HIPAA準拠のSupabase + Vercel 2026：月額700ドルのBAA対応セットアップ

ここ1週間、Supabaseが本当にHIPAA準拠なのかについてRedditの相反するスレッドを読んできたなら、短い答えはイエスです。ただし適切なプランで、適切なadd-onで、かつBAA署名後のみです。長い版では、ほとんどのチームが初回デプロイでこれを間違える理由と、2026年のスタックが実際に何を必要とするのかを説明します。

2025年に計算に変化をもたらした2つの事実があります。VercelがProチーム向けHIPAA BAAを月額350ドルのadd-onで提供開始し、Supabaseはダッシュボードからの自動セットアップによるHIPAA add-onを実装しました。組み合わせた費用——プラットフォーム層で月額700ドル——はついにHIPAA準拠のNext.js + SupabaseスタックをシリーズAプリセット段階のヘルスケアテック企業の手の届く範囲に入れました。2025年より前は、同じセットアップはVercel Enterprise（年額約45,000ドルの中央値）とSupabase Enterprise（カスタム価格設定、通常は同程度の層）が必要で、初期段階のチームのほとんどはAWSまたはAzureへと追いやられていました。

2026年にSupabaseはHIPAA準拠ですか？

2つの条件付きでイエスです。まず、Team plan（月額599ドル）またはEnterprise planにプラス月額350ドルのHIPAA add-onが必要です。FreeプランとProプランはどの価格帯でもHIPAAをサポートしていません。Supabaseの Proプラン（月額25ドル）は、どのような設定でもPHIを保存することはできません。次に、Supabaseと署名済みのBusiness Associate Agreement（BAA）が必要で、TeamおよびEnterpriseカスタムのダッシュボード経由で実行されます。

HIPAA add-onなしでSupabaseのProプロジェクトにPHIを保存することはHIPAA違反です。これはどれだけロックダウンされたRLSポリシーでも変わりません。BAA は技術的なセーフガードを機能させる契約層です。BAA がない場合は準拠ではありません。これはスタック内の他のベンダーでも同じルールです。

Supabase HIPAA アドオンが月額$350で実際に提供するもの

$350のアドオンはProプランにはない4つのものをカバーします。署名済みBAA、追加のセキュリティコントロール(監査ログ、IPホワイトリスト、MFA強制、ログ保持期間)、コンプライアンス対応ワークロード用の専有インフラ、そして独自の監査に必要なSupabaseのコンプライアンスドキュメンテーション一式へのアクセスです。

AES-256による保存時の暗号化、TLS 1.2+による転送時の暗号化 — Proと同じですが、BAA下で契約上スコープされています。
PHIにアクセスするログについてHIPAAの6年保持要件を満たすよう拡張された監査ログ保持期間。
データベースのポイントインタイムリカバリとバックアップはBAA下のスコープに含まれるため、バックアップから復元しても契約外になりません。
ストレージバケット、Auth、Edge Functions、Realtimeはすべてスコープ内です。HIPAAワークロード向けのフルプラットフォームを利用できます。
AI/Vector機能(pgvector)はスコープ内ですが、PHIをベクトルに埋め込む場合、埋め込み自体の暗号化体制とすべての外部埋め込みAPI呼び出しについて責任を負います。

フルスタック$700/月のHIPAA対応: Vercel + Supabase + 自身で構築する必要がある部分

2026年における防御可能なHIPAA対応Next.js + Supabaseスタックは、プラットフォームレイヤーで月額$700です — Vercel Pro BAA アドオンに$350、Supabase HIPAAアドオンに$350。この価格はVercel ProおよびSupabase Teamを利用していることを前提としており、BAA前の基本コストは両者合わせて月額約$620です。最低総額: 約$1,320/月、プラスシート、プラスHIPAA対応の任意のサードパーティサービス。

プラットフォームBAAsがカバーする範囲

ホスティング（Vercel）：エッジランタイム、Functions、ISR、画像最適化、ログ保持。Pro BAAはSecure Compute（分離ネットワーク、専有IP、VPCピアリング）を含まない — それはEnterpriseのみで年間約45,000ドルの中央値。
データベース、Auth、Storage、Realtime、Edge Functions（Supabase）：すべてBAAの対象範囲内。
DNS、CDN、ビルドパイプライン（Vercel）：対象範囲内。

プラットフォームのBAAがカバーしないもの — あなたの責任

アプリケーション層での監査ログ — PHIのすべての読み取り・書き込みは、独自の監査テーブルまたはSupabase Edge Functionを使用して別の保持隔離バケットに書き込む、HIPAA適格の外部ロガーのような場所に記録する必要があります。
認証とセッション管理 — BAAに対応したSupabase Authは認証情報の保存をカバーしますが、セッションハンドリングコード、ロールチェック、アイドルタイムアウト実行はアプリケーション層です。
エラーログ内のPHI — Sentry、Datadog、LogRocket、PostHogなど、個別のHIPAA層がない限り対象範囲外です（ほとんどは提供していますが、すべて追加料金）。Sentry HIPAA層はBusinessプラン（80ドル以上/席/月）に存在します。Datadog HIPAA アドオンはEnterpriseが必須。
メール — Resend、Postmark、SendGrid：各々独自のHIPAA層があります。Resend HIPAA対応は2025年にProプランで専用BAAとともにリリースされました。メール内で予約リマインダーやPHIを送信する前に確認してください。
サードパーティ統合 — PHIに接するすべての外部APIは独自のBAAが必要です。Stripe Health、Twilio HIPAA、JotForm Gold（HIPAA 99ドル/月を含む）、HubSpot Healthcare など。

HIPAA対応のNext.js + Supabaseセットアップを2026年にリリースする方法 — 実践的な手順

1. スキーマを書く前に、まずBAA(業務提携契約)に署名する

Vercel Proアカウントをセットアップし、ダッシュボードからHIPAA BAA アドオンを追加します。Supabase Teamアカウントをセットアップし、HIPAA アドオンをリクエストし、ダッシュボードからBAA に署名します。どちらもクリックスルー契約で、エンタープライズセールスコールではなく、PHIがインフラストラクチャに触れる前に両方とも完了する必要があります。先に構築してから後で署名すると、BAA前のストレージに入ったすべてのPHIバイトが違反になります。

2. PHI分離を念頭に置いてスキーマを設計する

PHIカラムを非PHIカラムから分離します。RLSポリシーはすべてのPHIテーブルに強制され、デフォルトポリシーは拒否です。機密性の高いフィールド(SSN、診断コード、メンタルヘルスノート)にはpgcryptoを使用して列レベルの暗号化を行います。BAA は保存時のAES-256をカバーしていますが、最も機密性の高いフィールドへの多層防御はあなたの監査人が質問する内容です。

3. すべてのPHIアクセスに対する監査ログ

HIPAA ではPHIのすべての読み取りと書き込みのログを記録し、6年間ログを保持する必要があります。Supabaseで機能するパターン: すべてのPHIタッチクエリがトリガーまたはEdge Functionを介して書き込む別のaudit_logテーブル。監査ログ自体はPHI隣接です。ユーザーID、タイムスタンプ、患者IDは保存されますが、監査行のPHI内容自体は保存されません。監査ログを運用データベースとは別の保持ポリシーで保持します。

4. HIPAA対応のセッション処理による認証

HIPAA アドオン付きのSupabase Auth はBAA の対象範囲内です。アプリケーション層の要件はあなたの責任です: アイドルタイムアウトセッション(通常、臨床ワークステーションでは15分、患者向けアプリでは30分)、臨床医アカウントのMFA強制、監査人が要求する場合はパスワードローテーションポリシー、保護されたすべてのルートに対する明示的なロールベースアクセス制御です。クライアント側ガードだけでなく、Next.jsミドルウェアをセッション確認に使用します。

5. PHI文書と画像のストレージ

HIPAA アドオン付きのSupabase Storage は署名付きURL アクセス、保存時暗号化、BAA対象範囲のバケットをカバーしています。アプリケーション層パターン: テナントあたり1つのバケット、storage.objectsテーブルのRLSポリシー、PHI文書に対して短い有効期限(5~15分)の署名付きURL、不明瞭さを通じてであってもPHIへの公開URLを公開しないこと。署名付きURLのすべての読み取り/書き込みをaudit_logに監査します。

6. フォーム — 自分で構築する前に、JotForm Gold（月額$99）を使用する

PHI取得がフォームのみの場合、月額$99のJotForm Goldには追加コストなしでHIPAAが含まれています。iframeでフォームを埋め込めば、PHIはあなたのインフラに触れず、署名済みBAA、監査ログ記録されたフォームストレージを数時間で手に入れられます。Next.js + Supabaseでネイティブに HIPAA準拠フォームを構築するのは2～3週間のプロジェクトですが、JotFormなら月額$99で解決できます。カスタムビルドはフォームだけでは不十分な製品部分に取っておきましょう。JotForm Gold at $99/month includes HIPAA at no add-on cost. Embed the form via iframe, the PHI never touches your infrastructure, and you have signed-BAA, audit-logged form storage in an afternoon. Building HIPAA-compliant forms natively in Next.js + Supabase is a 2-3 week engagement that JotForm solves for $99 monthly. Save the custom build for the parts of your product where the form alone is not enough.

Supabase が HIPAA ワークロードに不適切な場合

監査人がすべてのPHIバイトを自社VPC内に置くことを要求する場合。Supabase HIPAAはBAA対象のマルチテナントインフラを提供しますが、VPC分離は提供しません。解決策はSupabase Enterprise（カスタム見積もり）専用インフラ、またはAWS RDSまたはAzure上で自社ホストされたPostgresです。
HIPAAに加えてFedRAMPまたはStateRAMP対応が必要な場合。これらの認証はAzure / AWS GovCloud領域です。Supabaseは2026年中盤の時点でFedRAMP認可を取得していません。
マルチリージョン患者データセットで10ms以下の読み取りレイテンシが必要な場合。Supabaseには読み取りレプリカがありますが、マルチリージョンのストーリーはCockroachDB + Vercel Edgeとカスタムレプリケーションのレベルにはまだ達していません。
チームがPostgres運用経験ゼロで、ベンダー提供スキーマ、FHIR API、臨床意思決定支援を備えた完全マネージド臨床データベースが必要な場合。それはAidbox、Health Samurai、またはParticle Healthの領域であり、Supabaseではありません。

FAQ

Vercel HIPAA BAA の費用はいくら？

VercelのHIPAAビジネス提携契約は、Pro プランの月額$350アドオンで、エンタープライズ契約不要のダッシュボード内セルフサービスクリックスルーで署名できます。SAML SSOは別途月額$300のアドオンです。合わせて、Vercel Proの典型的なコンプライアンス設定は座席コスト前で月額$650かかります。Enterprise（年間中央値約$45,000）はBAA、SSO、Secure Computeをバンドルしています。

Supabase は HIPAA に準拠していますか？

はい、Team プラン（月額 $599）または Enterprise プランで、月額 $350 の HIPAA アドオンを追加し、ダッシュボード経由で署名された事業用関連者契約（Business Associate Agreement）があれば対応可能です。Supabase Free および Pro プランはいかなる設定でも HIPAA に対応していません。HIPAA アドオンなしで Supabase Pro プロジェクトに PHI を保存することは、行レベルセキュリティポリシーがいかに厳密であっても HIPAA 違反です。

Supabase Pro プランは HIPAA に準拠していますか？

いいえ。月額 $25 の Supabase Pro は HIPAA に対応せず、Supabase は Pro プランで BAA に署名しません。Supabase に PHI を保存するには、Team プラン（月額 $599）または Enterprise に加えて、月額 $350 の HIPAA アドオンが必要です。データベースレイヤーのみで月額約 $950 が最低となり、シート費用は別途発生します。

Vercel の BAA が Supabase もカバーしているのか、両方必要なのか？

両方必要です。Vercel の BAA はホスティング、ランタイム、エッジ、プラットフォームサービスをカバーします。Supabase の BAA はデータベース、認証、ストレージ、Supabase インフラストラクチャ上のエッジ関数をカバーします。各ベンダーの BAA は自社サービスのみをカバーします。ベンダー間の HIPAA 継承はありません。PHI に触れるベンダー（リクエストパス内のサードパーティ API を含む）それぞれと BAA に署名してください。

HIPAA ワークロード向けに Supabase Realtime を使用できますか？

はい、HIPAA アドオン付き Team プランであれば、Supabase Realtime は BAA の対象範囲内です。アプリケーションレイヤーの規則は引き続き適用されます。ブロードキャストチャネルに対して行レベルセキュリティを適用し、サブスクライバークライアントは Supabase Auth 経由で認証を行い、PHI ブロードキャストイベントはデータベースの直接読み取りと同様に監査テーブルにログする必要があります。

Supabase の pgvector と AI の HIPAA 対応はどうですか？

pgvector 機能は Supabase BAA の対象範囲内です。注意点は、外部 API（OpenAI、Anthropic、Voyage）を使用して PHI をベクトルに埋め込む場合、埋め込み呼び出しは Supabase の BAA 対象インフラを離れてサードパーティサービスに到達し、独自の BAA が必要になることです。OpenAI API は baa@openai.com からの BAA を備えたゼロリテンションエンドポイント経由で HIPAA をサポートしています。Anthropic の Claude は HIPAA に対応するため Enterprise プラン（通常年額 $50K 以上）が必要です。pgvector のベクトルストレージは BAA 対象であり、埋め込みパイプラインはエンドツーエンドで BAA に対応させることはあなたの責任です。

Supabase Edge Functions は BAA に基づく PHI 処理の対象となりますか？

はい。HIPAA アドオン付きの Team または Enterprise プランの Edge Functions は対象です。ただし注意点として、Edge Function から第三者 API への outbound fetch 呼び出しは、その第三者も BAA を締結していない限り対象外です。Edge Function が Stripe、Twilio、または Resend を呼び出す場合、その呼び出しが適切なコンプライアンスを満たすには、これらのベンダーそれぞれが HIPAA 対応ティアである必要があります。Supabase BAA は、その関数が呼び出す API には適用されません。

Pick your view

HIPAA準拠のSupabase + Vercelを2026年に実装する：月額700ドルで実際に機能するセットアップ