AWSが2026年6月16日、医療機関が生成AIを米国の医療情報保護法(HIPAA)に準拠して本番運用するための、7層からなる参照アーキテクチャを公開した。境界防御、HIPAA適格な基盤、医療情報の秘匿化、FHIRデータ基盤、根拠に基づく検索生成、エージェント配備、統制と監査の7層で構成され、各層は独立して採用できる。

設計の核心は多層防御(defense in depth)で、1か所が壊れても患者の電子的医療情報(ePHI)の保護が損なわれない点にある。Amazon BedrockはHIPAA適格で、顧客が事業提携契約(BAA)に署名すればePHIを処理でき、AIエージェント構築サービスのAmazon Nova Actも約1か月前にHIPAA適格を取得した。HIPAAは送信時・保存時の暗号化、監査記録、最低6年間の文書保持を求める。

ただしAWSは、適格サービスを使うだけで法令準拠になるわけではなく、AWSと顧客の責任共有だと明記した。回答への患者識別情報の漏えい、投薬量や検査値の捏造、患者セッションの混線、監査記録の欠落といった医療固有のリスクを層ごとに切り分けて防ぐ設計になっている。