Comments
Transcript
HPE Partner Ready のパートナーのプライバシーとデータ保護に 関する
HPE Partner Ready のパートナーのプライバシーとデータ保護に 関する補遺 I. はじめに HPE Partner Ready のパートナー向けの契約書と HPE Partner Ready パートナーの行動規範に対する本補 遺では、さまざまな HPE Partner Ready パートナーグループ (つまり、ディストリビューター、付加価値再販業者、システ ムインテグレーター、サービスプロバイダー、ISV、および OEM) が世界各国における各種のプライバシーおよびデータ 保護に関する法律を順守するための詳細な要件について説明します。 HPE Partner Ready のパートナーは、関連するサービスを提供するために、または HPE によって指示される場合にの み、HPE および HPE のお客様の個人データを扱うもののとします。また、物理的、技術的、および組織的なセキュリティ 対策を適切に実装および保守し、不慮の事故や不法な破壊、偶然の損失、改変、許可されていない開示やアクセスから データを保護する必要があります。 HPE および HPE Partner Ready のパートナーと関連する法律の 1 つに、米国における医療保険の相互運用性 と説明責任に関する法令 (HIPAA) があります。HIPAA への HPE への対応に基づくその他の要件については、2 項と 3 項で定義されています。 II. 医療保険の相互運用性と説明責任に関する法律 (HIPAA) すべての HPE Partner Ready のパートナーに順守いただく必要がある HIPAA の特定の要件は、次の 3 項で 説明します。HIPAA では、個人、組織、および機関を「対象事業体」(CE) と「ビジネスアソシエイト」(BA) という 2 つのカ テゴリで定義して適用しています。CE にはヘルスケアプロバイダー (医師、病院、医療機関、歯科医、薬局など)、保健医 療計画 (医療保険会社、会社の健康保険プラン、ヘルスケアに対する支払に関する政府機関のプログラムなど)、および ヘルスケアクリアリングハウスが含まれます。企業が保護対象となっている医療保健情報を利用する、あるいは、利用す る可能性があり、CE にサービスを提供している場合には、その企業は BA となります。HIPAA では、このような関係が存 在する場合、CE と BA 間で、Business Associate Agreement (ビジネスアソシエイト契約: BAA) を締結することを求め ています。さらに、BA が請負業者やパートナーを介してこれらのサービスを提供している場合、BAA の義務はこの請負 業者やパートナーにも副次的に適用されます。 つまり、HPE や HPE Partner Ready のパートナーが、サービスや製品を CE または BA のいずれかに提供し ており、サービスや製品を提供するときに保護対象の医療保健情報にアクセスするあるいはアクセスする可能性がある 場合には、HPE Partner Ready のパートナーは、関連するサービスおよび製品に関連する HPE の全体契約の一部とし て、HPE の Pass-through BAA (パススルーBAA) がそのエンドユーザーの顧客に確実に提供されるようにする必要が あります。保護対象の医療保健情報とは、CE や BA によって作成または収集される、および特定の個人を関連付けるこ とができる、ヘルスステータスに関連するあらゆる情報、ヘルスケアの状況、またはヘルスケアへの支払情報になります。 場合によっては、HPE Partner Ready のパートナーは、パートナーと HPE との間で、副次的に付随した契約に 同意する必要がある場合があります。したがって、HPE Partner Ready のパートナーが、HPE と HPE Partner Ready のパートナーが CE または BA のエンドユーザーにサービスや製品を提供するときの法的な要件について、そしてチャネ ルパートナープログラムに適用する HPE の HIPPA の適用について理解いただくことが極めて重要となります。影響を受 けるエンドユーザー (CE または BA のいずれか)、HPE、および HPE Partner Ready パートナーの間で存在する異なる 関係性については、3 項で説明します。 最終更新日 2016 年 2 月 12 日 © Copyright 2016 Hewlett Packard Enterprise Development LP. 1 ページ III. HIPAA の要件 HPE による HIPAA コンプライアンスへの全体的な戦略の一環として、HPE は、エンドユーザー (CE または BA のいずれか)、HPE、および HPE Partner Ready のパートナーの間で、サービスや製品を提供するときに保護対象 の医療保健情報にアクセスする、あるいはアクセスする可能性がある場合には、BAA が適切に締結され履行されること を確認する必要があります。場合によっては、HPE と HPE Partner Ready のパートナーは、HIPAA 要件を関係する企 業にも副次的に適用するために、ビジネスアソシエイトの補足契約 (HPE では、Agent/Subcontractor Agreement (代理 店/請負業者契約: ASA) と呼ばれます) を履行する必要があります。HPE Partner Ready のパートナーがその請負業者 との間で適切な ASA を締結することは、パートナーの責任となります。 注記: 代理店/請負業者契約 (ASA) は、エンドユーザー (CE または BA のいずれか) と締結する BAA に含ま れる要件を副次的に適用するための HPE と請負業者との間の契約のための契約テンプレートに使用される HPE の用 語です。 IV. 定義 本補遺では、HPE とさまざまなタイプの HPE Partner Ready パートナー間に適用される契約のタイプについて 定義します。HPE Partner Ready のパートナーは、3 つの大きなカテゴリに分類できます。CE と主に関わる場合、CE と の BAA に署名する必要がある場合によってこのカテゴリは定義されます。 1. 2. 3. 販売専用 販売と提供 付加価値再販業者 (VAR) 1. 販売専用 – パートナーが販売し、HPE が提供する場合 このカテゴリでは、エンドユーザー (CE または BA のいずれか) が、HPE ブランドの製品やサービスを HPE Partner Ready パートナーから購入しています。セールスプロセスの一環として、HPE Partner Ready のパートナーは、 HPE と連携し、必要に応じて、パススルーHPE ビジネスアソシエイト契約を追加する必要があります。パススルーHPE ビ ジネスアソシエイト契約は、HPE の他のパススルー契約と同じように、交渉することはできません。最終的には、CE は、 HPE とビジネスアソシエイト契約を結びます。 2. 販売と提供 - パートナーが販売し、パートナーが提供する場合 このカテゴリでは、エンドユーザー (CE または BA のいずれか) が、HPE ブランドの製品やサービスを HPE Partner Ready パートナーから購入しています。場合によっては、HPE Partner Ready のパートナーが HPE に代わって サービスを提供する場合があり、保護対象の医療保健情報にアクセスする可能性があります。セールスプロセスの一環 として、HPE Partner Ready のパートナーは、HPE と連携し、必要に応じて、パススルーHPE ビジネスアソシエイト契約 を追加する必要があります。パススルーHPE ビジネスアソシエイト契約は、HPE の他のパススルー契約と同じように、交 渉することはできません。HPE Partner Ready のパートナーが HPE に代わってサービスを提供している場合、HPE Partner Ready のパートナーは、HPE と Agent/Subcontractor (代理店/請負業者) 契約に署名します。最終的には、CE は HPE とビジネスアソシエイト契約を結び、必要に応じて、HPE は代理店/請負業者契約を HPE Partner Ready のパ ートナーと結びます。 パートナーのタイプ 契約 署名 販売専用 パススルーBAA エンドユーザー (CEまたはBAのいずれ か) およびHPE 販売と提供 パススルーBAA エンドユーザー (CEまたはBAのいずれ か) およびHPE ASA HPEおよびHPE Partner Readyサービス を提供するパートナー 最終更新日 2016 年 2 月 12 日 © Copyright 2016 Hewlett Packard Enterprise Development LP. 2 ページ 3. 付加価値再販業者 - パートナーブランドのサービス このカテゴリでは、エンドユーザー (CE または BA のいずれか) が、HPE ブランドのコンポーネントを含む製品 やサービスを HPE Partner Ready パートナーから購入しています。HPE Partner Ready パートナーが主に、エンドユー ザーとのビジネスを確立し、通常、販売を主導します。HPE が HPE Partner Ready のパートナーに代わってエンドユー ザーに製品やサービスを提供し、保護対象の医療保健関係情報にアクセスする場合には、HPE が BA となります。セー ルスプロセスの一環として、HPE Partner Ready のパートナーがエンドユーザーとビジネスアソシエイト契約を締結する 必要があります。案件に関する契約が締結したら、HPE Partner Ready のパートナーは、HPE とビジネスパートナーア ソシエイト契約を締結する必要があります。この契約には、必要に応じて、HPE への副次的な契約が含まれることとなり ます。 契約書 BAA 署名 エンドユーザー (CEまたはBA) およびHPE Partner Readyの パートナー BAA (副次的に付随する追加の HPEおよびHPE Partner Readyのパートナー 契約) 最終更新日 2016 年 2 月 12 日 © Copyright 2016 Hewlett Packard Enterprise Development LP. 3 ページ