• 本 HIPAA 業務提携に関する追加条項（「BAA」）は、Google と、以下の規約に同意したお客様（「お客様」）の間で締結されるものであり、対象サービス（以下で定義）に関してのみサービス契約（以下で定義）を補足、修正し、その一部を構成します。「Google」の意味するところは、https://cloud.google.com/terms/google-entity で定義されています。本 BAA は、お客様が電子的に承諾した日に発効します（「BAA の発効日」）。

• この BAA の有効性と効力は、お客様がすでにサービス契約を締結していることが前提となります。サービス契約に加え、本 BAA は、保護医療情報（以下で定義）に関する両当事者の義務を規定します。

• あなたは、（i）お客様を本 BAA に拘束する完全な法的権限を保有していること、（ii）本 BAA を読んで内容を理解していること、ならびに（iii）当事者に代わって本 BAA に同意することを表明および保証するものとします。あなたがお客様に対する法的権限を持たない場合、あるいはこれらの規約に同意しない場合は、本 BAA の規約にクリックして同意しないでください。

  • 1. 定義。

    • 「業務提携」の定義は、HIPAA での定義と同じです。

    • 「侵害」の定義は、HIPAA での定義と同じです。

    • 「対象事業者」の定義は、HIPAA での定義と同じです。

    • 「対象サービス」とは、添付書類 1 の URL 一覧に明記された Google のプロダクトおよびサービスを指し、Google がお客様への通知をもって随時更新できるものをいいます。当該 URL から対象サービスを削除する場合、Google は少なくとも 12 か月前に通知する必要があります。

    • 「指定記録セット」の定義は、HIPAA での定義と同じです。

    • 「HIPAA」とは、1996 年に制定された Health Insurance Portability and Accountability Act（医療保険の相互運用性と説明責任に関する法律）およびこれに基づき制定された規則および規制（改正後も含む）を意味します。

    • 「HIPAA 実装ガイド」とは、Google が添付書類 2 に記載する URL または後継 URL において提供する、お客様が対象サービスを HIPAA 向けに構成する方法を説明した情報ガイドを意味します。

    • 「HITECH 法」とは、米国連邦議会によって制定された Health Information Technology for Economic and Clinical Health Act（経済的および臨床的健全性のための医療情報技術に関する法律）を意味し、American Recovery and Reinvestment Act（アメリカ再生・再投資法）の第 XIII 編およびこれに基づき制定された規則（改正後も含む）を意味します。

    • 「保護医療情報（PHI）」の定義は、HIPAA での定義と同じです。またこの BAA の目的においては、お客様が許可された範囲で対象サービスを利用することに関し、対象サービスを通じて Google がアクセスできるお客様のデータ内の PHI に限定されます。

    • 「法律上の義務」の定義は、HIPAA での定義と同じです。

    • 「セキュリティ インシデント」の定義は、HIPAA での定義と同じです。

    • 「サービス契約」とは、Google とお客様との間で締結される対象サービスの提供に関する書面契約を意味し、オンライン利用規約の形式で提供される場合があります。

  • 2. 適用性。

    • 本 BAA は、お客様が対象事業者またはその業務提携者として、対象サービスを介して PHI を作成、取得、保持、送信する場合に適用され、かつ、その結果として、Google が HIPAA のもとお客様の業務提携者または下請け業者として扱われる場合にも適用されます。お客様は、本 BAA が（a）対象サービスではない Google のその他のプロダクト、サービス、機能、または（b）お客様が対象サービス外で作成、取得、保持、送信する PHI（お客様によるオフラインまたはオンプレミスのストレージ ツールあるいはサードパーティ アプリケーションの使用を含む）には適用されないことに同意するものとします。

  • 3. PHI の許可された使用と開示。

    • a. 本 BAA に別段の定めがある場合を除き、Google は、（i）サービス契約または本 BAA において認められているもしくは義務がある場合、および / または（ii）法律上の義務により求められる場合に限り、PHI を使用または開示することができます。

    • b. Google は適正な管理および運営のため、また法的責任を遂行するために、PHI を使用または開示することができます。ただし、この場合も、当該の PHI を開示は、（i）法律上の義務により求められる場合、または（ii）当該 PHI を秘密として保持し、開示された目的でのみ使用し、かついかなる侵害またはセキュリティ インシデントが発生した場合も Google に通知することを、書面により合理的に保証されている場合に限られます。

  • 4. お客様の義務。

    • a. お客様は、Google または対象サービスに対し、お客様自身が対象事業者である場合に HIPAA のもと許可されない方法、またはお客様が業務提携者である対象事業者により許可されない方法（ただし、HIPAA において業務提供者に明示的に許可されない場合を除く）で PHI を使用または開示するよう要求してはならないものとします。

    • b. PHI に関連して対象サービスを使用するエンドユーザーについて、お客様は、サービス内で利用可能な管理機能（HIPAA 実装ガイドに記載されたものを含む）を使用して、PHI の利用が対象サービスに限られるよう管理するものとします。お客様は、HIPAA 実装ガイドが、お客様の構成オプションに関する情報提供の目的でのみ Google によって提供されることを認め、これに同意するものとします。また、お客様自身とそのエンドユーザーによる対象サービスの使用が、HIPAA および HITECH を遵守しているものであることを保証する責任は、お客様が単独で負うものとします。

  • 5. 適切な安全保護対策。

    • Google およびお客様は、それぞれ対象サービスに関連して、PHI の不正使用または開示を防止するため、または HIPAA により求められる場合に応じて、適切な安全保護対策を講じるものとします。

  • 6. 報告およびそれにかかわる義務。

    • a. Google は、第 6（c）項の規定に従い、（i）Google がセキュリティ インシデントを認識した場合、および（ii）Google が侵害を認識した場合は、速やかにお客様に通知するものとします。侵害に関する通知は、速やかに、合理的な理由なしに遅延してはならず、認識から 60 暦日以内に行うものとします。本項に基づいて行われる通知には、可能な範囲で、侵害の詳細、考えられるリスクを軽減するために講じられた措置、侵害に対処するために Google が推奨する、お客様による対応策が記載されるものとします。

    • b. Google は、当該通知を、契約の中でお客様が指定した通知用メールアドレス、またはお客様との直接のやり取りを通じて送付します。

    • c. 第 6（a）項の規定にかかわらず、本第 6（c）項により、Google が情報への不正アクセス、不正使用、開示、改ざん、破壊、または Google のシステムおよび対象サービスの通常の運用の妨害を目的とした不成功の試みを定期的に受けていることが、お客様への通知とみなされるものとします。かかる事象がセキュリティ インシデントに該当する場合であっても、本 BAA に基づき、不成功の試みに関する通知の義務を Google は負わないことをお客様は認め、これに同意するものとします。ただし、本 6（c）項に定める場合を除きます。

  • 7. 下請け業者。

    • Google は、サービス契約に基づく義務を履行するために PHI へのアクセスを必要とする下請け業者を利用する場合、当該下請け業者が本 BAA と同等の水準で PHI を保護する書面上の義務を負うよう、適切な措置を講じるものとします。本契約に基づく義務の履行にあたり Google が下請け業者を利用する場合でも、Google は、自身が義務を履行する場合と同様に、当該下請け業者による履行について責任を負うものとします。

  • 8. アクセスおよび修正。

    • お客様は、対象サービス内に保持する PHI の形式および内容、ならびに当該 PHI を対象サービス内の指定記録セットとして保持しているかについて、単独で責任を負うことを認め、これに同意するものとします。Google は、HIPAA に基づく個人のアクセス権および修正権に関する義務をお客様が履行できるよう、対象サービスを介してお客様の PHI へのアクセスを提供します。ただし、指定記録セットに関して HIPAA によって個人に付与される権限（PHI へのアクセス権や修正権を含む）に関して、Google はお客様またはいかなる個人に対してもその他の義務を負わないものとします。お客様は、個々の当該リクエストに適切に対応するため、対象サービスの利用を管理する責任を負うものとします。

  • 9. 開示の記録。

    • Google は、PHI の開示を文書化し、HIPAA に基づいて業務提携として求められる範囲および要件に従って、お客様に当該開示の記録を提供するものとします。

  • 10. 記録へのアクセス。

    • 法律によって要求される範囲内、かつ適用されるすべての法的権限を条件に、Google は、お客様から取得した PHI の使用および開示、またはお客様の代理として Google が作成、取得した PHI に関する内部の業務手続き、帳簿、記録を、米国保健福祉省長官（長官）に対し提供するものとします。これは、長官が本 BAA の準拠状況を判断する目的で行われます。

  • 11. 期限および終了。

    • a. 本 BAA は、（i）第 11（b）項に基づき終了が許可された場合、（ii）お客様が対象サービスにアクセスするすべてのサービスの契約が満了または終了した場合の、いずれか早い時点で終了するものとします。

    • b. いずれかの当事者による本 BAA に対する重大な侵害があった場合、侵害をしていない当事者は、侵害した当事者に対して 30 日の期間内に書面により通知を行うことにより本 BAA を終了することができます。ただし、侵害が 30 日以内に是正された場合は、この限りではありません。本第 11（b）項に基づく是正が合理的に不可能な場合、違反をしていない当事者は、直ちに本 BAA を終了することができます。本第 11（b）項に基づく是正も合理的に不可能な場合、違反をしていない当事者は、適用されるすべての法的権限を前提とし、その違反を長官に報告することができます。

    • c. 本 BAA がサービス契約よりも先に終了した場合も、お客様はサービス契約の条件に基づいてサービスを引き続き利用することができます。ただし、この場合、お客様は対象サービス内に保持された PHI を削除し、かかる PHI を新たに作成、取得、保持または Google への送信を停止する必要があります。

  • 12. 情報の返却 / 破棄

    • サービス契約が終了した場合、Google は、お客様から取得した PHI、またはお客様の代理として Google が作成または取得した PHI を返却または破棄するものとします。ただし、返却または破棄を実行できない場合は、Google は返却または破棄しなかった PHI に対して本 BAA による保護を継続し、返却または破棄が不可能である場合は、その目的に必要な範囲でのみ当該 PHI の利用および開示を行うものとします。

  • 13. その他。

    • a. 存続。本 BAA が終了または満了した後も、第 12 項（情報の返却 / 破棄）および第 13 項（存続規定）は継続して効力を有するものとします。

    • b. 副本。当事者は、本 BAA をファクシミリ、PDF、その他の電子コピーを含む副本により締結することができ、これらで一つの契約書が成立するものとします。

    • c. 追加条項の効力。本 BAA とサービス契約の残りの条項の間に矛盾が存在する場合は、本 BAA が優先して適用されます。本 BAA には、サービス契約に定める「準拠法」の条項が適用されます。本 BAA において明示的に変更または改定されている場合を除き、サービス契約の条項は完全な効力を持ちます。

  • Google Workspace HIPAA BAA（Google LLC）09032020

添付書類 1 対象サービスの一覧

• Google BAA の対象とされる Google Workspace product またはサービスは、https://workspace.google.com/terms/2015/1/hipaa_functionality.html において特定されているものとします（総称して「Google Workspace 対象サービス」と呼びます）。

添付書類 2 HIPAA 実装ガイド

• Google Workspace の対象サービスについてはこちらをご覧ください。

• HIPAA の実装ガイドは、以下の URL でご確認いただけます。https://services.google.com/fh/files/misc/gsuite_cloud_identity_hipaa_implementation_guide.pdf