あるヘルスケアスタートアップが2023年初頭に私に連絡をくれました。優秀な創業者、それなりの予算、明確な要件です:患者の入力フォーム、予約スケジューリング、将来的にはテレヘルスウィジェット。「WP Engineを使っています」とCTOが言いました。WP EngineがBAA契約に署名しているかを聞くと、長い沈黙がありました。「BAA契約って何ですか?」
そこが問題の根源です—コードにもなく、プラグインスタックにもなく、ほとんどの開発者が読むことなく、ほとんどのホストが静かに回避する書類の履歴にあります。
ここが重要な点です:HIPAA準拠は切り替えられる機能ではありません。これは法的フレームワークであり、事業関係者契約(Business Associate Agreement)はあなたのホスティングプロバイダーをそのフレームワークの正式な一部とする契約です。署名されたBAA契約がなければ、サーバーがTLS 1.3で実行されていてデータベースのすべてのフィールドを暗号化していても関係ありません。あなたも、あなたのクライアントも、リスクにさらされています。
2026年に実際に署名するプラットフォームについて私が知っていることを説明させ、そして—より重要なことに—正しいことを言いながら署名に応じないプラットフォームについて説明します。
---
BAAとは実際には何か(そして何ではないか)
Business Associate Agreement(BAA)はHIPAAプライバシー規則の下での契約であり、ベンダーを保護されたヘルスケア情報(PHI)に関する特定の義務に拘束するものです。ヘルスケアサイトをホストする場合、ホスティングプロバイダーはPHIに接触します。インフラストラクチャレイヤーだけであっても、です。つまり、彼らはBusiness Associateになります。それ以上でも以下でもありません。Business Associate Agreementis a contract under the HIPAA Privacy Rule that binds a vendor to specific obligations around Protected Health Information (PHI). When you host a healthcare site, your hosting provider touches PHI — even if only at the infrastructure layer. That makes them a Business Associate. Full stop.
BAAが自動的にあなたをコンプライアント状態にするわけではありません。私はこの誤解を常に目にします。BAAは、ホストが責任の一部を受け入れ、セーフガードに同意することを意味します。あなたのアプリケーションレイヤー、フォーム、WordPressプラグイン、ロギング — それはあなたの責任です。theirshare of liability and agrees to safeguards. Your application layer, your forms, your WordPress plugins, your logging — that's still on you.
Seahawk Mediaは2022年、WordPress サイトを運営する米国の物理療法グループのプロジェクトを担当しました。クライアントはメールプロバイダー(良い)、EHRベンダー(当然)とはBAAを持っていましたが、ウェブホストとは持っていませんでした。彼らのサイトはGravity Formsで症状データを収集していました。すべての送信はGmailアカウントにメール送信されていました。1つのワークフローで3つの違反です。私たちはこれを約6週間かけて解決しました。
---
2026年に実際に署名するホスト
AWS、GCP、Azure — 本気のオプション
BAAが必要で、確実性が必要な場合、ハイパースケーラーが答えです。Amazon Web Services、Google Cloud Platform、Microsoft Azureの3つすべてがBAAを提供し、HIPAA適格サービスのリストを保持しています。Amazon Web Services, Google Cloud Platform, and Microsoft Azure — offer BAAs and maintain lists of HIPAA-eligible services.
AWSが私が最も頻繁に使用するものです。BAAはEC2、RDS、S3、CloudFront、Lambdaなど、幅広いサービスをカバーしています。重要なのは、すべてのAWSサービスが適格ではないということです。DynamoDBはリストに含まれています。すべての実験的サービスは含まれていません。アーキテクチャを設計する前に、現在の適格サービスページを確認する必要があります。
GCPのBAAはBigQuery、Cloud SQL、Compute Engine、Cloud Storageなど複数のサービスをカバーしています。Azureはヘルスケア分野での最も広いエンタープライズ導入を持っています。BAAとコンプライアンス文書は成熟しており、クライアントがすでにMicrosoftエコシステムに含まれている場合(ほとんどのエンタープライズヘルスケア組織は含まれています)、Azureは組織的に意味を持つことが多いです。
3つすべてに共通する問題がある。ここで得られるのはマネージドWordPressではなく、インフラストラクチャだ。誰かがスタックを構築・保守しなければならない——OSのパッチ適用、WAF設定、バックアップ、保存時と転送中の暗号化だ。Seahawkではヘルスケア関連のクライアント向けにAWSを使用し、Nginx、PHP-FPM、MySQLを実行するハードニングされたEC2インスタンスを導入している。動作する。だが、誰かにWP Engineのログイン情報を渡すのと比べると、運用上のオーバーヘッドが大幅に増える。
Kinsta——状況による「はい」
KinstaはGCP上で動作する。彼らはより高い階層プラン(Business 1以上。最後に確認した時点で)のお客様向けにBAAに署名することを提供している。これは重要だ。なぜなら、Kinstaは本当に優れたマネージドWordPressホスティングだからだ。高速。信頼性がある。良いステージング環境がある。
だが——これは強調する価値がある——KinstaのBAA対応範囲は、GCPに直接行くよりもやや狭い。KinstaのインターナルコントロールとGCPのコントロール両方に依存している。多くのヘルスケア関連のWordPressプロジェクトにとっては、それで問題ない。非常にセンシティブなデータを大量に扱うようなケースなら、契約する前に彼らのセキュリティドキュメンテーションが正確に何を言っているのかを理解しておきたい。
Cloudways——いいえ
Cloudwaysはエージェンシー業界で人気がある。良い価格対パフォーマンス比率だ。非センシティブなプロジェクトで数十個のプロジェクトで使用している。だが、最後に確認した時点では、CloudwaysはHIPAA BAAを提供していない。AWS と GCP の下で実行していさえし、それはやや皮肉だ。マネージドレイヤーは、HIPAA目的のために契約上サポートする意思がない不確実性をもたらす。
Pantheon——いいえ(ほとんどのプラン)
PantheonはDrupalおよびWordPressエージェンシー向けに優れている。HIPAA準拠は彼らの市場ではない。彼らは明確にしている。エンタープライズブランディングに騙されないでほしい。
WP Engine——いいえ
わかっている。彼らはコンプライアンスドキュメンテーションを持っている。セキュリティについて話している。だがHIPAA BAAには署名しない。彼らのサービス利用規約は明確にプラットフォーム上でのPHI(保護対象医療情報)の保存を禁止している。これはあらゆる真のヘルスケアユースケースから除外される。この投稿の冒頭で言及したスタートアップ?ここが正確に彼らの状況だった。
Liquid Web / Nexcess — 条件付きで可能
Liquid Webは、BAA署名を伴ったHIPAA準拠のマネージドホスティングを提供していますが、通常は共有プランではなく専用サーバーやVPS製品を対象としています。営業チームとの直接的な会話の価値があります。彼らのコンプライアンス体制は改善されてきました。ただし、何かを構築する前にBAA文書を手に入れたいところです。
---
WordPressスタックがBAA以上に必要とするもの
BAAは基礎です。建物そのものではありません。HIPAA準拠のWordPressサイトがアプリケーション層で実際に必要とするものはここにあります。
フォームとデータ収集
- Gravity Formsは適切なセットアップで使用できますが、ネイティブなGravity Formsはデフォルトでは送信内容をWordPressデータベースに保存します。PHIの場合、データベース保存を無効にしてHIPAA準拠の宛先に安全にデータを送信するか、Encrypted Fieldsアドオンを慎重に使用する必要があります。with the proper setup can be used, but native Gravity Forms stores submissions in the WordPress database by default. For PHI, you either need to disable database storage and pipe data securely to a HIPAA-compliant destination, or use their Encrypted Fields add-on carefully.
- Cognito FormsとFormAssemblyはどちらもBAAを伴ったHIPAA準拠のティアを提供しています。フォームが主要なデータ収集ポイントである場合、これらはGravity Formsと格闘するより、クリーンな選択肢になることが多いです。andFormAssemblyboth offer HIPAA-compliant tiers with BAAs. If the form is the primary data-collection point, these are often cleaner than wrestling with GF.
- 第三者サーバーにデータを送信する無料のコンタクトフォームプラグインは決して使用しないでください。その企業のコンプライアンス体制を確認する前に。
メール
これは重大な問題です。WordPressサイトはおそらくwp_mail()経由でメール送信していますが、これはデフォルトではPHP mailまたは接続されたSMTPプラグインを使用します。標準的なGmail、標準的なMailchimp、標準的なSendGrid — これらは初級レベルの料金体系ではHIPAA BAAに署名していません。
小~中規模のヘルスケアクライアントには、Pauboxを一貫して推奨しています。HIPAA準拠のメール、BAAが含まれており、価格設定が明確です。Google Workspaceもヘルスケアクライアント向けにBAAを提供していますが、特定のプランと正式なリクエストプロセスが必要です — 標準的なGoogleアカウントには適用されません。is the one I recommend consistently for small-to-mid healthcare clients. HIPAA-compliant email, BAA included, straightforward pricing. Google Workspace also offers a BAA for their healthcare clients, but it requires a specific plan and a formal request process — it doesn't apply to a standard Google account.
プラグインとサードパーティ統合
外部に通信するすべてのプラグイン、すべての分析スクリプト、すべてのライブチャットウィジェット — すべてがページ上のデータに応じてPHIに接触する可能性があります。適切な監査を実施してください。Query Monitorを使用して外部リクエストを生成しているものを特定し、各ベンダーのコンプライアンスドキュメントと照合します。Query Monitorto identify what's making external requests, then cross-reference against each vendor's compliance documentation.
HubSpotはBAAに署名します。Intercomは署名しません(標準レベルでは)。Hotjarはかなり慎重なスコーピング作業なしでは、ヘルスケアサイト上で実行すべきではありません。
---
実際にBAAに署名させる方法
これは技術的というより手続き的ですが、このステップでプロジェクトが停滞するのを見てきました。
- PHIに接触する、または接触する可能性があるすべてのベンダーを特定します — ホスト、CDN、メール、フォーム、分析、サポートチャット、バックアップ提供者。that touches or could touch PHI — host, CDN, email, forms, analytics, support chat, backup provider.
- 各ベンダーのセールスまたはコンプライアンスチームにBAAドキュメントをリクエストしてください。推測しないでください。書面で取得してください。from each vendor's sales or compliance team. Don't assume. Get it in writing.
- スコープを確認する — 特定のサービスまたは特定のデータタイプのみをカバーするBAAは、署名する前に理解しておく必要があります。— a BAA that only covers certain services or certain data types needs to be understood before you sign.
- 署名済みの契約書をクライアントの法務チームがアクセスできる場所に保管する。受信トレイだけではなく。somewhere your client's legal team can access. Not just in your inbox.
- 毎年見直す — ベンダーはポリシーを変更し、サービスは廃止され、2024年にスタックをカバーしていたBAAが2026年にはギャップを持つ可能性があります。— vendors change their policies, services get deprecated, and a BAA that covered your stack in 2024 might have gaps in 2026.
ビジネスアソシエイトに関するHHSのガイダンスは、実際のところ読みやすいです。このトピックが初めての場合は、30分の時間をかける価値があります。HHS guidance on Business Associatesis actually readable. Worth thirty minutes of your time if you're new to this.
---
誰も話さないCDN問題
ホストは決めた。BAAも取得した。アプリケーション層もロックダウンした。その後、Cloudflareをその前に置きました。
Cloudflareはバア に署名します — ただしEnterprise プランでのみ、それは小規模な医療クライアントの大多数にとって除外される価格帯で始まります。Free と Pro ティア?BAA なし。つまり、Cloudflareは技術的には、BAAなしでHTTPSトラフィックを復号化して検査しており、転送中にPHIがある可能性のあるサイト上でそうしています。Enterprise plan, which starts at a price point that rules it out for most small healthcare clients. The free and Pro tiers? No BAA. Which means Cloudflare is technically decrypting and inspecting your HTTPS traffic without a BAA in place, on a site that may have PHI in transit.
より小規模なプロジェクトの場合、サイトがすでにEC2上にあるか、Application Load Balancerの背後にある場合、AWS CloudFront(BAA適格)をCDNレイヤーとして使用することでこれを回避しています。Cloudflareダッシュボードほど派手ではありませんが、コンプライアンスの観点からは問題ありません。
---
2026年に実際に構築するもの
もし医療クライアントが明日WordPressの要件を持ってやってきたら、大まかにこのような構成にします:
- ホスティング:署名済みBAA付きのAWS EC2(強化されたLEMPスタック実行)、またはBAA契約を結んだKinsta BusinessAWS EC2 (with a signed BAA) running a hardened LEMP stack, or Kinsta Business with their BAA in hand
- メール:トランザクションメールとプロバイダー向けメール用のPauboxPaubox for transactional and provider-facing email
- フォーム:FormAssemblyまたはGravity Forms(データベース保存を無効化し、暗号化された送信ルーティング使用)FormAssembly or Gravity Forms with database storage disabled and encrypted submission routing
- CDN:Cloudflareの無料版またはProではなくAWS CloudFrontAWS CloudFront, not Cloudflare free/Pro
- 分析:同じBAAカバー対象インフラ上の自社ホストMatomo — URLやパラメータにPHIが含まれる可能性のあるものには一切Google Analyticsを使用しないSelf-hosted Matomo on the same BAA-covered infrastructure — no Google Analytics for anything that has even a chance of PHI in the URL or parameters
- バックアップ:AWS S3(BAA適格)とサーバー側暗号化AWS S3 (BAA-eligible) with server-side encryption
標準的なWordPressビルドより高額ですか?はい。運用がより複雑ですか?それも然りです。しかし代替案は、クライアントがHIPAAブリーチ通知プロセスに直面し、1日あたり1件の違反につき100ドルから始まる罰金の可能性があり、開発者がこれについて一度も言及しなかった理由についての非常に気まずい会話です。HIPAA breach notificationprocess, potential fines starting at $100 per violation per day, and a very uncomfortable conversation about why their developer never mentioned any of this.
---
FAQ
「HIPAA準拠ホスティング」は法的に意味がありますか?
いいえ。これはマーケティング用語です。法的効力を持つのは署名済みのBAAです。どのホストでもHIPAA対応、HIPAA互換、またはHIPAA関連と自称できます。BAAなしでは、これらの言葉は装飾的なだけです。常に具体的に尋ねてください。「ビジネスアソシエイト契約書に署名していただけますか?」
単に問い合わせフォームがあるだけなら、サイトはBAAが必要ですか?
問い合わせフォームがPHIとなる可能性のある情報を収集している場合(症状、診断、予約理由、患者の身元と健康状態に関連するもの)、その場合そのデータチェーン内のすべてのベンダーがBAAを持つべきです。名前、電話番号、希望時間のみを収集する一般的な「予約を取る」フォームはグレーゾーンですが、それでもBAAを取得する方が安全です。
ヘルスケアサイトにWordPress.comを使用できますか?
WordPress.com(ホスト型プラットフォーム。自己ホスト型WordPressソフトウェアではなく)はHIPAA BAAを提供していません。以上です。これは準拠インフラストラクチャで実行されている自己ホスト型WordPressとは異なります。ソフトウェア自体は問題ありません。ホスト型プラットフォームはPHIに適していません。
使用しているベンダーが買収され、新しい所有者がBAAを廃止したらどうなりますか?
これは現実的なリスクであり、小規模なSaaSツールで起きているのを見てきました。BAAには、ベンダーがHIPAA義務を満たせなくなった場合に発動する終了条項が含まれるべきです。買収発表メールを受け取ったら、削除せずに、新しい事業体の下でコンプライアンス責務が維持されているかどうかを確認してください。
HIPAAは米国のみの関心事ですか?
はい、HIPAA は米国の連邦法です。しかし、英国または EU のヘルスケアクライアント向けに構築している場合、NHS Digital スタンダード、Data Security and Protection Toolkit、および健康データに適用される GDPR といった同等のものは、データプロセッサー契約に関して同様の要件を持っています。フレームワークは異なりますが、ロジックは変わりません。
---
ほとんどの開発者は、正直なところ、誰かに聞かれるまで BAA のことは考えません。その時点では、あなたは大丈夫か(運がいいか)、それとも神経質なクライアントが電話に出ている中で、プレッシャーの下でスタックを改造しているかのどちらかです。
プロジェクトを開始する前にランドスケープを知っておく方が、ビルドの途中でホストが実際に重要な 1 つのドキュメントに署名してくれないことに気付くよりもずっと良いです。