HIPAAビジネスアソシエイト契約(HIPAA Business Associate Agreement)とは、HIPAAの対象事業体(covered entity)と、その対象事業体に代わって特定の機能または活動を実施する、あるいは対象事業体にサービスを提供する企業または個人との間で締結される契約であることが一般的です。ここでいう機能・活動・サービスが、HIPAAの規制対象となる活動のために保護対象保健情報(PHI:Protected Health Information)の作成、受領、保管、または送信を伴う場合に該当します。
クリックしてHIPAAビジネスアソシエイト契約テンプレートをダウンロード
(Word文書、18K)
本記事は、HIPAAに準拠した形でビジネスアソシエイトと関わる方法、およびHIPAAビジネスアソシエイト契約に何を盛り込む必要があるかを理解するのに役立つことを目的としています。
ビジネスアソシエイトへのアウトソーシング
HIPAAの対象事業体(covered entity)とは、医療提供者、医療情報交換機関(health care clearinghouse)、または健康保険プランであり、45 CFR Part 162に定めるHIPAA標準の対象となる電子取引を行うものを指します。
対象事業体が、対象事業体の従業員(workforce)の一員ではない第三者(または行政簡素化規則により除外される当事者ではない第三者)に機能・活動・サービスを外部委託し、かつ委託された機能がPHIの開示を伴う場合、その第三者はビジネスアソシエイトと呼ばれます。
対象事業体は、ビジネスアソシエイトにPHIを開示する前に、ビジネスアソシエイトとHIPAAビジネスアソシエイト契約(HIPAA Business Associate ContractまたはAddendumとも呼ばれます)を締結しなければなりません。
この契約では、ビジネスアソシエイトによるPHIの許容される使用および開示、患者のプライバシールール上の権利をどのように支援するか、ならびにPHIのプライバシーとセキュリティを維持するための両当事者の責任を定めるべきです。
HIPAAトレーニング
医療従事者向け
当社のトレーニングは、現実のHIPAAシナリオにおいて「何を」「なぜ」行うべきかを、従業員が明確かつ実践的に理解できるようにします。
HIPAAトレーニングのゴールドスタンダード
The HIPAA Journalチームより
医療従事者向けHIPAAトレーニング
当社のトレーニングは、現実のHIPAAシナリオにおいて「何を」「なぜ」行うべきかを、従業員が明確かつ実践的に理解できるようにします。
The HIPAA JournalチームによるHIPAAトレーニングのゴールドスタンダード
AIツールなどの新たな課題を扱うレッスン | CEU&修了証 | 修了状況の追跡 | 個人向けHIPAAトレーニング
ビジネスアソシエイトの下請け(サブコントラクター)
HITECH法の制定およびHIPAAオムニバス最終規則による関連規定のHIPAAへの組み込み以降、ビジネスアソシエイトが利用する下請け業者(サブコントラクター)もHIPAAに準拠することが求められます。
つまり、ビジネスアソシエイトがPHIの開示を伴う機能・活動・サービスを第三者に再委託する場合(例えば、ビジネスアソシエイトがPHIをクラウドに保存する場合)、対象事業体のPHIの管理連鎖(chain of custody)を確立するために、ビジネスアソシエイトとクラウドサービス提供者との間でも追加の(下流の)HIPAAビジネスアソシエイト契約が必要になります。
HIPAA準拠のビジネスアソシエイト契約とは?
HIPAA準拠のビジネスアソシエイト契約は、ビジネスアソシエイトおよび下請け業者によるPHIの許容される使用・開示、ビジネスアソシエイトが患者のHIPAAプライバシールール上の権利をどのように支援するか、ならびにPHIの安全性とプライバシーを維持するための両当事者の責任を定めることに加え、次の事項も満たさなければなりません。
- ビジネスアソシエイトが、契約で許可される場合または法律で要求される場合を除き、PHIを使用または追加で開示しないことを規定する
- PHIの不正な使用または開示を防止するため、適切な保護措置を実施することをビジネスアソシエイトに求める
- 無防備なPHIの侵害を含め、契約で定められていない使用または開示があった場合に報告することをビジネスアソシエイトに求める
- HIPAAプライバシールールで義務付けられているとおり、ビジネスアソシエイトの全従業員がビジネスアソシエイト向けHIPAAトレーニングを受講すること、ならびにHIPAAセキュリティルールで義務付けられているとおり、ビジネスアソシエイトのスタッフ向けに設計されたセキュリティ意識向上トレーニングを提供することを求める
- PHIの写しの請求、PHIの訂正(amendment)、および開示の記録(accounting of disclosures)に関する請求に対応することをビジネスアソシエイトに求める
- 監査または調査の際に、PHIの使用および開示に関する記録を提示できるようにすることをビジネスアソシエイトに求める
- 契約終了時に、対象事業体から、または対象事業体のために受領したPHIを返却または破棄することをビジネスアソシエイトに求める
- PHIへのアクセス権を持つ下請け業者が、ビジネスアソシエイトに適用されるのと同一の制限および条件に同意することを、ビジネスアソシエイトに確保させる
- ビジネスアソシエイトが契約条項に違反した場合(およびその逆の場合)に、対象事業体が契約を解除できることを認める
注:ビジネスアソシエイトと、下流の下請けビジネスアソシエイトとの間の契約も、同じ要件の対象となります。
また、ビジネスアソシエイトには、HIPAA要件に従わない場合の結果についても認識させるべきです。ビジネスアソシエイトは、HIPAA違反について、HHSの公民権局(Office for Civil Rights)、州司法長官、および/または連邦取引委員会(FTC)から直接罰金を科される可能性があります。
多くの契約とは異なり、HIPAAビジネスアソシエイト契約は、ビジネスアソシエイトの不遵守に起因するPHI侵害による金銭的制裁から、必ずしも対象事業体を補償するものではありません。
対象事業体が、契約締結前にビジネスアソシエイトがHIPAA準拠であることを確認するためのデューデリジェンスを実施せず、その後に無防備なPHIの侵害が発生した場合、対象事業体がその侵害について責任を負うと見なされる可能性があります。
ビジネスアソシエイトに対する契約上のHIPAAトレーニング義務
ビジネスアソシエイト契約を作成または更新する際、HIPAA対象事業体は、PHIを作成・受領・保管・送信するビジネスアソシエイトの全従業員が、入社時に一度だけではなく継続的なプログラムの一環として、適切なHIPAAトレーニングを修了することを明確に要求すべきです。契約には、HIPAAビジネスアソシエイトが45 C.F.R. § 164.530(b)(1)に沿って、自社のHIPAA関連方針および手続に関するHIPAAプライバシールールのトレーニングを提供し、スタッフがPHIをどのように使用・開示でき、どのようにできないかを理解できるようにする旨を記載すべきです。
さらに、契約は、セキュリティルールの45 C.F.R. § 164.308(a)(5)に整合する形で、フィッシング、悪意のあるソフトウェア、ログイン監視、パスワード管理などのトピックを含む、全従業員向けのセキュリティ意識向上およびトレーニングプログラムを維持する義務をビジネスアソシエイトに課すべきです。これらの期待事項を契約に直接組み込むことで、ビジネスアソシエイトの従業員がプライバシーとセキュリティの双方に対する意識を持つことが確保され、侵害の可能性が低減し、全体的なコンプライアンスが向上します。
HIPAAビジネスアソシエイト契約における任意条項
HIPAAビジネスアソシエイト契約の必須条項に加えて、対象事業体とビジネスアソシエイトは任意条項を追加できます。任意条項はさまざまな理由で追加されます。例えば、対象事業体が、HIPAAセキュリティルールで求められる以上のセキュリティ対策(例:2要素認証)をビジネスアソシエイトに実装するよう要求する場合があります。
また、対象事業体がHIPAAに優先する州法(例:テキサス州)の適用を受ける場合や、追加のデータ保護要件を課す連邦法(例:FTCのIdentity Theft Prevention Red Flags Rule)の適用を受ける場合もあります。このような場合、対象事業体は、より厳格なプライバシーおよびセキュリティ規制を考慮した任意条項を盛り込むことがあります。
大手ソフトウェア企業が用意する「万能型(one-size-fits-all)」のビジネスアソシエイト契約にも、任意条項が含まれることがあります。例えば、MicrosoftのBAAには、PHIが(Microsoftによって)指定記録セット(designated record sets)に保管されないため、患者のアクセス請求および訂正請求への対応を免除する条項が含まれています。
同様に、AWSのビジネスアソシエイト補遺(Addendum)には、補遺の対象となる範囲内サービスが顧客によって正しく設定され、監査ログが有効化され、AWSクラウドに置かれるすべてのPHIが暗号化されていることを条件として、AWSのコンプライアンス義務が成立する旨を定める条項が含まれています。
その他の任意条項として、セキュリティインシデントがビジネスアソシエイトの「履行不能、過失、故意の不正行為、またはHIPAAビジネスアソシエイト契約上の義務違反」に起因する場合、データ侵害への対応および復旧に要する対象事業体の費用について、ビジネスアソシエイトが責任を負うことを求めるものもあります。
HIPAAビジネスアソシエイトの例
ビジネスアソシエイトに関するHHSのウェブページには、HIPAAビジネスアソシエイトの例がいくつか挙げられていますが、重要なのは、これらの第三者サービス提供者の多くは、対象事業体が第三者の提供するサービスのためにPHIを第三者と共有または開示する場合に限ってビジネスアソシエイトとなる点です。
例えば、HHSの一覧には、健康保険プランに対する法務サービスの一環としてPHIへのアクセスを含む弁護士が挙げられています。弁護士がPHIにアクセスしない場合、その弁護士はビジネスアソシエイトではなく、HIPAAビジネスアソシエイト契約も不要です。医療提供者にサービスを提供する会計事務所の例も同様です。
より関連性の高いHIPAAビジネスアソシエイトの例は、対象事業体の日常業務を見て、PHIの開示を伴い得るサービスのうち外部委託されているものを特定することで見つけられます。例えば、医療チームがGoogle WorkspaceなどのコラボレーションツールでPHIを共有する場合、Googleはビジネスアソシエイトとなり、HIPAAビジネスアソシエイト契約が必要です。
その他の潜在的なHIPAAビジネスアソシエイトの例には、次のものがあります。
- (例えば)PHIがクラウドに保存される場合のAmazon Web Services
- 電子処方(E-prescribing)ソフトウェアのベンダー
- 第三者のPHI廃棄サービス
- フリーランスの医療文字起こし担当者
- 外部委託のITコンサルタントおよびエンジニア
- パスワードマネージャーのベンダー
- 医療電話応対サービス
- マネージドサービスプロバイダー(MSP)
- 印刷・郵送サービス
HIPAAトレーニング
医療従事者向け
当社のトレーニングは、現実のHIPAAシナリオにおいて「何を」「なぜ」行うべきかを、従業員が明確かつ実践的に理解できるようにします。
HIPAAトレーニングのゴールドスタンダード
The HIPAA Journalチームより
医療従事者向けHIPAAトレーニング
当社のトレーニングは、現実のHIPAAシナリオにおいて「何を」「なぜ」行うべきかを、従業員が明確かつ実践的に理解できるようにします。
The HIPAA JournalチームによるHIPAAトレーニングのゴールドスタンダード
AIツールなどの新たな課題を扱うレッスン | CEU&修了証 | 修了状況の追跡 | 個人向けHIPAAトレーニング
定義と除外が最も多くの問題を引き起こす
対象事業体は、HIPAAビジネスアソシエイト契約を締結していない、または不完全な契約しか締結していないことを理由に罰金を科される可能性があります。これは、HITECH § 78 FR 5574が、HIPAAビジネスアソシエイト契約が締結されていない場合でもビジネスアソシエイトはHIPAAセキュリティルールに従う義務があると述べているにもかかわらずです。これらの罰金は、他のHIPAA違反が発生していない場合でも科され得ます。
多くの対象事業体にとっての問題は、HIPAAビジネスアソシエイト契約が誰に適用されるのかを常に確信できるとは限らないことです。HHSはビジネスアソシエイトを「対象事業体に代わって保護対象保健情報の使用または開示を伴う特定の機能または活動を実施する者または組織、あるいは対象事業体にサービスを提供する者または組織」と定義しています。
しかし、この定義には除外(45 CFR 160.103参照)が存在し、また、対象事業体とビジネスアソシエイトの関係の範囲が時間の経過とともに変化する場合もあります。さらに、対象事業体がPHIの開示を伴う機能・活動・サービスを実施する場合、別の対象事業体にとってビジネスアソシエイトとなり得る点にも留意が必要です。
特に問題を引き起こしやすい除外・免除には、次のものがあります。
- 対象事業体に雇用されている医療提供者が患者を外部の医療提供者に紹介し、患者の治療目的で外部の医療提供者とPHIを共有する場合。
- 病院が外部検査機関にPHIを開示する場合、または病院内検査室が参照検査機関にPHIを開示する場合で、PHI開示の目的が患者の治療である場合。
- 医療提供者が、適格性確認、承認申請、請求または支払い、その他のPart 162取引を支援するために健康保険プランへPHIを開示する場合(またはその逆の場合)。
- 郵便サービス、DHL、FedExなどのコンジット(conduit)がサービス提供の過程でPHIにアクセスする場合、または金融機関が医療費や健康保険料の支払いを処理する場合。
- 組織化医療提供体制(OHCA)の構成単位が、OHCAの共同医療活動のために相互にPHIを開示する場合、または(例として)団体健康保険プランがHMOから保険を購入する場合。
- 第三者請負業者が提供するサービスがHIPAA規制対象サービスではない場合。例として、車両ナンバープレートやクレジットカード情報を取得する外部委託の駐車場サービスなど。
対象事業体におけるビジネスアソシエイト契約の一般的な失敗
すべての請負業者にBAAへの署名を求める
一部の対象事業体は、定義に関する問題に対処するため「念のため」のアプローチを取り、必要かどうかにかかわらず、取引関係のあるすべての組織と契約を締結してきました。
カリフォルニア医療財団(CHF)の資金提供による最近の研究では、多くの対象事業体が、不要にもかかわらず他の対象事業体と契約を締結していたり、PHIにアクセスできず今後もアクセスする可能性がほとんどない第三者サービス提供者とも契約を締結していたりすることが判明しました。あるケースでは、対象事業体が造園業者にHIPAAビジネスアソシエイト契約への署名を求めていました。
署名済みBAAがHIPAA準拠を意味すると誤認する
研究の過程でCHFは、多くの対象事業体がデューデリジェンス義務を怠り、PHIを共有するビジネスアソシエイトがHIPAA準拠であるという「十分な保証(satisfactory assurances)」を得ていないことを発見しました。その代わりに、調査を「高リスク」のITベンダーに限定し、保存されるPHIおよび電子的に送信されるPHIを保護する仕組みがあることだけを確認していました。
さらに少数の対象事業体しか、HIPAA準拠を確保するためにビジネスアソシエイトを監査していませんでした。無防備なPHIの侵害に関するリスク評価や方針・手続の証拠提示を求めたのはごく一部でした。これらの失敗により、他のHIPAA違反や無防備なPHIの侵害が発生していない場合でも、対象事業体がHIPAA違反として罰金を科される可能性があります。
HIPAAトレーニング
ビジネスアソシエイト向け
当社のトレーニングには、ビジネスアソシエイトのスタッフが直面する固有のHIPAA課題を扱う特別レッスンが含まれています。
HIPAAトレーニングのゴールドスタンダード
The HIPAA Journalチームより
ビジネスアソシエイト向けHIPAAトレーニング
当社のトレーニングには、ビジネスアソシエイトのスタッフが直面する固有のHIPAA課題を扱う特別レッスンが含まれています。
The HIPAA JournalチームによるHIPAAトレーニングのゴールドスタンダード
AIツールなどの新たな課題を扱うレッスン | CEU&修了証 | 修了状況の追跡 | 個人向けHIPAAトレーニング
「対象範囲内(In-Scope)」サービスを理解できていない
対象事業体またはビジネスアソシエイトが(例えば)クラウドサービス提供者とHIPAAビジネスアソシエイト契約を締結する場合、対象事業体またはビジネスアソシエイトは、クラウドサービス提供者がサービス契約に含めた「対象範囲内(in-scope)」または「適格(eligible)」サービスのみを用いてPHIを作成・受領・保存・送信することが許されます。
対象事業体が、Googleの「対象範囲内」Workspaceサービスについてビジネスアソシエイト契約を締結したにもかかわらず、従業員が個人のGmailアカウント経由でPHIを開示することを防ぐための必要な保護措置を実装しない場合、Googleとのビジネスアソシエイト契約が存在していても、対象事業体はHIPAA違反となります。
ePHIが通過する企業とのHIPAAビジネスアソシエイト契約がない
PHIが企業に開示されていない場合でも(その企業が対象事業体のために機能・活動・サービスを実施していないため)、PHIがその企業のシステムを通過することがあります。例えば、ePHIが対象事業体からビジネスアソシエイトへOutlook 365経由で送信される場合です。この例では、ePHIがMicrosoftのシステムを通過しているため、Microsoftは対象事業体に対するビジネスアソシエイトに分類されます。このルールは、サービスがPHIに対して「閲覧不可(no view)」アクセスである場合でも適用されます。
ePHIが単に通過するだけのコンジットとして機能する企業(例えば郵便サービス—コンジット例外参照)には例外があります。これは、郵便サービスが送信サービスに付随する一時的な基盤以外ではPHIを保管しない一方、Outlook 365で送信されたメールのコピーはMicrosoftのサーバーに無期限に残るためです。多くのクラウドサービス提供者およびソフトウェアベンダーはePHIへの「継続的アクセス(persistent access)」を有しており、HIPAA上のビジネスアソシエイトに該当します。
ビジネスアソシエイトおよびその下請け業者による一般的な失敗
HIPAA準拠はPHIの暗号化だけではない
ビジネスアソシエイトが保存または送信するすべてのePHIを暗号化することは重要な保護措置ですが、暗号化だけではHIPAA準拠を確保するには不十分です。ePHIが権限のない個人にアクセスされないようにするための物理的保護措置も実装する必要があり、さらに方針・手続といった管理的保護措置も策定・実施しなければなりません。
下請け業者とHIPAAビジネスアソシエイト契約を締結しない
HIPAAビジネスアソシエイト契約は、PHIの管理連鎖を確保します。対象事業体のビジネスアソシエイトは対象事業体と契約を締結しなければならず、ビジネスアソシエイトが利用する下請け業者も同様の契約を締結することが求められます。
下請け業者は、ビジネスアソシエイトにとっての下流のビジネスアソシエイトであり、最上位のHIPAAビジネスアソシエイト契約の条項が自動的に適用されるわけではありません。このような場合、PHIへのアクセスを許可する前に、下請け業者と別途契約を締結する必要があります。下流の連鎖は長くなり得て、対象事業体から離れるほどePHIが移動する距離が増し、HIPAAビジネスアソシエイト契約違反の潜在的リスクも高まります。
個人からの請求に対する適切な期限を考慮しない
長い下流連鎖の文脈では、アクセス請求や訂正請求が解決されるまでに通過しなければならない手順を考慮することが重要です。例えば、連鎖が5つの下流ビジネスアソシエイトで構成され、5者間の各HIPAAビジネスアソシエイト契約が上流からのアクセス請求への回答に10日を認めている場合、患者のアクセス請求を解決するまでの合計時間は、HIPAAプライバシールールで認められる30日を超える可能性があります。
ビジネスアソシエイト契約テンプレートの失敗
ビジネスアソシエイト契約のテンプレートは多数ありますが、使用前には注意が必要です。テンプレートを使用する前に、そのテンプレートが誰向けに設計されているかを確認し、関連性があることを確かめることが重要です。また、対象事業体が定める要件をすべて含めるため、必要に応じてカスタマイズすべきです。
HIPAAビジネスアソシエイト契約の不備に対する金銭的制裁
HHSの公民権局(OCR)は、HIPAAビジネスアソシエイト契約の不備に関して多数の金銭的制裁を科してきました。データ侵害や苦情の調査において、OCRは次の対象事業体が、少なくとも1つの第三者サービス提供者とHIPAA準拠のビジネスアソシエイト契約を締結していなかったことを確認しました。これは金銭的制裁の唯一の理由であった場合もあれば、制裁の重大性に寄与した要因であった場合もあります。
| 年 | 対象事業体 | 金銭的制裁 |
| 2018 | Pagosa Springs Medical Center | $111,400 |
| 2018 | Advanced Care Hospitalists | $500,000 |
| 2017 | The Center for Children’s Digestive Health | $31,000 |
| 2016 | Care New England Health System | $400,000 |
| 2016 | Oregon Health & Science University | $2,700,000 |
| 2016 | Raleigh Orthopaedic Clinic, P.A. of North Carolina | $750,000 |
| 2016 | North Memorial Health Care of Minnesota | $1,550,000 |
HIPAAビジネスアソシエイト契約(BAA)に関するFAQ
ビジネスアソシエイト契約とは何ですか?
ビジネスアソシエイト契約(Business Associate Agreement)とは、対象事業体とビジネスアソシエイトとの間の契約であり、対象事業体がビジネスアソシエイトと共有するPHIの許容される使用および開示を定め、契約で許可される場合を除きビジネスアソシエイトがPHIを追加で開示しないこと、PHIの機密性・完全性・可用性を保護するための適切な保護措置を講じること、ならびに必要に応じてアクセス、訂正、開示の記録に関する請求に対応することを規定します。
ビジネスアソシエイト契約はいつ必要ですか?
ビジネスアソシエイト契約は、対象事業体がビジネスアソシエイトとPHIを共有する場合、または第二の対象事業体が第一の対象事業体のビジネスアソシエイトとして行動しているときに、治療・支払い・運営目的以外の用途で対象事業体が別の対象事業体とPHIを共有する場合に必要です。
HIPAAトレーニング
医療従事者向け
当社のトレーニングは、現実のHIPAAシナリオにおいて「何を」「なぜ」行うべきかを、従業員が明確かつ実践的に理解できるようにします。
HIPAAトレーニングのゴールドスタンダード
The HIPAA Journalチームより
医療従事者向けHIPAAトレーニング
当社のトレーニングは、現実のHIPAAシナリオにおいて「何を」「なぜ」行うべきかを、従業員が明確かつ実践的に理解できるようにします。
The HIPAA JournalチームによるHIPAAトレーニングのゴールドスタンダード
AIツールなどの新たな課題を扱うレッスン | CEU&修了証 | 修了状況の追跡 | 個人向けHIPAAトレーニング
誰がビジネスアソシエイト契約を必要としますか?
HIPAA対象事業体のために、またはその代理としてサービスを提供し、その過程で対象事業体からPHIが共有されるあらゆる組織は、ビジネスアソシエイト契約を締結する必要があります。これには、PHIが暗号化され、対象事業体が復号鍵を保持している場合でも、PHIへの「継続的アクセス(persistent access)」を持つクラウドストレージおよびセキュリティサービスが含まれます。
ビジネスアソシエイト契約の目的は何ですか?
HITECH法の制定以前、対象事業体は、PHIが安全に保たれるという口頭の保証だけを根拠に、ビジネスアソシエイトとPHIを共有することがよくありました。しかし、ビジネスアソシエイトの過失によりデータ侵害が発生した場合、対象事業体は口頭の保証を理由に、ビジネスアソシエイトに対するデューデリジェンスを実施しなかったことについて制裁を免れる可能性がありました。
ビジネスアソシエイト契約の目的は、この執行上の抜け穴を塞ぐことです。§164.504(e)の下で、対象事業体は、ビジネスアソシエイトがHIPAAに違反し得る「活動パターン(patterns of activity)」に関与していないことを確保することが求められ、もしそのようなパターンが存在する場合には、不遵守の活動を停止させる措置を講じるか、ビジネスアソシエイト契約を解除しなければなりません。
ビジネスアソシエイト契約は何をしますか?
ビジネスアソシエイト契約が行う主要なことは、PHIがビジネスアソシエイトと共有される条件を定義し、PHIの使用方法を規定し、契約終了時にビジネスアソシエイトが保有するすべてのPHIを返却または破棄しなければならないことを文書化することです。その他の規定は、提供されるサービスの性質に応じて適用される場合があります。
ビジネスアソシエイト契約(Business Associate Contract)には何を明記しなければなりませんか?
ビジネスアソシエイト契約(Business Associate Contract)はビジネスアソシエイト契約(Business Associate Agreement)の別名であり、その内容の正確な性質は、対象事業体のために、またはその代理として提供されるサービスの性質により異なり得ます。しかし、すべてのビジネスアソシエイト契約に共通する要素もあり、契約には、許容される使用および開示、ビジネスアソシエイトがセキュリティインシデントを対象事業体に報告しなければならないこと、そして(適切な場合には)許容される期間内にアクセス権に関する請求へ対応することが記載されます。
ソフトウェアベンダーとして、HIPAA準拠のビジネスアソシエイトになるために何をする必要がありますか?
あなたのソフトウェア製品またはサービスが、対象事業体のために、またはその代理としてePHIを作成・受領・保管・送信する場合、適用されるHIPAAのプライバシー、セキュリティ、および侵害通知の各基準に準拠するための方針・手続を整備しておく必要があります。これには、コンピュータシステムのリスク分析を実施して文書化し、潜在的なセキュリティリスクを特定して適切に対応することが含まれます。
ビジネスアソシエイトとして、他社とePHIを共有する場合、その会社と契約を結ぶ必要がありますか?
対象事業体に提供しているサービスを実行するために、別の会社とePHIを共有しているのであれば、その第三者と契約を締結する必要があります。そのようなシナリオの例として、Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platformなどのクラウドサービス提供者のサービスを利用するソフトウェアベンダーが挙げられます。
第三者サービス提供者は常に対象事業体と契約に署名する必要がありますか?
ビジネスアソシエイトが対象事業体のために、またはその代理としてePHIを作成・受領・保管・送信している場合、ほぼ常に対象事業体と契約に署名する必要があります。しかし、第三者サービス提供者が対象サービスを提供していない場合(例:造園業者)、そのサービス提供者はビジネスアソシエイトではなく、契約は不要です。
ビジネスアソシエイト契約への署名義務の例外は何ですか?
ビジネスアソシエイト契約への署名義務には、いくつかの例外があります。これには、病院が患者を紹介し治療目的で患者の診療記録を送付する専門医、医師が治療目的で患者のPHIを開示する検査機関、そして雇用主などのプランスポンサーに対して団体健康保険プランがPHIを開示する場合が含まれます。
対象事業体が別の対象事業体のビジネスアソシエイトになり得るのはなぜですか?
プライバシールール(45 CFR § 164.506)の下で、対象事業体は治療、支払い、医療運営のために第三者へPHIを開示することが認められています。それ以外のPHIの開示には、ビジネスアソシエイト契約が必要です。例えば、民間コンサルタントが病院の利用審査(utilization review)を実施し、その過程でPHIの開示が伴う場合などです。
医師が検査サービスを外部委託する場合、検査サービス提供者はビジネスアソシエイト契約に署名しなければなりませんか?
これは、医師が検査サービスを外部委託する理由によります。PHIの開示が患者の治療のためであれば、その取引はHIPAAプライバシールールの下で許容され、ビジネスアソシエイト契約は不要です。しかし、PHIが開示されるその他の種類の取引では、契約が必要になります。
HIPAAビジネスアソシエイト契約はどのくらいの頻度で更新すべきですか?
契約に終了日が定められていない限り、契約は無期限に有効です。ただし、少なくとも年1回契約を見直すことがベストプラクティスです。対象事業体は、ビジネスアソシエイトの最新のリスク評価の写しを求め、契約に影響し得る州法または連邦法の変更がないことを確認し、SLAが維持されていることを確認すべきです。
州法の変更は、連邦法の対象となる契約にどのような影響を与え得ますか?
HIPAAは、州法または連邦法がHIPAAよりも強いプライバシー保護を提供する場合、または患者にHIPAAより多くの権利を与える場合を除き、すべての州法および連邦法に優先します。テキサス州のように非常に厳格な医療記録プライバシー法を持つ州もあり、これは組織の所在地にかかわらず、テキサス州居住者のPHIを収集・処理・保管するすべての組織に適用されます。テキサス州医療記録プライバシー法の変更は、HIPAAの対象となる契約に影響を与える可能性がありますか?
なぜMicrosoftは私のビジネスアソシエイト契約に署名してくれないのですか?
Microsoft、AWS、Google Cloud Platformなどのクラウドサービス提供者は、標準化されたハイパースケールのマルチテナントサービスを提供しており、対象事業体かどうかにかかわらず、すべての顧客を同じように扱います。しかし、各クラウドサービス提供者は、顧客と締結する意思のあるHIPAA準拠のビジネスアソシエイト契約を作成しています。Microsoftのビジネスアソシエイト契約は、Service Trust Portalで確認できます。
ビジネスアソシエイトおよびビジネスアソシエイト契約についてさらに質問がある場合、どこで回答を見つけられますか?
HIPAAに関する最も包括的な情報源はHHSのウェブサイトです。しかし、HHSは対象事業体とビジネスアソシエイトのあらゆる関係を網羅できるわけではないため、情報の一部は理解しにくかったり解釈の余地があったりします。特定の状況に関する助言については、HIPAAコンプライアンス支援を求めることが推奨されます。
HIPAAトレーニング
ビジネスアソシエイト向け
当社のトレーニングには、ビジネスアソシエイトのスタッフが直面する固有のHIPAA課題を扱う特別レッスンが含まれています。
HIPAAトレーニングのゴールドスタンダード
The HIPAA Journalチームより
ビジネスアソシエイト向けHIPAAトレーニング
当社のトレーニングには、ビジネスアソシエイトのスタッフが直面する固有のHIPAA課題を扱う特別レッスンが含まれています。
The HIPAA JournalチームによるHIPAAトレーニングのゴールドスタンダード
AIツールなどの新たな課題を扱うレッスン | CEU&修了証 | 修了状況の追跡 | 個人向けHIPAAトレーニング
翻訳元: https://www.hipaajournal.com/hipaa-business-associate-agreement/
