Supabase は HIPAA に準拠していますか?
Supabase は HIPAA 規制対象のアプリに使えます。有料プランで HIPAA 準拠のティアを提供し、Business Associate Agreement(BAA)に署名してくれます。しかし、プラットフォームが HIPAA に対応できることは、あなたのアプリが準拠していることを意味しません。行レベルセキュリティ、アクセス制御、暗号化、監査ログ、データの取り扱いを正しく設定するのは、依然としてあなたの責任です。Supabase での HIPAA は共同責任です。
- HIPAA に対応できる?
- はい。署名済み BAA 付きの有料プランで
- BAA は利用可能?
- はい。対象となる有料ティアで
- あなたの責任
- RLS、アクセス制御、暗号化、ロギング、PHI の取り扱い
- 無料ティア
- PHI には不適。BAA なし
Supabase が HIPAA のために提供するもの
対象となる有料プランでは、Supabase は BAA に署名し、HIPAA が期待するインフラ面の制御を提供します。転送中および保存時の暗号化、アクセス制御、そして準拠した構成で運用する能力です。これにより Supabase は、保護対象保健情報(PHI)を扱うヘルスケアアプリの正当なバックエンドになります。
依然としてあなたの責任であるもの
BAA はプラットフォームをカバーするものであり、あなたのアプリケーションではありません。PHI が誤ったユーザーに決して読み取られないよう行レベルセキュリティを有効化し正しくスコープすること、service-role キーをサーバー側に保つこと、すべてのエンドポイントで認可を強制すること、監査ログを有効化すること、そして PHI がログ、解析、クライアントバンドルに漏れないようにすることが必要です。ほとんどの「Supabase HIPAA」の失敗は、プラットフォームの欠陥ではなく、アプリレベルの設定ミスです。
バイブコーディングされたヘルスケアアプリのための HIPAA
AI ビルダーでヘルスケアアプリを作ったなら、特に注意してください。生成されたアプリは、開いたままの RLS や露出したキーを頻繁に出力します。これは PHI には許容できません。実際の患者データを扱う前に、アクセス制御をエンドツーエンドで検証し、セキュリティレビューを受けてください。無料スキャンなら、PHI が現在露出しているかどうかが数分でわかります。
ローンチ前に、クリアランスを取得しましょう。
早期アクセスのリストに参加してください。デプロイ済みのアプリがあり、カレンダーにローンチ日が入っている創業者を優先します。
よくある質問
- Supabase の無料ティアは HIPAA に準拠していますか?
- いいえ。HIPAA には署名済み BAA が必要で、Supabase はそれを対象となる有料プランでのみ提供します。無料ティアに PHI を保存しないでください。
- BAA に署名すれば、私の Supabase アプリは HIPAA に準拠しますか?
- いいえ。BAA はプラットフォームをカバーします。あなたのアプリが準拠するのは、RLS、アクセス制御、暗号化、ロギングを正しく設定し、スタック全体で PHI を適切に扱う場合に限られます。