hipaa-compliant-ai-nextjs-2026.html
< BACK Next.jsアプリにおけるHIPAA準拠AI:Claude、OpenAI、Azure OpenAI(2026年)のヒーロー画像

Next.jsアプリにおけるHIPAA準拠AI:Claude、OpenAI、Azure OpenAI(2026年)

Next.jsアプリにヘルスケアAI機能を構築していて、今月「OpenAIはHIPAA準拠か」をGoogle検索したのが2回以上なら、ようやくアーキテクチャ決定を下せるレベルで答えが決着しました。短い答え:OpenAIはAPIとChatGPT Enterpriseに対してBAAに署名、AnthropicはEnterpriseプランのみで署名、Azure OpenAIはMicrosoftのEnterprise Agreement下でテキスト入力に対してデフォルトでBAA対応。画像と音声モダリティはまだギャップがあります。長めの説明では、Next.jsのServer Actionsから呼び出せるコール型のうちどれが安全でどれが罰金につながるかを正確に説明します。Next.js app and you've Googled 'is OpenAI HIPAA compliant' more than twice this month, the answer is finally settled enough to make architecture decisions on. The short version: OpenAI signs BAAs for the API and ChatGPT Enterprise; Anthropic signs them on the Enterprise plan only; Azure OpenAI is BAA-covered by default on Microsoft's Enterprise Agreement for text inputs. Image and audio modalities are still gappy. The longer version explains exactly which call types are safe to make from your Next.js Server Actions and which ones will get you fined.

Anthropicは2026年3月にSOC 2 Type II + HIPAA認証を取得し、ヘルスケアAIチームをAzureへ押し出していた最後の調達上の障害を取り除きました。3つのベンダーはBAA対応で事実上同等になりましたが、違いは価格、対応モダリティ、およびBAAスコープがトレーニングデータをどう扱うかにあります。ユースケースに合わないものを選ぶと、初めてのプロトタイプでHIPAA違反をリリースすることになります。

ヘルスケアアプリにおけるAIの2026年BAAスコアボード

  • OpenAI API -- BAA対応はbaa@openai.comより利用可能。ゼロデータ保持エンドポイントのみを対象。メール対応、営業日1~2日以内に返答。ChatGPT EnterpriseおよびChatGPT for HealthcareのBAAは営業管理型。
  • Anthropic Claude -- BAA対応は営業管理型Enterpriseプランのみ。セルフサービスEnterpriseティアはBAAを含みません。Enterpriseプライシングは年間最低約50,000ドル、初年度TCOはよりよくある場合で消費量に応じて170,000~220万ドル。
  • Azure OpenAI Service -- BAA対応はMicrosoft Enterprise AgreementsおよびCSP契約ではデフォルトで含まれます。テキスト入力は対応。画像入力(DALL-E、Vision)は2026年中盤時点で対象外。GPT-Realtimeオーディオ対応はまだ発表されていません。
  • AWS Bedrock(Claude、Llama、Titan)-- AWSの標準BAAに基づいて対応。AWSはヘルスケアワークロード向けに署名します。Bedockモデルゲートウェイはスコープ内。基礎となるモデルプロバイダーは抽象化されます。
  • Google Cloud Vertex AI / Gemini -- Google VertexのBAA下で対応。AI Studio上のDirect Gemini APIはBAA適格ではありません。
  • Microsoft Copilot、ChatGPT consumer(無料またはPlus)、Claude.aiコンシューマーサブスクリプション -- これらのいずれもBAAをサポートしません。PHI向けに使用することは違反です。

ヘルスケアアプリ向けの OpenAI: ゼロデータ保持の API パス

Next.js アプリが OpenAI を直接呼び出す場合、唯一の HIPAA 準拠構成はゼロデータ保持が有効な API、BAA 適格エンドポイントにスコープされ、baa@openai.com から署名された BAA です。会社の詳細とユースケースを BAA チームにメール送信すると、1~2 営業日での回答を想定でき、BAA は契約規模に応じてクリックスルー契約または DocuSign 契約として届きます。

ゼロデータ保持の実際の意味

ゼロデータ保持では、OpenAIはレスポンス返却後、プロンプトまたは完了データを保存しません。トレーニング、ログ記録、悪用監視の保持なし。キャッチは、特定のエンドポイントのみが適格ということ。フラグシップモデル上のChat Completions APIは適格です。いくつかの新しい特殊エンドポイントはそうではありません。BAA内の適格エンドポイントリストを確認してください -- PHIを非適格エンドポイントに送信すると、その呼び出し分の契約が無効になります。

非 API ユースケース向けの ChatGPT Enterprise および ChatGPT for Healthcare

チームが臨床研究、ドラフト作成、または PHI に関連するナレッジワーク向けに ChatGPT プロダクト(API ではなくチャットインターフェース)を必要とする場合、ChatGPT Enterprise および ChatGPT for Healthcare の両方が OpenAI のセールスチームを通じて BAA をサポートします。価格はカスタムです。年間契約で 1 人あたり月 60~100 ドルの範囲を想定してください。ヘルスケア専用ティアは 2026 年 2 月にリリースされ、デフォルトの BAA と拡張保持制御が含まれています。

Anthropic Claude for healthcare apps: Enterprise のみで、コストはいくら?

ClaudeはMarch 2026年3月にSOC 2 Type IIとともにHIPAA対応に到達しました。BAAは営業管理型Enterpriseプランの背後にゲートされており、セルフサービスEnterpriseティアはBAAを含みません。ヘルスケア向けClaudeを利用するには営業電話、座席数および確約API消費の契約交渉、年間最低約50,000ドルから始まる価格が必要。初年度全体TCOはAnthropicの公開ガイダンスに基づいて規模に応じて170,000~220万ドル。

ヘルスケアアプリの AI 機能が長文脈ドキュメント分析(臨床ノート、事前認可、医療記録の要約)に大きく依存している場合、Claude の 500K トークン コンテキスト ウィンドウはその価格に見合う価値があります。AI が短編チャットまたはコピー生成である場合、OpenAI API のパスは同じコンプライアンス体制で著しく安価です。

Azure OpenAI: エンタープライズ ヘルスケアチームのデフォルトパス

Azure OpenAIはMicrosoft Enterprise AgreementsまたはCSP契約顧客に対してデフォルトでBAA対応。テキスト入力は個別BAA交渉なしでHIPAA適格 -- Microsoft BAAは標準EAの条項に組み込まれています。必要な構成は簡単ではありません。仮想ネットワーク(VNet)、プライベートエンドポイント、Azure ADベースのアクセス制御、RBAC、Conditional Accessが必要で、これらはMicrosoftチームがすべてデプロイ方法を既に知っている必要があります。

スコープ内とスコープ外

  • Chat Completions のテキスト入力と出力:EA BAA の下でスコープ内。プロンプトと応答内の PHI はカバーされます。
  • Embeddings(text-embedding-3-large など):スコープ内。PHI をベクトル検索用に埋め込むことができます。
  • 画像入力(ビジョン モデル、DALL-E):2026 年半ばの時点ではスコープ外。Microsoft のコンプライアンス ドキュメントは画像モダリティを明示的に除外しています。PHI の仮定の下で Azure OpenAI ビジョン エンドポイントに医療画像を渡さないでください。
  • GPT-Realtime オーディオ API:BAA スコープはまだ発表されていません。Microsoft が 2026 年初期の監査サイクルで予想されるガイダンスを公開するまで、PHI ワークロードでは避けてください。
  • デフォルト動作:Azure OpenAI は、トレーニング、製品改善、またはテレメトリのためにプロンプトまたは完了内容を保存せず、プラットフォームログは PHI を収集しません。これはオプトインではなくデフォルトですが、設定可能なため、テナントのデータ処理設定を確認してください。

HIPAA準拠のAI呼び出しのためのNext.js Server Actionsパターン

Next.jsアプリケーションからのすべてのAI呼び出しは、Server ActionまたはRoute Handlerの背後に配置する必要があります。以下の特性を持つもの:リクエストボディに生のPHIがクライアントに到達しない、呼び出しの前後にPHI以外の監査行をログに記録する、ゼロリテンション設定で初期化されたベンダーSDKを使用する、SentryまたはエラーロガーにPHIを含むエラーがログされる前にそれをスクラブする明示的なエラーハンドリングを備えている。

最小限の実装構造

  • Server ActionはRLSまたはセッションバインドされたロールチェックによって事前検証されたサニタイズされたリクエストペイロードを受け取ります。
  • 監査ログ行を記録:user_id、action('ai_call')、model、timestamp。プロンプト内容は記録しません。
  • ベンダーSDK経由でAI呼び出しを実行し、ゼロリテンションヘッダーを明示的に設定します(OpenAI:'X-OpenAI-Beta: zero-data-retention'またはプロジェクトレベルの設定経由)。
  • レスポンスを受け取り、解析し、呼び出し元のServer Componentまたはクライアントに返します。レスポンス自体はPHIです。他のPHI読み取りと同様に扱ってください。
  • 監査ログ行をステータス(success、error、content_filter_triggered)とレスポンストークン数で更新します。レスポンス内容自体は記録しません。
  • エラーの場合:ログに記録する前にエラーメッセージからPHIをスクラブします。Sentryの beforeSend フックはこれを強制する標準的な場所です。

識別排除:BAA全体を回避できる場合

HIPAA 準拠の AI アーキテクチャで最も安価なのは、そもそも PHI を AI に送信しない構成です。HIPAA の Safe Harbor 非識別化標準は 18 個の特定の識別子——名前、年より細かい日付、州より小さい地理的単位、口座番号、生体認証 ID、全顔写真、および他の 11 個——を削除します。プロンプトが非識別化データから構築できれば、AI ベンダーは PHI を受け取らず、そのコールパスに対して BAA は不要です。

実践的パターン:Server Actionが患者バインドされたリクエストを受け取り、データベースで識別排除されたコンテキストを検索し、識別子なしでプロンプトを構築し、AIベンダーに送信し、レスポンスを受け取り、患者コンテキストをクライアント側または下流のServer Componentで再アタッチします。AI呼び出し自体は臨床コンテンツのみを見ます。このパターンは診断支援、臨床文書作成ドラフト、事前認可レター作成、および患者の実際のアイデンティティを必要としないほとんどのLLMユースケースで機能します。

失敗する場所:AIが患者アイデンティティに紐付けられたアクション(予約の予約、通知の送信、特定の患者レコードの検索)を実行する必要があるあらゆる場合です。これらのユースケースではBAAパスが必須です。

2026年のヘルスケアアプリにおけるAIがまだ間違っている場所

  • エラーログ内の PHI——Sentry、Datadog、PostHog、LogRocket。HIPAA ティアを使用していても、AI エラーパスはエラーが発火する前に PHI をスクラブする必要があります。ほとんどのチームはこれを初回監査で発見します。
  • 部分レスポンス監査ログなしのストリーミングレスポンス。トークンをクライアントにストリーミングし、接続がドロップした場合、監査ログは何が送信されたか、何が送信されなかったかを知る必要があります。ほとんどのNext.jsストリーミングAI実装はこれをスキップします。
  • 非BAA埋め込みプロバイダーにヒットする埋め込みパイプライン。Voyage、Cohere、およびほとんどのサードパーティ埋め込みサービスは、初期段階ではBAA不要です。ベクトル検索用にPHIを埋め込む場合、埋め込み呼び出しはより安いスペシャリティプロバイダーではなく、OpenAI(BAA付き)またはAzure OpenAI(EA BAA付き)に到達する必要があります。
  • PHIを非BAA機能パスに再導入する関数呼び出しおよびツール使用。ClaudeまたはOpenAIの機能呼び出しが、AIのレスポンスのためにサードパーティAPIを呼び出す場合、そのサードパーティもスタック内でBAA必要です。
  • HIPAA適格でないベクトルストア。Pineconeにはhipaa層があります。Weaviate CloudはEnterpriseにあります。AWSのオープンソース自己ホスト型ルートはAWSのBAA下のあなたの責任です。PHIを非HIPAAベクトルストアに埋め込む場合、埋め込みAPIのコンプライアンスに関わらず、ストレージ層が違反です。

FAQ

ChatGPTはHIPAA準拠ですか?

コンシューマー向けChatGPT(Free、Plus、Pro)はいかなる構成下でもHIPAA準拠ではなく、PHIを受け入れることはできません。ChatGPT EnterpriseおよびChatGPT for Healthcareは販売管理製品であり、ビジネスアソシエイト契約(BAA)をサポートしており、BAAが署名された後、PHIワークフローに使用できます。OpenAI APIは別の経路です。BAAはbaa@openai.comで利用可能で、1~2営業日以内に対応されますが、ゼロデータリテンション エンドポイントのみが対象です。

2026年時点でOpenAIはHIPAA準拠ですか?

署名済み BAA と対象 API エンドポイントでのゼロデータ保持により可能です。BAA をリクエストするには baa@openai.com にメールしてください——通常の対応は 1~2 営業日です。ChatGPT Enterprise と ChatGPT for Healthcare も OpenAI の営業チームを通じて BAA をサポートしています。コンシューマー向け ChatGPT(無料または Plus)は BAA 適格ではなく、PHI に使用できません。

Anthropic ClaudeはHIPAA準拠ですか?

はい、販売管理型のEnterpriseプランのみです。セルフサービス型のEnterprise tierにはBAAが含まれていません。Enterpriseの価格は年間最低約50,000ドルから始まります。AnthropicはSOC 2 Type IIおよびHIPAA対応を2026年3月に達成したため、調達パスは現在明確です。ただし、コスト下限はOpenAI API + BAAパスよりも大幅に高くなっています。

Azure OpenAIはデフォルトでHIPAA準拠ですか?

テキスト入力は Microsoft の Enterprise Agreement BAA の下でデフォルトでカバーされます——別の BAA 交渉は不要です。画像入力(DALL-E、vision)は 2026 年半ばの時点でカバーされていません。GPT-Realtime オーディオはまだ対象外です。顧客は HIPAA 防御可能にするため、デプロイに対して VNet 分離、プライベートエンドポイント、Azure AD 認証、RBAC、および条件付きアクセスを設定する必要があります。

Claude.aiまたはコンシューマー向けChatGPTにPHIを送信できますか?

いいえ。Consumer Claude.aiサブスクリプションおよびConsumer ChatGPT(無料、Plus、Pro)はBAA に対応しておらず、どの構成でもHIPAA準拠ではありません。PHIをこれらのサービスに送信することは、サブスクリプションレベルに関係なくHIPAA違反です。API パスでBAA付き、ChatGPT Enterprise でBAA付き、またはClaude Enterprise でBAA付きを使用してください。

データを先に匿名化すれば、BAAは必要ありませんか?

データが HIPAA の Safe Harbor 非識別化標準——18 個の特定の識別子削除——を満たしている場合、そのデータは HIPAA の下ではもはや PHI ではなく、そのデータフローに対して AI ベンダーとの BAA は不要です。非識別化は防御可能である必要があります:ほとんどのチームは過少に非識別化し、実際にはすべての 18 個の識別子を削除していないのに Safe Harbor を想定しています。Expert Determination 法は、Safe Harbor があまりに多くのユーティリティを失うであろうケースの代替パスです。

HIPAAをすぐにサポートするベクターデータベースはどれですか?

Pinecone は Enterprise プランで署名済み BAA 付き HIPAA 適格ティアを持っています。Weaviate Cloud は Enterprise で HIPAA をサポートします。Supabase pgvector は Team または Enterprise プランで月額 $350 の HIPAA アドオン付きで HIPAA 適格です。AWS または Azure 上のセルフホスト型ベクトルストアはクラウドプロバイダーの BAA を継承します。HIPAA ティアを公開していないサードパーティベクトルサービスの使用は避けてください——PHI エンベディングにそれらを使用することは違反です。Supabase pgvector is HIPAA-eligible on the Team or Enterprise plan with the $350/month HIPAA add-on. Self-hosted vector stores on AWS or Azure inherit the cloud provider's BAA. Avoid third-party vector services that do not publish a HIPAA tier -- using them for PHI embeddings is a violation.

関連資料

2026 年の HIPAA 準拠アプリ——Next.js、WordPress、または JotForm $99——ヘルスケアアプリの 3 つのアーキテクチャパスすべてをカバーする親投稿。 -- the parent post covering all three architectural paths for healthcare apps.

HIPAA 準拠 Supabase + Vercel:月額 $700 のセットアップ——上記で説明したすべてのデータベースとホスティングレイヤー。 -- the database and hosting layer for everything described above.

2026 年に実際に HIPAA BAA に署名するホスティングスタック——AWS、Azure、または GCP がスタック構成にある場合のより広いホスティング比較。 -- the broader hosting comparison if AWS, Azure, or GCP is in your stack picture.

WordPress Stack Advisor — あなたのURLを貼り付けて、カスタマイズされたスタック推奨を取得できます。ヘルスケアアプリで実際にAI機能が本当に必要かどうかを検討する際に役立ちます。 -- paste your URL, get a tailored stack recommendation. Useful if you are weighing whether you actually need an AI feature in your healthcare app at all.

AIの機能がMVPのリリースと臨床パイロットへの到達を分ける要素であれば、HIPAA対応のパスはモデル選択よりも重要です。間違ったベンダーを間違ったモダリティに選ぶと、インテグレーションを2回作り直すことになります。

30分のHIPAAスタックコールを予約してください — AI機能、モダリティ、患者データフローについて説明してください。あなたの特定のユースケースに対応するBAA適格ベンダーの選定と1年目のコスト範囲を持って終了します。 -- describe the AI feature, the modality, and the patient-data flow. Leave with a vendor pick that is BAA-eligible for your specific use case and a price range for the year-one cost.

< BACK