーフガードには、45 CFR Part 160およびPart 164のサブパートAおよびC(以下、「セキュリテ ィルール」)で義務付けられている、契約者が使用、開示、作成、受領、維持、または送信するPHIおよび PIIの機密性、完全性、可用性を合理的かつ適切に保護する管理的、物理的、および技術的なセーフガードが含まれます。契約者は、セキュリティー・ルールを遵守し、HIPAAのセキュリティー・ルールおよび関連規則に定めるすべての措置を実施するものとする。

4.2請負者は、承認された第三者に対し、連邦規則集第 45 編第 164.504 条(e)(1)(i)に従い、当該第三者が、本 BAA に基づき請負者に適用されるプライバシーおよびセキュリティ保護義務(第 3 条(「第三者への開示」)およびエクサビームのベンダーデータセキュリティポリシーに定める規定を含むが、これに限定されない)を遵守していることを、書面による契約により証明し、十分な保証を提供することを要求するものとする。明確化のため、第三者は、エクサビームの事前の書面による承認なくして、PHI または PII を他者に開示する権利を有しないものとします。

5.違反およびセキュリティインシデント

5.1イベント契約者は、セキュリティインシデント、情報漏えい、その他本BAAに対する違反または違反の疑いがある場合(以下「イベント」といいます)、その発生に気づいてから24時間以内に、EXABEAMに報告するものとします。契約者は、契約者または第三者によるPHIまたはPIIへの不正アクセス、不正使用、不正開示による有害な影響を、実行可能な範囲で軽減することに同意する。かかる緩和努力には、適用法または契約上のデータ漏洩要件の遵守を含むが、これらに限定されない。契約者は、エ クサビームによる情報漏えいの通知および緩和活動に全面的に協力するものとし、そのためにエ クサビームが負担したすべての費用を負担するものとする。エクサビームへの報告は、書面および電子メール[email protected])により行うものとする。

5.2報告書。当該報告書には最低限以下の内容が含まれなければならない:

  • イベントが発生した日時と発見された日時;
  • (i)当該事象に関与した情報の性質および属性、(ii)当該事象において漏えいした、または漏えいしようとした情報量を含むがこれに限定されない、関与したPHIまたはPIIの完全な説明;
  • イベント、その原因、およびそれが EXABEAM のシステムおよびデータに与えた影響に関する完全な記述。これには以下が含まれますが、これらに限定されません:(i)影響を受けたシステム、サーバ、プログラム等の名称、(ii)事象の結果として PHI または PII に不正アクセスしたエンティティまたは個人の名称;
  • 本イベントに関する連絡先
  • 事象を封じ込めるために講じた初期緩和措置の説明、および契約者および/または第三 者が被ったPHIまたはPIIへの侵害のレベルの評価;
  • PHIまたはPIIへの侵害を修正し、将来的に当該事象の再発を防止するための計画の記述。
  • EXABEAMが合理的に要求する、または法令により要求される報告書を含むその他の情報。

5.3未遂インシデント。しかし、両当事者は、契約者の情報システムにおけるPHIまたはPIIへのアクセス、使用、 開示、修正、または破棄を無許可で試みる無意味な試みが相当数存在するため、両当事者にとって リアルタイムの報告要件は困難であることを認識している。両当事者は、HIPAA通知の要件は、以下のプロセスを導入することで満たされると考えている:

  • 契約者は、本 BAA に署名した時点で発生している未遂事故の割合および種類を開示する;
  • 契約者は、そのような試みの割合と性質を経時的に監視する。
  • 契約者は、直接または間接的にEXABEAMに不利な影響を与える可能性のあるそのような試みの割合または性質に実質的な変更があった場合、EXABEAMに報告するものとします。

以下は、PHIまたはPIIの不正アクセス、使用、維持、開示、送信、修正、破壊、あるいは情報シス テムへの干渉に至らなかった場合の、セキュリティインシデントの不成功の例である:

  • ファイアウォール上のPing;
  • ポートスキャン;
  • 無効なパスワードまたはユーザー名でシステムにログオンしようとした場合、またはデータベースに入ろうとした場合。
  • マルウェア(ワーム、ウイルスなど)。

契約者は、継続的な監視を通じて、PHIまたはPIIの機密性、完全性または可用性に影響を及ぼす可能性があるような、これらの日常的で失敗した試みを超えるセキュリティインシデントの成功を観察した場合、速やかにEXABEAMに通知することに同意する。

5.4通知。契約当事者は、適用される州法または連邦法で定義される PII または PHI への不正アクセスまたは PHI の開示があった場合(以下、「通知イベント」)、当該通知イベントが契約当事者または契約当事者が PII または PHI を開示した第三者の責任であるか否かを問わず、当局またはデータ対象者への通知を必要とする適用法を遵守するものとします。 法律によりデータ対象者への通知が要求された場合、または、当該通知事象が契約者または契約者がPIIまたはPHIを開示した第三者の責任によるものであるか否かを問わず、EXABEAMが独自の裁量によりデータ対象者への通知が必要であると判断した場合、契約者は、EXABEAMと連携して、(a)通知事象の調査、(b)影響を受けるすべてのデータ対象者への通知、および(c)通知事象の緩和を行うものとします。(b)影響を受けるデータ対象者全員に通知し、(c)通知イベントを緩和する。緩和には、エクサビームの独自の裁量により、影響を受けるデータ対象者に対し、エクサビームが定める期間、信用監視または保護サービスを確保することが含まれるが、これに限定されない。 契約者は、かかる通知事象に対応し、これを軽減するために発生する一切の費用(郵送費、人件費、弁護士費用、信用監視費用、その他関連する費用またはコストを含むがこれらに限定されない)を負担するものとする。

6.ファイまたはパイへのアクセス要求

6.1 PHIまたはPIIへのアクセス要求。契約者は、情報主体または規制当局からPHIまたはPIIへのアクセス要求があった場合、2営業日以内に、当該要求をEXABEAMに転送するものとします。疑義を避けるため、また法的に認められている限りにおいて、契約者は、当該要求に対して、まずエ クサビームと協議し、書面による同意を得ることなく、PHI または PII を開示または公開しないものとします。

6.2アクセス可能な形式での ePHI の作成。契約者が指定されたレコードセットで ePHI を保持する範囲において、データ対象者の ePHI に関して、契約者は、データ対象者、およびデータ対象者の代理人であるエ クサビームが、データ対象者またはエクサビームが要求した形式およびフォーマットで ePHI が容易に複製可能である場合、当該情報の電子コピーを取得する権利を有することに同意する。情報主体またはエ クサビームが要求した形式またはフォーマットで容易に複製できない場合、契約者は、情報主体、契約者、およびエ クサビームが相互に合意した合理的な電子フォーマットで情報を利用できるようにするものとします。契約者による ePHI の送信は、本 BAA の第 6 条(a)に定める制限に従うものとします。EXABEAMにより書面にて開示が許可された場合、契約当事者は、データ対象者が指定した個人または団体にePHIの電子コピーを直接送信することに同意するものとします。

7.修正契約者は、情報主体からPHIまたはPIIの訂正または削除の依頼を受けた場合、その依頼を受けた日から2営業日以内にEXABEAMに通知するものとします。契約者は、EXABEAMから当該請求に関する指示があった場合、当該指示が適用法に合致する限り、これに従うものとします。

8.開示会計

8.1開示ログ契約者は、契約者が行った PHI のすべての開示に関する明確な記録(以下「開示ログ」 という。)開示ログには、過去6年間に発生したPHIまたはPIIの使用、アクセス、開示の全事例が含まれるも のとする。各記録は、45 CFR 164.528(b)(2)に規定される全ての項目を含むものとする。

8.2第45条 CFR 164.528に記載されているとおり、データ対象者に関するPHIの開示の説明に関する有効な要求を、エ クサビームが対象事業体から受領した旨の通知を受けた日から10営業日以内に、契約者は、エ クサビームまたは対象事業体から要求された情報を、当該説明の要求に応じるために、エ クサビームに提供するものとします。契約者は、当社または対象事業者から請求された情報を、当該請求に対応するために、当社または対象事業者に提供するものとし、当該請求が契約者に直接到達した場合、当該請求を受領した日から2営業日以内に、当該請求をエクサビームに転送するものとし、エクサビームからの指示がない限り、それ以上の対応を行わないものとします。

8.3契約者は、追跡が必要とされる開示について、最低限、以下の情報をEXABEAMに提供するものとします:

  • 開示の日付;
  • PHIを受領した団体または個人の名前と、その団体または個人の住所が分かれば;
  • PHIの簡単な説明;
  • 開示の目的の簡潔な説明(開示の根拠の説明を含む)。
  • 契約者はさらに、HIPAA、付随規則、および適用される法律が要求する範囲で、追加情報を提供するものとします。

8.4契約者が、45 CFR Part 164のサブパートEに基づくエクサビームの義務の1つまたは複数を履行する範囲において、当該義務の履行においてエクサビームに適用されるサブパートEの要件を遵守すること。

9.監査および検査

9.1契約者は、EXABEAMから受領した、またはEXABEAMのために契約者が作成した、もしくは受領したPHIまたはPIIの使用および開示に関する社内慣行、帳簿および記録を、以下の者に提供することに同意する:(i) エクサビームおよびコントラクターがHIPAAを遵守しているかどうかを判断するための保健福祉省長官、(ii) エクサビームが、保健福祉省長官またはその他の政府機関もしくは規制当局による正式な調査もしくは強制措置に応じる目的、または政府機関もしくは規制当局が全体的もしくは部分的に実施、実施、監督、または管理するコンプライアンスレビューを評価および/または対応する目的で、エクサビームが利用できるようにすること。

9.2契約者は、年1回、契約者及びその第三者が本BAA(本BAAに添付されたものを含む)の条件を遵守し ている旨の証明書を提出するものとし、また、本BAAに基づく契約者の義務の遵守状況を確認するために、エ クサビームが契約者の帳簿、記録及び業務を監査することを許可するものとします。

10.期間と終了

10.1期間。本契約の有効期間は、本契約の発効日に発効し、契約者が本 BAA の対象となる PHI または PII にアクセスできなくなった時点で終了するものとします。

10.2理由による解除。第10条 契約者が本BAAの重要な条項に違反したと当社が判断した場合、当社は本契約を解除することができる。(i)EXABEAMが指定する期間内に、コントラクターがかかる違反を治癒するための合理的な機会を提供すること。(ii)コントラクターが治癒が不可能であると合理的に判断した場合、またはコントラクターがかかる違反を治癒しない場合、EXABEAMは、直ちに本契約を解除することができるものとする。(ii)違反の治癒が不可能であると合理的に判断される場合、または違反が治癒されない場合、エクサビームは、直ちに本契約を解除することができる。エクサビームが違反の治癒を選択することは、本契約、本BAA、または法律の運用もしくは衡平法上、エクサビームが有するその他の権利の放棄と解釈されないものとする。

10.3終了の効果。本条に基づく契約者の義務およびエクサビームの権利は、本 BAA または本契約の終了後も存続するものとします。理由の如何を問わず、本契約が終了した場合、契約者は、契約者から受領した、または契約者が作成、受領、保持するPHIまたはPIIのうち、契約者が現在も何らかの形で保持しているものをすべて返却または破棄するものとし、当該情報のコピーを一切保持しないものとします。契約者は、契約者がPHIまたはPIIを開示した第三者に対し、契約者から受領した全てのPHIまたはPIIのコピー、データ、編集物、その他PHIまたはPIIの対象者である個人を特定することができるものを含む、いかなる形式または媒体であっても、これを契約者に返却すること(契約者がEXABEAMに返却または破棄できるようにすること)を要求し、契約者に対し、当該情報が返却または破棄されたことを証明するものとします。契約者は、契約終了日または契約期間満了日から30日以内に、可能な限り速やかにこれらの義務を完了し、本BAAに基づき提供されたすべてのPHIおよびPIIが返却または破棄されたことを証明する書類を提出するものとします。上記にかかわらず、EXABEAMは、PHIおよびPIIが30日よりも早く返却または破棄されるよう要求することができ、契約者はこれに応じるものとします。

契約者の第三者によるPHIまたはPIIの返却または破棄が不可能な場合:

  • 契約者は、いかなる目的においても、これらの情報を使用または開示してはならない。
  • 本BAAに定めるPHIおよびPIIのプライバシー保護およびセキュリティ保護の義務は継続し、本BAAの終了ま たはその他の契約(業務委託契約を含む)の終了後も存続するものとします。また、契約者は、契約者及びその第三者が本AAA(添付のデータセキュリティポリシーを含む)を遵守していることを年1回証明するものとし、本AAAに基づく契約者の義務の遵守状況を確認するために、EXABEAMが契約者の帳簿、記録及び業務を監査することを許可するものとします。

11.取引基準

11.1ICD-10コードセット。HIPAAに定義されるとおり、契約者のサービスまたは製品がコードセットを使用する場合、またはコードセッ トの使用を必要とする場合、契約者は診断コーディングに国際疾病分類第10改訂臨床修正(ICD-10-CM)または最新の ICD コードを使用するものとします、また、契約者が契約上エクサビームに提供する義務のあるすべてのサービスまたは製品について、国際疾病分類第 10 改訂手続コード体系(ICD-10-PCS)または最新の ICD コードを使用するものとします。

11.1.1 エクサビームは、ICD-10-CM および ICD-10-PCS を実施するために発生する追加サービス、プログラミング、処理、テスト、その他の実施費用については、コントラクターの責任となるため、一切責任を負いません。 EXABEAMは、契約者によるICD-10-CMおよびICD-10-PCSの実装に関連するテスト、実装、修復に関連する費用について、契約者に払い戻す義務を負わないものとします。

11.1.2契約者が、契約者の製品またはサービスがHIPAAコードセットスタンダードの該当する条項または本AAに定める条項を実装していない、または対処していないと合理的に判断し、契約者が通知から30暦日以内に当該問題を改善しない場合、またはEXABEAMが書面にて別途合意した場合、EXABEAMは、EXABEAMが合理的に満足する問題が改善されるまで、契約者への支払いを保留することができるものとします。

11.2 HIPAA標準取引の遵守

11.2.1エクサビームのために、契約者または第三者が、保健福祉省(以下「DHHS」といいます)が基準を設 定した電子取引(以下、総称して「取引」といいます)を行う場合、契約者は、参照することにより HIPAA に組み込まれる実施ガイドの仕様を含む、取引規則 45 CFR Part 162 の要件を遵守するものとします(また、当該取引の受領または処理に関与する第三者に遵守を求めるものとします)。

11.2.1.1契約者は、エクサビームのために標準取引を行うにあたり、以下のような取引先契約を締結せず、また第三者に締結させないものとします:

  • 標準トランザクションのデータ要素またはセグメントの定義、データ条件、または使用を変更する;
  • 任意のデータ要素またはセグメントを最大定義データセットに追加する;
  • 標準トランザクションの実装仕様で "not used "とされている、または標準トランザクションの実装仕様にないコードまたはデータ要素を使用している。
  • Standard Transaction の実装仕様の意味や意図を変更する。

11.2.1.2エクサビームは、HIPAA標準取引への準拠を達成するために契約者が負担する追加サービス、プログラミング、処理、テスト、その他の実施費用について責任を負わない。 エクサビームは、HIPAA 標準トランザクションルールに準拠するために必要なテスト、実装、改善に関する費用について、コントラクターに償還する義務を負わないものとする。

11.2.3 準拠性テスト。契約者は、EXABEAM の要求に応じて、エンド・ツー・エンドまたはその他のトランザクションおよびコードセットの準拠性テストを実施し、EXABEAM に対し、契約者が適用される法律に準拠していることを証明するものとします。

11.2.3.1.契約者は、EXABEAM から要求があった場合、承認された第三者認証会社によるコンプライ アンス認証のコピー(レベル 1 及びレベル 2 の両方)を提出するものとします。EXABEAMが取引またはコードセットのコンプライアンスに問題があると合理的に判断した場合を除き、かかる要求 は年に1回に限るものとします。

11.2.3.2取引またはコードセットに関するコンプライアンス上の問題が書面で通知された場合、エ クサビーム及び契約者は、相互に合意した期間内に当該問題を調査し、改善するものとする。改善には、コンプライアンスを検証するために必要なテスト活動を含むものとします。EXABEAM と契約者は、規格、規則またはルールの解釈について意見が一致しない場合、ASC X12 または WEDI を含むがこれに限定されない、業界で認知されたまたは指定された機関に明確化および/または解釈の要求を提出することに同意する。

11.4エクサビームが、契約者が取引またはコードセットの規則または本条に定める規定を遵守していないと 合理的に判断し、契約者が通知から 30 暦日以内に当該遵守の問題を是正しない場合、エクサビームは、本契約を 解除し、損害賠償を請求することができるものとします。 EXABEAMが罰金、違約金、その他の責任を負う場合において、当該コンプライアンス違反が契約者の行為または不作為に関連する場合、契約者は、EXABEAMに課された罰金、違約金、その他の関連費用をEXABEAMに払い戻すものとします。

12.その他

12.1第三者の権利。法律で義務付けられている場合を除き、本BAAの条項は、第三者にいかなる権利も付与するものではありません。

12.2独立請負人の地位。本BAAにおいて、請負人は、エクサビームの独立した請負人であり、エクサビームの代理人とはみなされない。本AAAまたは両当事者間のサービスもしくは類似の契約のいかなる内容も、 エクサビームと契約者との間に代理関係を生じさせるものではなく、両当事者はかかる関係の存在を明示的に否認する。

12.3法律の遵守。契約者は、その第三者を含むがこれに限定されることなく、PHI および PII の使用に関 連するすべての適用可能な州法および連邦法、法令、規制、判決、または政府当局の制 定(各データ対象者に適用される州のデータ漏洩セキュリティ法を含むがこれらに限定 されない)を遵守することに同意する。

12.4法律の変更。第12条(法令の変更) エクサビームおよび契約者は、HIPAAおよびその他適用される法令の要件を遵守するために必要な場合、本 BAAを随時変更するために必要な措置を講じることに同意する。両当事者は、HIPAAを含むがこれに限定されない、現在または将来においてエクサビームが従う新規または改正された法律、規則または規制に適合するよう、本AAAを改正するものとする。

12.5所有権。いかなる場合においても、契約者は、EXABEAMのPHIまたはPIIの所有者であるとみなされないものとします。

12.6曖昧性および法の改正。本AAAの曖昧さは、HIPAAへの準拠を認めるように解釈されるものとします。本AAAの発効日以降にHIPAAまたはその他の適用法令が発効した場合、本AAAは自動的に修正され、契約者に課される義務が当該法令に準拠するものとします。

12.7召喚状および裁判所命令。契約者が召喚状、裁判所または行政命令、その他の開示要求またはPHIまたはPIIの開示を命じられた場合、契約者は、かかる要求に応じる前に、EXABEAMに書面にて通知し、EXABEAMが異議を申し立てることができるようにするものとします。契約者は、合理的に可能な限り速やかに、ただし、かかる要請を受領してから2営業日以内に、その旨をエ クサビームに通知するものとします。

12.8衡平法上の救済。契約者は、本 BAA に従ったサービスの履行中に、PHI または PII を不正に使用または開示した場合、エクサビームに回復し難い損害が生じ、その場合、エクサビームは、損害賠償および差止命令による救済を得るために、管轄権を有する裁判所において手続を開始する権利を有するものとします。

12.9 免責契約者は、本契約または当事者間で締結された作業指示書を含むその他の契約書に規定された責任の制限にかかわら ず、以下に起因または関連して発生したエクサビームおよびその役員、評議員、従業員、関連会社、代理店、下請業者、お よび顧客に対する一切の請求、罰金、費用、責任、損害(合理的な弁護士費用を含むがこれらに限定されない)を補償し、 免責するものとする:(i)本AAAに基づく契約者の義務違反、(ii)通知事象に関連する政府からの罰金および罰則、または第三者からの請求、損害賠償、罰金、費用、その他関連する損害。さらに、契約者は、EXABEAM、またはEXABEAMが1つまたは複数の対象事業体のビジネスアソシエイトとして機能する場合には、その対象事業体のビジネスパートナーまたは顧客の各々を、あらゆる責任、損害、費用(合理的な弁護士費用を含む)から補償し、免責することに同意するものとします、本BAAまたは適用される法律の規定に反して、契約者がPHIまたはPIIにアクセス、使用または開示したことに関連するクレーム、要求、裁定、和解、罰金または判決に起因して、エクサビームおよびその対象事業体のビジネスパートナーまたは顧客に対して課された、または主張された、あらゆる責任、損害、費用(合理的な弁護士報酬および費用を含む)および経費を免除すること。本契約に反対の規定がある場合でも、契約者による本AAAの違反および前述の補償義務は、本契約に定める責任制限の対象とはならないものとします。

バージョン200310