この1週間、SupabaseがHIPAA準拠かどうかについてRedditの相反するスレッドを読んでいるなら、短い答えはイエスだ。ただし正しいプランで、正しいアドオンで、BAA署名後のみだ。長い版は、ほとんどのチームが最初のデプロイでなぜこれを間違えるのか、そして2026年にあなたのスタックが実際どう見える必要があるのかを説明している。Supabase is HIPAA-compliant, the short version is yes -- but only on the right plan, with the right add-on, and only after the BAA is signed. The longer version explains why most teams get this wrong on their first deploy and what your stack actually needs to look like in 2026.
2025年にこの計算を変えた2つの事実がある。Vercelが$350/月のアドオンでPro チームにHIPAA BAA対応を開始し、SupabaseはHIPAAアドオンをダッシュボードからのセルフサービス化した。合わせて$700/月のプラットフォーム層コストは、ついに早期段階のヘルステック企業がHIPAA準拠のNext.js + Supabaseスタックに手が届く範囲に入った。2025年前は、同じセットアップがVercel Enterprise(中央値で約年$45K)とSupabase Enterprise(カスタム価格、通常は同等の階層)を要求していたため、ほとんどの早期段階チームはAWSまたはAzureに流れていた。Vercel opened HIPAA BAAs to Pro teams as a $350/month add-on, and Supabase made its HIPAA add-on self-serve from the dashboard. The combined cost -- $700/month for the platform layer -- finally puts a defensible HIPAA-compliant Next.js + Supabase stack in reach of pre-Series-A health-tech teams. Before 2025 the same setup required Vercel Enterprise (around $45K/year median) and Supabase Enterprise (custom pricing, typically a similar tier), pricing most early-stage teams onto AWS or Azure instead.
2026年にSupabaseはHIPAA準拠ですか?
イエス、2つの条件がある。まず、Team プラン($599/月)またはEnterpriseプラン、さらにHIPAAアドオンの$350/月が必要だ。FreeおよびProプランはどの価格でもHIPAA対応しない。SupabaseのProプラン($25/月)はどの設定でもPHIを保存できない。次に、SupabaseとのBusiness Associate Agreement(BAA)署名が必須であり、TeamおよびEnterpriseカスタマー向けにダッシュボード経由で実行される。
HIPAAアドオンなしでSupabase Proプロジェクトにおける PHI保存は、RLSポリシーがどれだけ厳密でも、HIPAA違反だ。BAA は技術的なセーフガードを意味あるものにする契約層だ。BAA がなければ準拠なし。他のベンダーのルールと同じだ。
Supabase HIPAA アドオンが月額$350で実際に提供するもの
$350のアドオンはProプランにはない4つのものをカバーします。署名済みBAA、追加のセキュリティコントロール(監査ログ、IPホワイトリスト、MFA強制、ログ保持期間)、コンプライアンス対応ワークロード用の専有インフラ、そして独自の監査に必要なSupabaseのコンプライアンスドキュメンテーション一式へのアクセスです。
- 保存時にAES-256で暗号化、転送時にTLS 1.2+で暗号化。Proと同じだが、BAA下で契約的にスコープされている。
- PHIにアクセスするログについてHIPAAの6年保持要件を満たすよう拡張された監査ログ保持期間。
- データベースのポイントインタイムリカバリとバックアップはBAA下のスコープに含まれるため、バックアップから復元しても契約外になりません。
- ストレージバケット、Auth、Edge Functions、Realtimeはすべてスコープ内です。HIPAAワークロード向けのフルプラットフォームを利用できます。
- AI/Vector機能(pgvector)はスコープ内ですが、PHIをベクトルに埋め込む場合、埋め込み自体の暗号化体制とすべての外部埋め込みAPI呼び出しについて責任を負います。
フルスタック$700/月のHIPAA対応: Vercel + Supabase + 自身で構築する必要がある部分
2026年の防御可能なHIPAA準拠Next.js + Supabaseスタックは、プラットフォーム層で$700/月。Vercelへ$350でPro BAA アドオン、Supabaseへ$350でHIPAAアドオン。この価格はVercel ProとSupabase Teamにいることを想定しており、合わせてベース前に約$620/月だ。合計下限:約$1,320/月、プラスシート、プラスHIPAA対応の第三者サービス。
プラットフォームBAAsがカバーする範囲
- ホスティング(Vercel):エッジランタイム、Functions、ISR、画像最適化、ログリテンション。Pro BAA は Secure Compute(隔離ネットワーク、専用IP、VPCピアリング)を含まない。これはEnterpriseのみで年約$45K 中央値。
- データベース、Auth、Storage、Realtime、Edge Functions(Supabase):すべてBAAの対象範囲内。
- DNS、CDN、ビルドパイプライン(Vercel):対象範囲内。
プラットフォームBAA がカバーしない内容。あなたの責任。
- アプリケーション層での監査ログ。すべてのPHI読み取り/書き込みは、あなた自身の監査テーブル、または Supabase Edge Function が別のリテンション分離バケットに書き込むような外部HIPAA対応ロガーに記録される必要がある。
- 認証とセッション管理。BAA付きのSupabase Authは認証情報の保存をカバーするが、セッション処理コード、ロールチェック、アイドルタイムアウト実装はアプリケーション層だ。
- エラーログ内のPHI――Sentry、Datadog、LogRocket、PostHogなどは、別途HIPAA対応ティア(ほとんどが提供しており、すべて追加料金)がない限りスコープ外です。Sentry HIPAA対応ティアはBusinessプラン($80+/seat/月)で提供されています。Datadog HIPAA追加機能はEnterpriseが必須です。
- メール――Resend、Postmark、SendGrid:各社それぞれのHIPAA対応ティアを持っています。Resend HIPAA対応は2025年にProプランで実現され、別途BAA契約が必要です。予約リマインダーやメール内のPHIを送信する前に必ず確認してください。
- サードパーティ統合――PHIに触れるすべての外部APIは独自のBAAが必要です。Stripe Health、Twilio HIPAA、JotForm Gold($99/月のHIPAA対応を含む)、HubSpot Healthcare など。
HIPAA準拠のNext.js + Supabaseセットアップを2026年に本番展開する――実践的な手順
1. スキーマを書く前に、まずBAA(業務提携契約)に署名する
Vercel Proアカウントをセットアップし、ダッシュボードからHIPAA BAA追加機能を追加します。Supabase Teamアカウントをセットアップし、HIPAA追加機能をリクエストして、ダッシュボードからBAA契約に署名します。どちらもクリックスルー型契約です――Enterprise営業との通話は不要です――そしてPHIがインフラストラクチャに到達する前に完了させてください。先にビルドしてから後で署名した場合、BAA契約前のストレージに蓄積されたすべてのPHIバイトは違反になります。
2. PHI分離を念頭に置いてスキーマを設計する
PHI列と非PHI列を分離します。RLSポリシーはすべてのPHIテーブルに適用する必要があり、デフォルトポリシーは拒否です。機密性の高いフィールド(SSN、診断コード、精神衛生に関するメモ)に対してはpgcryptoでカラムレベルの暗号化を使用します――BAA契約は保存時のAES-256をカバーしますが、最も機密性の高いフィールドへの多層防御は監査人が求める内容です。
3. すべてのPHIアクセスに対する監査ログ
HIPAAではPHIのすべての読み取りと書き込みをログに記録し、6年間ログを保持することが必須です。Supabaseで機能するパターン:すべてのPHI操作クエリがトリガーまたはEdge Functionを経由して書き込む別個のaudit_logテーブル。監査ログ自体はPHI隣接的――ユーザーID、タイムスタンプ、患者IDを保存しますが、監査行にはPHIコンテンツそのものは保存しません。監査ログは運用データベースとは別のリテンション設定で保持します。
4. HIPAA対応のセッション処理による認証
HIPAA アドオン付きのSupabase Auth はBAA の対象範囲内です。アプリケーション層の要件はあなたの責任です: アイドルタイムアウトセッション(通常、臨床ワークステーション では15分、患者向けアプリでは30分)、臨床医アカウントのMFA強制、監査人が要求する場合はパスワードローテーションポリシー、保護されたすべてのルートに対する明示的なロールベースアクセス制御です。クライアント側ガードだけでなく、Next.jsミドルウェアをセッション確認に使用します。
5. PHI文書と画像のストレージ
HIPAA アドオン付きのSupabase Storage は署名付きURL アクセス、保存時暗号化、BAA対象範囲のバケットをカバーしています。アプリケーション層パターン: テナントあたり1つのバケット、storage.objectsテーブルのRLSポリシー、PHI文書に対して短い有効期限(5~15分)の署名付きURL、不明瞭さを通じてであってもPHIへの公開URLを公開しないこと。署名付きURLのすべての読み取り/書き込みをaudit_logに監査します。
6. フォーム――月$99のJotForm Goldを使用してください。自分でビルドする前に。
PHI取得がフォームのみの場合、月額$99のJotForm Goldには追加コストなしでHIPAAが含まれています。iframeでフォームを埋め込めば、PHIはあなたのインフラに触れず、署名済みBAA、監査ログ記録されたフォームストレージを数時間で手に入れられます。Next.js + Supabaseでネイティブに HIPAA準拠フォームを構築するのは2~3週間のプロジェクトですが、JotFormなら月額$99で解決できます。カスタムビルドはフォームだけでは不十分な製品部分に取っておきましょう。JotForm Gold at $99/month includes HIPAA at no add-on cost. Embed the form via iframe, the PHI never touches your infrastructure, and you have signed-BAA, audit-logged form storage in an afternoon. Building HIPAA-compliant forms natively in Next.js + Supabase is a 2-3 week engagement that JotForm solves for $99 monthly. Save the custom build for the parts of your product where the form alone is not enough.
Supabase が HIPAA ワークロードに不適切な場合
- 監査人がすべてのPHIバイトを自社VPC内に置くことを要求する場合。Supabase HIPAAはBAA対象のマルチテナントインフラを提供しますが、VPC分離は提供しません。解決策はSupabase Enterprise(カスタム見積もり)専用インフラ、またはAWS RDSまたはAzure上で自社ホストされたPostgresです。
- HIPAAに加えてFedRAMPまたはStateRAMP対応が必要な場合。これらの認証はAzure / AWS GovCloud領域です。Supabaseは2026年中盤の時点でFedRAMP認可を取得していません。
- マルチリージョン患者データセットで10ms以下の読み取りレイテンシが必要な場合。Supabaseには読み取りレプリカがありますが、マルチリージョンのストーリーはCockroachDB + Vercel Edgeとカスタムレプリケーションのレベルにはまだ達していません。
- チームがPostgres運用経験ゼロで、ベンダー提供スキーマ、FHIR API、臨床意思決定支援を備えた完全マネージド臨床データベースが必要な場合。それはAidbox、Health Samurai、またはParticle Healthの領域であり、Supabaseではありません。
FAQ
Vercel HIPAA BAA の費用はいくら?
VercelのHIPAAビジネス提携契約は、Pro プランの月額$350アドオンで、エンタープライズ契約不要のダッシュボード内セルフサービスクリックスルーで署名できます。SAML SSOは別途月額$300のアドオンです。合わせて、Vercel Proの典型的なコンプライアンス設定は座席コスト前で月額$650かかります。Enterprise(年間中央値約$45,000)はBAA、SSO、Secure Computeをバンドルしています。
Supabase は HIPAA に準拠していますか?
はい、Team プラン(月額 $599)または Enterprise プランで、月額 $350 の HIPAA アドオンを追加し、ダッシュボード経由で署名された事業用関連者契約(Business Associate Agreement)があれば対応可能です。Supabase Free および Pro プランはいかなる設定でも HIPAA に対応していません。HIPAA アドオンなしで Supabase Pro プロジェクトに PHI を保存することは、行レベルセキュリティポリシーがいかに厳密であっても HIPAA 違反です。
Supabase Pro プランは HIPAA に準拠していますか?
いいえ。月額 $25 の Supabase Pro は HIPAA に対応せず、Supabase は Pro プランで BAA に署名しません。Supabase に PHI を保存するには、Team プラン(月額 $599)または Enterprise に加えて、月額 $350 の HIPAA アドオンが必要です。データベースレイヤーのみで月額約 $950 が最低となり、シート費用は別途発生します。
Vercel の BAA が Supabase もカバーしているのか、両方必要なのか?
両方が必要です。VercelのBAA契約はホスティング、ランタイム、エッジ、プラットフォームサービスをカバーします。SupabaseのBAA契約はデータベース、認証、ストレージ、およびSupabaseインフラストラクチャ上のEdge Functionsをカバーします。各ベンダーのBAA契約はそのベンダー独自のサービスのみをカバーします――ベンダー間のHIPAA継承は存在しません。PHIに触れるすべてのベンダー(リクエストパス内のサードパーティAPIを含む)それぞれとBAA契約に署名してください。
HIPAA ワークロード向けに Supabase Realtime を使用できますか?
はい、HIPAA アドオン付き Team プランであれば、Supabase Realtime は BAA の対象範囲内です。アプリケーションレイヤーの規則は引き続き適用されます。ブロードキャストチャネルに対して行レベルセキュリティを適用し、サブスクライバークライアントは Supabase Auth 経由で認証を行い、PHI ブロードキャストイベントはデータベースの直接読み取りと同様に監査テーブルにログする必要があります。
Supabase の pgvector と AI の HIPAA 対応はどうですか?
pgvector 機能は Supabase BAA の対象範囲内です。注意点は、外部 API(OpenAI、Anthropic、Voyage)を使用して PHI をベクトルに埋め込む場合、埋め込み呼び出しは Supabase の BAA 対象インフラを離れてサードパーティサービスに到達し、独自の BAA が必要になることです。OpenAI API は baa@openai.com からの BAA を備えたゼロリテンション エンドポイント経由で HIPAA をサポートしています。Anthropic の Claude は HIPAA に対応するため Enterprise プラン(通常年額 $50K 以上)が必要です。pgvector のベクトルストレージは BAA 対象であり、埋め込みパイプラインはエンドツーエンドで BAA に対応させることはあなたの責任です。
Supabase Edge Functions は BAA に基づく PHI 処理の対象となりますか?
はい。HIPAA アドオン付きの Team または Enterprise プランの Edge Functions は対象です。ただし注意点として、Edge Function から第三者 API への outbound fetch 呼び出しは、その第三者も BAA を締結していない限り対象外です。Edge Function が Stripe、Twilio、または Resend を呼び出す場合、その呼び出しが適切なコンプライアンスを満たすには、これらのベンダーそれぞれが HIPAA 対応ティアである必要があります。Supabase BAA は、その関数が呼び出す API には適用されません。
関連の読み物
2026年のHIPAA準拠アプリ――Next.js、WordPress、またはJotForm $99――3つのアーキテクチャパスすべてをカバーする親記事。 -- the parent post in this cluster covering all three architectural paths.
2026年にHIPAA BAA署名を実行するホスティングスタック――AWS、Azure、GCP、およびWordPress固有のHIPAAホストを含むより広範なホスティング比較。 -- broader hosting comparison including AWS, Azure, GCP, and the WordPress-specific HIPAA hosts.
WordPress Stack Advisor――あなたのURLを貼り付けるだけで、30秒で調整されたスタック推奨を取得します。医療関連の案件が本当にNext.js + Supabaseの全体構成が必要なのか、それともWordPress + JotFormでより安価に解決できるのかを検討している場合に便利です。 -- paste your URL, get a tailored stack recommendation in 30 seconds. Useful if you are weighing whether your healthcare brief actually needs the full Next.js + Supabase setup or whether the WordPress + JotForm path solves it cheaper.
医療アプリの開発が 6 週間目に進んでいるのに、「現在のスタックは HIPAA 対応ですか」という質問に簡潔に「はい」と答えられないのであれば、今後 30 分で解決できます。
30分間のHIPAAスタックコールを予約する――プロダクトについて説明し、現在のスタックを確認して、監査人に対して防御可能でかつあなたのステージに適した価格のHIPAAパスで退出できます。 -- describe the product, walk through your current stack, leave with a HIPAA path that is defensible to your auditor and priced for your stage.