あるヘルスケアスタートアップが2023年初頭に私に連絡をくれました。優秀な創業者、それなりの予算、明確な要件です:患者の入力フォーム、予約スケジューリング、将来的にはテレヘルスウィジェット。「WP Engineを使っています」とCTOが言いました。WP EngineがBAA契約に署名しているかを聞くと、長い沈黙がありました。「BAA契約って何ですか?」
問題はここにある――コードにもプラグインスタックにも存在せず、ほとんどの開発者が読まず、ほとんどのホストが静かに避けている書類の痕跡に存在します。
ここが重要な点です:HIPAA準拠は切り替えられる機能ではありません。これは法的フレームワークであり、事業関係者契約(Business Associate Agreement)はあなたのホスティングプロバイダーをそのフレームワークの正式な一部とする契約です。署名されたBAA契約がなければ、サーバーがTLS 1.3で実行されていてデータベースのすべてのフィールドを暗号化していても関係ありません。あなたも、あなたのクライアントも、リスクにさらされています。
2026年に署名するプラットフォームについて実際に知っていることを説明させてください。そして、より重要なことに、正しいことを言っているが契約書にサインしないプラットフォームはどれかを説明します。
---
BAAとは実際には何か(そして何ではないか)
Business Associate Agreement(BAA)はHIPAAプライバシー規則に基づく契約で、保護対象健康情報(PHI)に関する特定の義務にベンダーを拘束するものです。ヘルスケアサイトをホストする場合、ホスティングプロバイダーはPHIに接触します――インフラストラクチャレイヤーのみであっても。つまり、彼らはBusiness Associateです。以上です。Business Associate Agreement is a contract under the HIPAA Privacy Rule that binds a vendor to specific obligations around Protected Health Information (PHI). When you host a healthcare site, your hosting provider touches PHI -- even if only at the infrastructure layer. That makes them a Business Associate. Full stop.
BAAが自動的にあなたをコンプライアンス対応にするわけではありません。これを常に誤解されています。BAAはホストが責任の自分の部分を受け入れ、セーフガードに同意することを意味します。アプリケーションレイヤー、フォーム、WordPressプラグイン、ロギング――それはあなたの責任です。their share of liability and agrees to safeguards. Your application layer, your forms, your WordPress plugins, your logging -- that's still on you.
Seahawk Mediaは2022年、WordPress サイトを運営する米国の物理療法グループのプロジェクトを担当しました。クライアントはメールプロバイダー(良い)、EHRベンダー(当然)とはBAAを持っていましたが、ウェブホストとは持っていませんでした。彼らのサイトはGravity Formsで症状データを収集していました。すべての送信はGmailアカウントにメール送信されていました。1つのワークフローで3つの違反です。私たちはこれを約6週間かけて解決しました。
---
2026年に実際に署名するホスト
AWS、GCP、Azure――真摯な選択肢
BAAが必要で、確実性が必要な場合、ハイパースケーラーがあなたの答えです。3つすべて――Amazon Web Services、Google Cloud Platform、Microsoft Azure――はBAAを提供し、HIPAA適格サービスのリストを維持しています。Amazon Web Services, Google Cloud Platform, and Microsoft Azure -- offer BAAs and maintain lists of HIPAA-eligible services.
AWSが私が最も頻繁に使用するものです。BAAはEC2、RDS、S3、CloudFront、Lambdaなど、幅広いサービスをカバーしています。重要なのは、すべてのAWSサービスが適格ではないということです。DynamoDBはリストに含まれています。すべての実験的サービスは含まれていません。アーキテクチャを設計する前に、現在の適格サービスページを確認する必要があります。
GCPのBAAはBigQuery、Cloud SQL、Compute Engine、Cloud Storageなどをカバーしています。Azureはヘルスケア分野で最も幅広いエンタープライズ導入を持っています――彼らのBAAとコンプライアンス文書は成熟しており、あなたのクライアントが既にMicrosoftエコシステム(ほとんどのエンタープライズヘルスケア組織がそうです)にある場合、Azureはしばしば組織的に理にかなっています。
3つすべての課題:マネージドWordPressは得られません。インフラストラクチャが得られます。OS パッチング、WAF設定、バックアップ、保存時および転送中の暗号化――誰かがスタックを構築・維持する必要があります。Seahawkではヘルスケアクライアント向けに、Nginx、PHP-FPM、MySQLを実行する強化されたEC2インスタンスでAWSを使用しています。機能します。また、誰かにWP Engineのログインを渡すよりもはるかに多くの運用オーバーヘッドです。
Kinsta――条件付きYes
KinstaはGCP上で動作する。彼らはより高い階層プラン(Business 1以上。最後に確認した時点で)のお客様向けにBAAに署名することを提供している。これは重要だ。なぜなら、Kinstaは本当に優れたマネージドWordPressホスティングだからだ。高速。信頼性がある。良いステージング環境がある。
ただし、ここが重要だが、Kinstaの BAA 対応は、自分で GCP に直接接続するよりやや狭い。Kinsta の内部統制と GCP の両方に依存することになる。多くのヘルスケア WordPress プロジェクトではそれで十分だ。ただし、ボリュームのある非常にセンシティブなデータを扱う場合は、コミットする前に、セキュリティドキュメントが正確に何を言っているかを理解したい。
Cloudways -- 非対応
Cloudwaysはエージェンシー業界で人気がある。良い価格対パフォーマンス比率だ。非センシティブなプロジェクトで数十個のプロジェクトで使用している。だが、最後に確認した時点では、CloudwaysはHIPAA BAAを提供していない。AWS と GCP の下で実行していさえし、それはやや皮肉だ。マネージドレイヤーは、HIPAA目的のために契約上サポートする意思がない不確実性をもたらす。
Pantheon -- 非対応(ほとんどのプランで)
PantheonはDrupalおよびWordPressエージェンシー向けに優れている。HIPAA準拠は彼らの市場ではない。彼らは明確にしている。エンタープライズブランディングに騙されないでほしい。Drupal and WordPress agencies. HIPAA compliance is not their market. They've been clear about this. Don't let the enterprise branding fool you.
WP Engine -- 非対応
わかっている。彼らはコンプライアンスドキュメンテーションを持っている。セキュリティについて話している。だがHIPAA BAAには署名しない。彼らのサービス利用規約は明確にプラットフォーム上でのPHI(保護対象医療情報)の保存を禁止している。これはあらゆる真のヘルスケアユースケースから除外される。この投稿の冒頭で言及したスタートアップ?ここが正確に彼らの状況だった。
Liquid Web / Nexcess -- 条件付きで可能
Liquid Webは、BAA署名を伴ったHIPAA準拠のマネージドホスティングを提供していますが、通常は共有プランではなく専用サーバーやVPS製品を対象としています。営業チームとの直接的な会話の価値があります。彼らのコンプライアンス体制は改善されてきました。ただし、何かを構築する前にBAA文書を手に入れたいところです。
---
WordPressスタックがBAA以上に必要とするもの
BAAは基礎です。建物そのものではありません。HIPAA準拠のWordPressサイトがアプリケーション層で実際に必要とするものはここにあります。
フォームとデータ収集
- Gravity Forms は適切なセットアップで使用できますが、ネイティブの Gravity Forms はデフォルトで WordPress データベースに送信を保存します。PHI の場合、データベース ストレージを無効にして、HIPAA 準拠の送信先にデータを安全にパイプするか、Encrypted Fields アドオンを慎重に使用する必要があります。 with the proper setup can be used, but native Gravity Forms stores submissions in the WordPress database by default. For PHI, you either need to disable database storage and pipe data securely to a HIPAA-compliant destination, or use their Encrypted Fields add-on carefully.
- Cognito Forms と FormAssembly は、どちらも BAA 付きの HIPAA 準拠ティアを提供しています。フォームがデータ収集の主なポイントである場合、これらはしばしば Gravity Forms と格闘するよりもシンプルです。 and FormAssembly both offer HIPAA-compliant tiers with BAAs. If the form is the primary data-collection point, these are often cleaner than wrestling with GF.
- 第三者サーバーにデータを送信する無料のコンタクトフォームプラグインは決して使用しないでください。その企業のコンプライアンス体制を確認する前に。
メール
これが問題だ。WordPress サイトはおそらく wp_mail() 経由でメールを送信しており、デフォルトは PHP mail またはプラグインの SMTP 接続だ。標準の Gmail、標準の Mailchimp、標準の SendGrid――それらはいずれもエントリーレベルの層で HIPAA BAA に署名しない。
中小規模のヘルスケアクライアント向けに、私が一貫して推奨するのが Paubox だ。HIPAA 準拠のメール、BAA 込み、シンプルな価格設定。Google Workspace もヘルスケアクライアント向けに BAA を提供しているが、特定のプランと正式なリクエストプロセスが必要で、標準的な Google アカウントには適用されない。 is the one I recommend consistently for small-to-mid healthcare clients. HIPAA-compliant email, BAA included, straightforward pricing. Google Workspace also offers a BAA for their healthcare clients, but it requires a specific plan and a formal request process -- it doesn't apply to a standard Google account.
プラグインとサードパーティ統合
外部に連絡するすべてのプラグイン、すべての分析スクリプト、すべてのライブチャットウィジェット――ページ上のデータに応じて、すべてが PHI に接触する可能性がある。適切な監査を実施しろ。私は Query Monitor を使って外部リクエストを生成しているものを特定し、各ベンダーのコンプライアンスドキュメントに照らし合わせる。Query Monitor to identify what's making external requests, then cross-reference against each vendor's compliance documentation.
HubSpotはBAAに署名します。Intercomは署名しません(標準レベルでは)。Hotjarはかなり慎重なスコーピング作業なしでは、ヘルスケアサイト上で実行すべきではありません。
---
実際にBAAに署名させる方法
これは技術的というより手続き的ですが、このステップでプロジェクトが停滞するのを見てきました。
- PHI に接触するか接触する可能性のあるすべてのベンダーを特定しろ――ホスト、CDN、メール、フォーム、分析、サポートチャット、バックアップ プロバイダー。 that touches or could touch PHI -- host, CDN, email, forms, analytics, support chat, backup provider.
- 各ベンダーのセールス チームまたはコンプライアンス チームから BAA ドキュメントをリクエストしてください。想定しないこと。書面で取得してください。 from each vendor's sales or compliance team. Don't assume. Get it in writing.
- スコープを確認しろ――特定のサービスまたは特定のデータタイプのみをカバーする BAA は、署名する前に理解される必要がある。 -- a BAA that only covers certain services or certain data types needs to be understood before you sign.
- 署名済み契約をクライアントの法務チームがアクセスできる場所に保存してください。あなたの受信トレイだけではありません。 somewhere your client's legal team can access. Not just in your inbox.
- 毎年見直す必要がある。ベンダーはポリシーを変更し、サービスは廃止され、2024年にスタックをカバーしていたBAAも2026年までに隙間が生じる可能性がある。 -- vendors change their policies, services get deprecated, and a BAA that covered your stack in 2024 might have gaps in 2026.
HHS のビジネス・アソシエイトに関するガイダンスは、実は読みやすいものです。これが初めての場合は、30 分かける価値があります。HHS guidance on Business Associates is actually readable. Worth thirty minutes of your time if you're new to this.
---
誰も話さないCDN問題
ホストは決めた。BAAも取得した。アプリケーション層もロックダウンした。その後、Cloudflareをその前に置きました。
Cloudflareはバイアグリーメント(BAA)に署名するが、エンタープライズプランのみで、最小価格設定がほとんどの小規模医療クライアントを除外する。無料プランとProプラン?BAA対応ではない。つまりCloudflareは技術的には、BAA契約なしでHTTPSトラフィックを復号化・検査しており、転送中のPHIを含む可能性のあるサイトで行われている。Enterprise plan, which starts at a price point that rules it out for most small healthcare clients. The free and Pro tiers? No BAA. Which means Cloudflare is technically decrypting and inspecting your HTTPS traffic without a BAA in place, on a site that may have PHI in transit.
より小規模なプロジェクトの場合、サイトがすでにEC2上にあるか、Application Load Balancerの背後にある場合、AWS CloudFront(BAA適格)をCDNレイヤーとして使用することでこれを回避しています。Cloudflareダッシュボードほど派手ではありませんが、コンプライアンスの観点からは問題ありません。
---
2026年に実際に構築するもの
もし医療クライアントが明日WordPressの要件を持ってやってきたら、大まかにこのような構成にします:
- ホスティング:AWS EC2(署名済みBAAあり)で強化されたLEMPスタックを実行するか、またはBAAを手にしたKinsta Businessを使用するAWS EC2 (with a signed BAA) running a hardened LEMP stack, or Kinsta Business with their BAA in hand
- メール:Pauboxをトランザクションメールおよびプロバイダー向けメール用に使用Paubox for transactional and provider-facing email
- フォーム:FormAssemblyまたはGravity Formsでデータベースストレージを無効にし、暗号化されたサブミッションルーティングを使用FormAssembly or Gravity Forms with database storage disabled and encrypted submission routing
- CDN:Cloudflare無料/ProではなくAWS CloudFrontAWS CloudFront, not Cloudflare free/Pro
- アナリティクス:BAA対応インフラストラクチャと同じサーバーで自社ホストしたMatomo使用。URLやパラメータにPHIの可能性があるもの、またはGoogleアナリティクスは一切使用しない。Self-hosted Matomo on the same BAA-covered infrastructure -- no Google Analytics for anything that has even a chance of PHI in the URL or parameters
- バックアップ:AWS S3(BAA対応)サーバーサイド暗号化付きAWS S3 (BAA-eligible) with server-side encryption
標準的な WordPress ビルドより費用がかかるのか?はい。運用的にはより複雑か?これもはいです。しかし、代替案はクライアントが HIPAA 違反通知プロセスに直面し、1 日あたり違反ごとに 100 ドルから始まる罰金を受け、開発者がなぜこのことについて一切言及しなかったのかという非常に気まずい会話です。HIPAA breach notification process, potential fines starting at $100 per violation per day, and a very uncomfortable conversation about why their developer never mentioned any of this.
---
FAQ
「HIPAA準拠ホスティング」は法的に意味がありますか?
いいえ。これはマーケティング用語です。法的効力を持つのは署名済みのBAAです。どのホストでもHIPAA対応、HIPAA互換、またはHIPAA関連と自称できます。BAAなしでは、これらの言葉は装飾的なだけです。常に具体的に尋ねてください。「ビジネスアソシエイト契約書に署名していただけますか?」
単に問い合わせフォームがあるだけなら、サイトはBAAが必要ですか?
コンタクトフォームが症状、診断、予約理由、患者の身元と健康状態に関連する情報など、PHIに該当する可能性のある情報を収集する場合、データチェーン内のすべてのベンダーはBAAを保持する必要がある。名前、電話番号、希望時間のみを収集する一般的な「予約を取る」フォームはグレーゾーンだが、それでもBAAを取得することを推奨する。
ヘルスケアサイトにWordPress.comを使用できますか?
WordPress.com(ホスト型プラットフォーム。自己ホスト型WordPressソフトウェアではなく)はHIPAA BAAを提供していません。以上です。これは準拠インフラストラクチャで実行されている自己ホスト型WordPressとは異なります。ソフトウェア自体は問題ありません。ホスト型プラットフォームはPHIに適していません。
使用しているベンダーが買収され、新しい所有者がBAAを廃止したらどうなりますか?
これは現実的なリスクであり、小規模SaaSツールでこれが発生するのを見てきた。BAAには、ベンダーがHIPAAの義務を満たせなくなった場合に発動する終了条項が含まれるべき。買収発表メールが届いた場合は削除せず、新しい企業下でコンプライアンス上のコミットメントが維持されているかを確認する。
HIPAAは米国のみの関心事ですか?
はい、HIPAAは米国の連邦法だ。しかしUKやEUのヘルスケアクライアント向けに構築している場合、NHS Digital基準、データセキュリティと保護ツールキット、健康データに適用されるGDPRなどの同等物は、データ処理者契約に関する同様の要件を持っている。フレームワークは異なるが、ロジックは変わらない。
---
ほとんどの開発者は、正直なところ、誰かに聞かれるまで BAA のことは考えません。その時点では、あなたは大丈夫か(運がいいか)、それとも神経質なクライアントが電話に出ている中で、プレッシャーの下でスタックを改造しているかのどちらかです。
プロジェクトを開始する前にランドスケープを知っておく方が、ビルドの途中でホストが実際に重要な 1 つのドキュメントに署名してくれないことに気付くよりもずっと良いです。