Amazon Bedrock を活用した Bluesight のエージェント型 AI ソリューション構築
Bluesight は Amazon Bedrock AgentCore を活用し、医療コンプライアンスの複雑なデータ統合と推論を自動化する「Prism」というユニファイド型エージェント AI ソリューションを開発・展開した。
キーポイント
医療コンプライアンスの課題とスケーラビリティ
340B ドッグ価格プログラムなどのコンプライアンス対応では、FDA や在庫データなど複数のソースを横断する手動監査に年間 4,000 時間以上が費やされており、620 以上の病院ネットワーク全体でこの問題が深刻化している。
Amazon Bedrock AgentCore を活用した Prism の開発
Bluesight は単一製品の AI プロトタイプから進化させ、Bedrock AgentCore を基盤とした「Prism」を構築し、複数の製品間でデータを推論・統合するユニファイドなエージェント AI として提供している。
実社会への導入と効果
2026 年 5 月に「ControlCheck」向けの Prism Assistant がローンチされ、既に 20 の医療システムで稼働しており、アナリストによる手動レポート作成の時間を大幅に削減している。
重要な引用
Proving that a Group Purchasing Organization (GPO) purchased drug qualifies for an exception requires cross-referencing each purchase against several sources at once.
For a single covered entity, this manual audit process consumes over 4,000 hours annually.
They wanted an AI layer that could reason over data from multiple systems at once and surface actionable insights without requiring analysts to manually stitch reports together.
影響分析・編集コメントを表示
影響分析
この記事は、生成 AI が単なるチャットボットやテキスト生成を超え、複雑な業務フローを自律的に推論・実行する「エージェント型 AI」として実社会で本格導入されつつあることを示す重要な事例です。特に AWS のインフラを活用することで、医療という厳格な規制下にある業界でもスケーラブルな自動化が可能になることが証明されており、今後他の業種における同様のトランスフォーメーションのモデルケースとなるでしょう。
編集コメント
医療コンプライアンスという極めて複雑でリスクの高い領域において、Agentic AI が実際に業務効率化に寄与している具体的な事例は貴重です。AWS の AgentCore を活用したアプローチが、単一機能の AI から横断的な推論を行うシステムへ進化するための鍵となっている点に注目すべきです。
この記事は、Bluesight の CTOである Vijay Venkatesh と共著です。
病院向けソフトウェアを開発している方ならご存知の通り、コンプライアンス対応は規模が拡大するほど非効率になりがちです。特に 340B ドラッグ・プライシング・プログラムへの対応を担う病院では、データの問題が複合化しています。グループ購買機関(GPO)で購入した薬品が例外適用の対象となることを証明するには、複数の情報源を同時に照合する必要があります。具体的には、食品医薬品局(FDA)の不足リスト、米国医療システム薬剤師協会(ASHP)のデータ、在庫の日数、機械学習(ML)による不足予測、そして数百の他病院からのバックオーダー信号などが対象となります。
単一の適用対象機関にとって、この手動監査プロセスには年間 4,000 時間以上が費やされます。これを 620 施設を超えるネットワーク全体に拡大すると、問題の規模がいかに甚大かが浮き彫りになります。
Bluesight は、在庫管理、調達、コンプライアンス対応を簡素化するインテリジェンスによって、病院や薬局の運営を支えています。Thoma Bravo のポートフォリオ企業である同社は、KitCheck、ControlCheck、CostCheck、340BCheck、ShortageCheck、PrivacyPro からなる製品群を提供し、全米に数千ものパートナーを抱えています。それぞれの製品は、コンプライアンスというパズルの異なるピースを解決する役割を果たしています。しかし顧客からは、製品間の壁を越えた機能への要望が相次ぎました。彼らが求めたのは、複数のシステムからデータを統合して推論し、アナリストが手動でレポートをつなぎ合わせる必要なく、即座に実行可能なインサイトを提供できる AI レイヤーです。
本稿では、Bluesight が 2 つの AWS エンゲージメントと Amazon Bedrock の AgentCore を活用し、単一の製品向け AI プロトタイプから、6 つの医療コンプライアンス製品を横断する統合型エージェント AI ソリューション「Prism」へと進化させたプロセスについて解説します。ControlCheck 向けの Prism Assistant は 2026 年 5 月にリリースされ、すでに 20 の医療システムで活用されています。また、より複雑な複数製品を横断するエージェント型ソリューションも、2026 年後半の提供に向けて順調に開発が進められています。
Bluesight がエージェント型 AI を目指すコンプライアンス上の課題
Bluesight における最初の AI の活用例は、薬物の不正転用(ドラッグ・ディバート)の検出です。ControlCheck は病院薬局における規制薬物の取引を監視し、高度な分析を通じて不正転用の可能性のあるパターンを検知します。従来、コンプライアンスチームはレポート作成や経営陣向けのビジネスレビューの執筆、そしてダッシュボード間での手動による信号の照合に膨大な時間を費やしていました。こうした分析を数秒で実行できる対話型インターフェースがあれば、病院の利用者やカスタマーサクセスチームにとって大きな時短になります。ただし、病院のコンプライアンスプログラムが求めるセキュリティと精度の基準を満たす必要があります。
2 つ目の課題は、より野心的なものでした。DSH(Disproportionate Share:不均衡負担率が高い施設)、PED(Children's:小児専門)、CAN(Free-Standing Cancer:独立系がんセンター)に分類される病院は、非 GPO チャネルで入手できないことが実証された場合を除き、GPO 契約を通じて外来用医薬品を購入することが禁止されています。この例外を証明するには、Bluesight の複数の製品からの証拠を同時に提示する必要があります。具体的には、CostCheck からの購入記録、ShortageCheck からの不足情報、そして 340BCheck からの 340B 制度の適用資格です。単一の製品だけで全体像を把握することはできませんでした。
両方のユースケースに共通していた制約は、アーキテクチャを初日から本番環境レベルのものにする必要があったことです。患者データは健康保険の携帯性と責任に関する法律(HIPAA)によって管理されています。病院のコンプライアンスチームには監査証跡が必要です。薬品購入の遵守について主張する AI システムは、重要な場面において説明可能で決定論的である必要があります。Bluesight が必要としたのは、新しいユースケースごとに再構築を余儀なくされる個別のソリューションではなく、再利用可能な AI アーキテクチャでした。
Amazon Bedrock AgentCore を基盤に
Bluesight が AWS を選んだ理由は、Amazon Bedrock AgentCore がゼロから構築する必要のない、本番環境対応のエンティティ型 AI インフラを提供していたからです。この選択を決定づけたのは、以下の 3 つの機能です。

*図 1. Amazon Bedrock AgentCore 上の Prism Assistant シングルエージェントアーキテクチャ。
第一に、Amazon Bedrock は HIPAA の対象となるサービス です。保護された医療情報を扱う医療企業にとって、これは譲れない条件でした。Bluesight は AWS と業務提携契約(BAA)を締結しており、Amazon Bedrock で処理される顧客データは基盤モデルの学習には使用されません。この規制遵守とデータプライバシーの両立が、チームにエージェントを実際の病院データに接続する自信を与えました。
第二に、AgentCore Runtime は、セッションの分離機能を持つ安全なサーバーレスホスティングを提供します。これは複数の病院が同時にシステムにアクセスする際に不可欠な要件です。また、AgentCore Gateway を利用すれば、既存のプロダクト API をエージェントが発見して呼び出せる Model Context Protocol (MCP) 準拠のツールに変換できます。これには組み込みの認証と暗号化機能も含まれています。つまり、ゼロから独自のカスタム統合インフラを構築することなく、3 つのプロダクトにまたがる生データソースへエージェントを接続することが可能になりました。
第三に、AgentCore の「エージェント間通信」パターンは、GPO 禁止というユースケースで Bluesight が必要としていたアーキテクチャと一致しています。調整役となるエージェントが、専門的なデータ処理ワーカーにタスクを委任します。具体的には、1 つのエージェントが CostCheck の購入記録を検索し、別のエージェントが ShortageCheck の在庫データを照会、さらに 3 つ目のエージェントが 340B プログラムの適格性を検証します。AgentCore Runtime は、責任範囲の明確な分離と実行チェーン全体にわたる可観測性を実現することで、こうしたマルチエージェントのパターンを適切にサポートしています。
コントロールチェックのプロトタイプから本番環境へ、9 か月で実現
2025 年 9 月、Bluesight は AWS と「EBA(Experience-Based Acceleration)」プログラムを通じて提携し、3 日間の集中スプリントを実施しました。このプロジェクトの目的は、生データにクエリを実行して視覚的なレポートを生成できる、会話型の薬物転用分析エージェントを「ControlCheck」に構築することでした。
8 人の Bluesight エンジニアと 7 人の AWS プロフェッショナルで構成される 15 名のチームは、Amazon Bedrock 上の AgentCore Runtime で動作する Strands Agents を活用し、機能するエージェントを完成させました。AgentCore Gateway を介して ControlCheck の API 10 以上を MCP サーバーとして接続し、チャート生成機能を備えたフロントエンドを開発。さらに、パフォーマンスの監視やコストの属人化(アトリビューション)を実現するための観測性(オバザビリティ)も実装しました。
アーキテクチャ上の重要な判断の一つは、AI の推論層とデータ層を分離した点です。エージェントに生データベースを直接公開するのではなく、既存の ControlCheck API エンドポイントを AWS Lambda 関数でラップし、エージェントが扱いやすい構造化データを返す形に変更しました。これにより、クエリの応答時間を従来の 5 分から 10 秒に短縮。また、ビジネスロジックは本来あるべきアプリケーション層に保持され続けました。エージェントの役割は、ユーザーの質問を解釈し、ツールの呼び出しを調整し、結果を明確に提示することです。
デモ終了後、ブルースイットの製品管理ディレクターであるサミール・ネイージ氏は断言しました。「100% 以上、これはダイバーションプログラム(薬物流転防止プログラム)の販売を劇的に支援します」と。彼は翌週の月曜日にも顧客にこの機能を披露したいと考えていました。
「医療業界はコンプライアンス、データセキュリティ、スケーラビリティにおいて極めて高い基準が求められます。AWS との協力により、これらすべてを同時に処理できるアーキテクチャを実現できました」とブルースイットの CTO、ヴィジャイ・ベンカテシュ氏は語ります。「その基盤の上に、ブルースイット独自のドメイン知識と独自データを組み合わせることで、日々のコンプライアンス業務に従事する顧客にとって真に有用な機能となっています。」
EBA(Enterprise Business Agreement)により、ブルースイットは初日から本番環境で運用可能なアーキテクチャを手に入れました。仮想プライベートクラウド(VPC)内で展開され、完全な暗号化が施されています。認証、観測性(オバザビリティ)、そしてインフラストラクチャー・アズ・コードも既に整備済みです。アーキテクチャの転換を余儀なくされることもなければ、後で解消しなければならない技術的負債も発生しませんでした。
Prism Assistant は、ブルースイットが全製品にわたる社内 AI 機能として統一して掲げているブランド名です。この 3 日間のスプリントから本番環境での一般提供まで、わずか 9 ヶ月未満で達成しました。通常であれば、探索的な AI 開発に 12〜18 ヶ月を要するところを、驚異のスピードで実現したのです。
Prism を通じた多製品統合知能への拡張
2026 年 3 月、ブルースイットは再び EBA に取り組みました。今回はより野心的な目標が掲げられました。複数の製品にまたがるオーケストレーションを行うエージェント型 AI ソリューションを構築し、GPO(一般販売禁止リスト)の禁止事項に関するコンプライアンス監査を自動化することです。

*図 2. GPO 禁止事項対応のマルチエージェント・オーケストレーションアーキテクチャ*
最初の EBA で確立された参照アーキテクチャとパターンは、開発期間を大幅に短縮しました。ControlCheck の構築に 3 日間の集中した作業が必要だったものが、Prism では再利用可能なインフラストラクチャとして機能しています。チームは「エージェントの挙動とインフラ」「データワーカーとツール」「UX/フロントエンド」の 3 つのワークストリームに分かれて活動し、基盤となるパターンがすでに実証済みであるため、迅速に開発を進めることができました。
こうして完成した Prism のアーキテクチャでは、主要モデルとして Claude Sonnet 4.6 を採用し、高速処理には Claude Haiku 4.5 を使用します。これらはすべて Amazon Bedrock 上で動作しており、AgentCore Runtime は VPC 内のプライベートサブネットにデプロイされています。AgentCore Gateway が Lambda ベースのツールを CostCheck、ShortageCheck、340BCheck の各データソースと接続しています。また、GPO に特化したオーケストレーターエージェントが、特定の製品ドメインから証拠を集める役割を持つ専門的なデータワーカーエージェントたちと連携して動作します。
コンプライアンスの判定結果は、単なる大規模言語モデル(LLM)の意見ではありません。Bluesight は 13 の証拠信号と優先度に基づくマッチング、設定可能な時間窓を組み合わせた決定論的なスコアリングパイプラインを構築しました。LLM がデータ収集やレポート生成を指揮する一方で、スコアリングロジック自体はルールベースで監査可能です。これは規制当局に対して手法の根拠を示す必要がある病院のコンプライアンスプログラムにおいて、極めて重要な区別です。
フルシステムは 1 日目終了までに接続され稼働状態となりました。2 日目には計画された全機能が動作確認済みでした。3 日目は仕上げと探索的テストに充てられ、Bluesight の事業関係者および AWS のエグゼクティブスポンサー向けにデモを行いました。EBA(評価期間)における合成データでのテストでは、エージェントは請求書の検出率 100% と証拠の正当化精度 93% を達成し、目標としていた 85% を大きく上回りました。
「2 回目のエンゲージメントでは、より大きな問いを投げかけました。単に『別のエージェントが作れるか』ではなく、『プラットフォームを構築できるか』です」とベンカテシュは語ります。「つまり、アーキテクチャをさらに押し広げ、最初のエンゲージメントでは試されなかったような、製品横断型のコンプライアンスワークフローに対してストレステストを行う必要がありました。それが機能し、しかも高速で動作したことが、プリズムを単なるアイデアから、実際に構築にコミットできるビジョンへと変えたのです」
AWS チームとの協働は素晴らしかったです。試行錯誤の道筋と、確立されたパターンに従うことへの導きのおかげで、予想以上の進捗を遂げることができました。EBA(早期ビルドアプローチ)のプロセスがなければ、これほどまでに質の高いデモは実現できなかったでしょう」と、Bluesight のシニアエンジニアリングマネージャーである Steve Hodges 氏は語ります。
「3 日間にわたり、多くの優秀な人材を一つの目標に向かって同じ部屋に集めれば、驚くべき成果を生み出せるものです」と、Bluesight の CostCheck 担当ゼネラルマネージャーである AJ Rivosecchi 氏も付け加えます。
本番環境におけるセキュリティとコンプライアンス
エンジェント AI(自律型 AI)の導入を検討する医療機関にとって、セキュリティは後から追加する機能ではありません。最初から設計上の制約条件として組み込まれるべきものです。Bluesight のアーキテクチャでは、この課題をすべてのレイヤーで解決しています。
Amazon Bedrock が提供する HIPAA 適合性と BAA(業務委託契約)の対応は、エージェントが処理する患者関連データのコンプライアンス対策を支える重要な要素です。ただし、AWS の共有責任モデルの下では、組織自身がコンプライアンス評価を行う責任を負う必要があります。AgentCore Runtime は VPC 内のプライベートサブネットとセキュリティグループ内でデプロイされ、エージェントとデータソース間の通信を制御されたネットワーク境界内に閉じ込めます。
認証と認可は Amazon Cognito が担当し、OAuth2 クライアント資格情報のフローと JSON Web Token(JWT)の検証を行います。これにより、データへのアクセスが発生する前に、すべてのエージェントリクエストが正しく認証・承認されます。
AWS Key Management Service (AWS KMS) は、保存時および転送中のデータの暗号化鍵を管理します。AWS Secrets Manager は、下流のサービス接続に必要な認証情報を扱います。Amazon CloudWatch は、エージェントの実行チェーン全体にわたってダッシュボード、アラート、メトリックフィルタを提供します。すべてのエージェントの判断、ツール呼び出し、データアクセスはログに記録され、追跡可能です。
この観測機能層は単なる運用ツールの類ではありません。病院のコンプライアンスプログラムでは、どのようにしてコンプライアンス判定に至ったのかを明確に示す必要があります。具体的には、どのデータソースを参照したか、どのような証拠を集めたか、そして評価基準がどう適用されたかを提示できなければなりません。これは「あれば便利」というレベルの話ではなく、規制上の必須要件です。決定論的なスコアリングロジックと包括的な監査証跡を組み合わせることで、AI 支援による判定が正当性を保てることをコンプライアンスチームは確信できます。
「当社の病院顧客にとって、セキュリティは最優先事項です」と Bluesight の CTO、Vijay Venkatesh は語ります。「顧客は、いかなる AI ソリューションを採用する前に、データが HIPAA に準拠して保護されていることを知る必要があります。Amazon Bedrock の HIPAA 適合性と、AgentCore に組み込まれたネットワーク分離により、私たちは初日からコンプライアンスチームに自信を持って提示できるセキュリティ体制を構築できました。」
結果
プリズム・アシスタントの早期導入者たちは、すでに日々の業務フローにおいて計測可能な改善効果を実感し始めています。Bluesight が 20 の医療システムを対象に内部で実施した測定データによると、ダイバーションチーム(転送対応チーム)は、従来のプロセスと比較してレポート作成やデータ分析が最大 97% 高速化されたことを報告しています。
- 定期レポートの完了時間が 96% 短縮され、手作業での組み立てに要していた約 6 時間から 15 分へと劇的に短縮されました。
- 事前調査のためのトリアージ(選別)にかかる時間が 90% 削減され、3 時間から約 10 分に短縮されました。
- 規制薬物のばらつき分析が 97% 高速化され、従来 30 分かかっていたものが 1 分未満で完了するようになりました。
プリズム・アシスタントの個別指標を超えて、今回の 2 つの導入事例では、ソリューション全体として複合的な価値が生まれています。
最初のエージェントを本番環境に導入するまでの開発期間が、通常 12〜18 か月かかるものを 9 ヶ月未満に圧縮しました。
合成テストデータを用いた検証では、請求書発見率が 100% を達成。GPO エージェントが関連する購入案件をすべて特定できることを証明しています。
また、証拠の妥当性判断精度も 93% に達し、目標としていた 85% を上回りました。
これにより、年間 4,000 時間以上に及ぶ手作業によるコンプライアンス対応を削減する見込みです。
さらに、最初のプロジェクトで構築したアーキテクチャを流用したことで、2 つ目のエージェントも驚くほど短期間で開発できました。
本ソリューションは設計段階からスケーラビリティを考慮しており、Bluesight のネットワーク内にある 2,000 施設以上の病院へ拡張可能です。
「両方の EBA(エンタープライズ・ビジネス・アライメント)がもたらした市場投入までの期間短縮は、従来の開発手法では不可能だったものです」とベンカテシュ氏は語ります。「最初のプロジェクトで得たスピード感と堅牢な基盤。そして、その基盤を応用すれば、驚くほど短期間で高度なマルチプロダクト機能を実装できるという証明ができました。アーキテクチャの専門知識、技術検証、そして複数のソリューションアーキテクトがチームと共に作業した AWS のパートナーシップモデルこそが、この二つの成果を可能にした加速剤だったのです。」
Prism の今後の展望
Prism は Bluesight の全 6 つのプロダクトに跨る統一された AI レイヤーです。GPO プロhibition エージェントは 2026 年後半のリリース予定で、初のマルチプロダクトソリューションとなります。一方、ControlCheck 向けの「Prism Assistant」はすでに公開され、18 の医療システムで活用されています。
近未来の計画として、チームは評価スイートを拡張中であり、エッジケースや回帰テストを含む 3〜15 のテストケースをカバーする範囲に広げています。同時に、GPO エージェントの本番環境への展開を完了し、病院運営者やコンプライアンス担当者からのフィードバック収集を進めています。
より長期的には、Bluesight はエージェント間アーキテクチャを、340B 制度における材料の違反特定、ワークフローのトリアージ、自動監査準備といった追加のコンプライアンスユースケースへ拡張する計画です。620 以上の病院にまたがるクロス顧客データネットワークは、最大 2,000 院まで拡張可能であり、このネットワークがソリューションに参加する病院が増えるほど、証拠層としての価値を高めます。このネット効果と再利用可能なエージェントアーキテクチャを組み合わせることで、Prism は時間とともに価値が蓄積されるインフラストラクチャーとして位置づけられています。
結論
Bluesight が単一製品の AI プロトタイプからマルチプロダクトのアジェンシー型ソリューションへと進化するには 9 か月を要しました。Amazon Bedrock AgentCore が、ランタイムやゲートウェイ、メモリ、観測機能を含む本番環境インフラを提供したおかげで、エンジニアリングチームは AI インフラの構築に時間を割くことなく、医療ドメイン固有のロジック開発に集中できました。EBA モデルが築いたアーキテクチャ基盤は、両方のプロジェクトを通じて価値を蓄積し、セキュリティファーストな設計思想が病院顧客に対してコンプライアンスワークフローでの AI 導入への信頼をもたらしました。
規制の厳しい業界向けにエージェント型 AI を構築する場合は、Bluesight が採用した基盤をそのまま活用できます。まずは Amazon Bedrock AgentCore を探索し、Amazon Bedrock コンソール にアクセスして、ご自身のアカウントで試してみましょう。
最初のエージェントは、AgentCore のドキュメント と Strands Agents フレームワークを使って構築し、Amazon Bedrock AgentCore サンプルリポジトリ でエンドツーエンドのサンプルコードも確認できます。AWS におけるエージェントの詳細については、「Building h
原文を表示
*This post is co-written with Vijay Venkatesh, CTO at Bluesight.*
If you build software for hospitals, you know that compliance work scales poorly. Hospitals managing 340B Drug Pricing Program compliance face a compounding data problem. Proving that a Group Purchasing Organization (GPO) purchased drug qualifies for an exception requires cross-referencing each purchase against several sources at once. These include Food and Drug Administration (FDA) shortage lists, American Society of Health-System Pharmacists (ASHP) data, days-on-hand inventory, machine learning (ML) based shortage predictions, and backorder signals from hundreds of other hospitals. For a single covered entity, this manual audit process consumes over 4,000 hours annually. Multiply that across a network of over 620 hospitals, and the scale of the problem becomes clear.
Bluesight powers hospital and pharmacy operations with intelligence that simplifies inventory management, procurement, and compliance. As a Thoma Bravo portfolio company, Bluesight offers a product suite of KitCheck, ControlCheck, CostCheck, 340BCheck, ShortageCheck, and PrivacyPro that serves thousands of partners across the United States. Each product solves a distinct piece of the compliance puzzle. But customers kept asking for something that cut across product boundaries. They wanted an AI layer that could reason over data from multiple systems at once and surface actionable insights without requiring analysts to manually stitch reports together.
In this post, we describe how Bluesight used two AWS engagements and Amazon Bedrock AgentCore to evolve from a single-product AI prototype to Prism, a unified agentic AI solution spanning six healthcare compliance products. Prism Assistant for ControlCheck launched in May 2026 and is already in use by 20 health systems. A more complex multi-product agentic solution is on track for later in 2026.
The compliance challenges driving Bluesight toward agentic AI
Bluesight’s first AI opportunity was in drug diversion detection. ControlCheck monitors controlled substance transactions across hospital pharmacies, flagging potential diversion patterns through sophisticated analytics. Compliance teams were spending hours compiling reports, writing executive business reviews, and manually correlating signals across dashboards. A conversational interface that could perform this analysis in seconds would save hospital users and customer success teams enormous amounts of time. But it had to meet the security and accuracy standards that hospital compliance programs demand.
The second challenge was more ambitious. Hospitals classified as DSH (Disproportionate Share), PED (Children’s), or CAN (Free-Standing Cancer) are prohibited from purchasing outpatient drugs through GPO contracts unless the drug is genuinely unavailable through non-GPO channels. Proving that exception requires evidence from multiple Bluesight products at once: purchase records from CostCheck, shortage data from ShortageCheck, and 340B eligibility from 340BCheck. No single product had the full picture.
Both use cases shared a common constraint: the architecture had to be production-grade from day one. Patient data is governed by the Health Insurance Portability and Accountability Act (HIPAA). Hospital compliance teams need audit trails. Any AI system making claims about drug purchasing compliance must be explainable and deterministic where it matters. Bluesight needed a reusable AI architecture, not one-off solutions that would require rebuilding for each new use case.
Building on Amazon Bedrock AgentCore
Bluesight chose AWS because Amazon Bedrock AgentCore provided production-grade agentic AI infrastructure without requiring the team to build it from scratch. Three capabilities were decisive in this choice.

*Figure 1. Prism Assistant single-agent architecture on Amazon Bedrock AgentCore.*
First, Amazon Bedrock is HIPAA-eligible. For a healthcare company handling protected health information, this was non-negotiable. Bluesight operates under a Business Associate Agreement (BAA) with AWS, and customer data processed by Amazon Bedrock isn’t used to train foundation models (FM). This combination of regulatory compliance and data privacy gave the team confidence to connect agents to live hospital data.
Second, AgentCore Runtime provides secure, serverless hosting with session isolation, which is critical when multiple hospitals query the system concurrently. AgentCore Gateway transforms existing product APIs into Model Context Protocol (MCP) compatible tools that agents can discover and invoke, with built-in authentication and encryption. This meant connecting agents to live data sources across three products without building custom integration infrastructure from the ground up.
Third, the agent-to-agent communication pattern in AgentCore matched the architecture Bluesight needed for the GPO prohibition use case. A coordinating agent delegates to specialized data workers. One queries CostCheck purchase records, another checks ShortageCheck availability data, and a third validates 340B eligibility. AgentCore Runtime supports this multi-agent pattern with proper separation of concerns and observability across the full execution chain.
From ControlCheck prototype to production in nine months
In September 2025, Bluesight partnered with AWS through the EBA (Experience-Based Acceleration) program for a three-day intensive sprint. The objective was to build a conversational drug diversion analyst for ControlCheck that could query live data and generate visual reports.
The team of 15, made up of eight Bluesight engineers and seven AWS professionals, built a functioning agent with Strands Agents on Amazon Bedrock, hosted on AgentCore Runtime. They connected over 10 ControlCheck APIs through AgentCore Gateway as MCP servers, built a frontend with chart generation, and implemented observability for performance monitoring and cost attribution.
A key architectural decision was separating the AI reasoning from the data layer. Rather than exposing raw databases to the agent, the team wrapped existing ControlCheck API endpoints in AWS Lambda functions that returned structured, agent-optimized data. This reduced query latency from 5 minutes to 10 seconds and kept business logic in the application layer where it belonged. The agent’s job was to interpret user questions, orchestrate tool calls, and present results clearly.
After the demo, Samir Neyazi, Director of Product Management at Bluesight, was unequivocal: “110 percent yes, this exceedingly helps diversion program sales.” He wanted to show it to customers the following Monday.
“Healthcare sets a high bar on compliance, data security, and scale. Our collaboration with AWS resulted in an architecture that could handle all of that at once,” says Vijay Venkatesh, CTO at Bluesight. “Built on that foundation, Bluesight’s domain expertise and proprietary data make the feature genuinely useful to the customers performing compliance work every day.”
The EBA gave Bluesight an architecture ready for production from day one. It was deployed in a virtual private cloud (VPC), fully encrypted, with authentication, observability, and infrastructure-as-code already in place. No architectural pivots were needed, and no technical debt accumulated that would need unwinding later. Prism Assistant is Bluesight’s unified branding for in-app AI across all products. It went from that three-day sprint to production general availability in under nine months. That timeline would typically take 12–18 months of exploratory AI development.
Scaling to multi-product intelligence with Prism
In March 2026, Bluesight returned for a second EBA. This time the goal was more ambitious: build an agentic AI solution that orchestrates across multiple products to automate GPO prohibition compliance auditing.

*Figure 2. GPO prohibition multi-agent orchestration architecture.*
The reference architecture and patterns from the first EBA significantly reduced development time. What took three days of intensive work to establish for ControlCheck became reusable infrastructure for Prism. The team organized into three workstreams, covering agent behavior and infrastructure, data workers and tools, and UX/frontend, and moved fast because the foundational patterns were already proven.
The resulting Prism architecture runs Claude Sonnet 4.6 as the primary model and Claude Haiku 4.5 for fast operations, both on Amazon Bedrock through AgentCore Runtime deployed in a VPC with private subnets. AgentCore Gateway connects Lambda-backed tools to CostCheck, ShortageCheck, and 340BCheck data sources. A GPO-specific orchestrator agent coordinates with specialized data worker agents, each responsible for gathering evidence from a specific product domain.
The compliance determination itself is not a large language model (LLM) opinion. Bluesight built a deterministic scoring pipeline with 13 evidence signals, priority-based matching, and configurable temporal windows. The LLM orchestrates data gathering and report generation, but the scoring logic is rule-based and auditable. This is a critical distinction for hospital compliance programs that must demonstrate their methodology to regulators.
The full system was connected and operational by end of Day 1. Every planned feature was working by end of Day 2. Day 3 focused on polish, exploratory testing, and a demo to Bluesight business stakeholders and AWS executive sponsors. The agent achieved 100 percent invoice discovery rate and 93 percent evidence justification accuracy on synthetic data during the EBA, exceeding the 85 percent target.
“We returned for the second engagement with bigger questions. Not just ‘can we build another agent,’ but ‘can we build a platform,’” says Venkatesh. “That meant pushing the architecture further and stress-testing it against a compliance workflow that crosses product boundaries in ways the first engagement never did. The fact that it worked, and worked fast, is what turned Prism from an idea into a vision we could actually commit to building.”
“The whole AWS team was great to work with. We made way more progress than I’d hoped, and that was thanks to your team guiding us on both trying things and following patterns. We wouldn’t have had as good of a demo without the EBA process,” says Steve Hodges, Sr. Engineering Manager at Bluesight.
“It’s amazing what you can accomplish when you put a bunch of smart people working towards a single goal in a room together for three days,” adds AJ Rivosecchi, CostCheck General Manager at Bluesight.
Security and compliance in production
For healthcare organizations evaluating agentic AI, security is not a feature to add later. It’s a design constraint from the start. Bluesight’s architecture addresses this at every layer.
The HIPAA eligibility and BAA coverage of Amazon Bedrock help support compliance efforts for patient-adjacent data processed by agents. However, organizations remain responsible for their own compliance assessment under the AWS shared responsibility model. AgentCore Runtime deploys within a VPC using private subnets and security groups, keeping all communication between agents and data sources within a controlled network boundary. Amazon Cognito handles OAuth2 client credentials flow with JSON Web Token (JWT) validation, authenticating and authorizing each agent request before any data access occurs.
AWS Key Management Service (AWS KMS) manages encryption keys for data at rest and in transit. AWS Secrets Manager handles credentials for downstream service connections. Amazon CloudWatch provides dashboards, alarms, and metric filters across the full agent execution chain. Every agent decision, tool invocation, and data access is logged and traceable.
This observability layer isn’t only operational tooling. Hospital compliance programs must be able to demonstrate exactly how a compliance determination was reached. That means showing which data sources were consulted, what evidence was gathered, and how the scoring rubric was applied. This is a regulatory requirement, not a nice-to-have. The combination of deterministic scoring logic and comprehensive audit trails gives compliance teams confidence that AI-assisted determinations are defensible.
“Security is paramount for our hospital customers,” says Vijay Venkatesh, CTO at Bluesight. “Our hospital customers need to know their data is protected under HIPAA before they’ll adopt any AI solution. Amazon Bedrock’s HIPAA eligibility and the network isolation built into AgentCore gave us a security posture we could confidently present to compliance teams from day one.”
Results
Early adopters of Prism Assistant are already seeing measurable improvements in their daily workflows. Based on Bluesight’s internal measurements across 20 health systems, diversion teams report up to 97% faster report generation and data analysis compared to their previous processes:
- Recurring reports completed 96 percent faster, dropping from approximately six hours of manual assembly to 15 minutes.
- Pre-investigation triage time decreased by 90 percent, from three hours to roughly 10 minutes.
- Controlled substance variance analysis completed 97 percent faster, from 30 minutes to under a minute.
Beyond the Prism Assistant metrics, the two engagements delivered compounding value at the solution level:
- 12–18 months of typical AI development compressed to under 9 months for the first agent to reach production.
- 100 percent invoice discovery rate on synthetic test data, meaning every relevant purchase is identified by the GPO agent.
- 93 percent evidence justification accuracy on synthetic test data, exceeding the 85 percent target.
- Over 4,000 hours of annual manual compliance work targeted for removal.
- Second agent built in a fraction of the time by reusing the first engagement’s architecture.
- Solution designed to scale to over 2,000 hospitals across Bluesight’s network.
“The two EBAs delivered extraordinary time-to-market acceleration that wouldn’t have been possible through traditional development,” says Venkatesh. “The first gave us speed and a solid foundation. The second proved we could apply that foundation to deliver sophisticated multi-product capabilities in a fraction of the time. The AWS partnership model, which brought architectural expertise, technology validation, and multiple Solutions Architects working alongside our team, was the accelerant that made both outcomes possible.”
What’s next for Prism
Prism is Bluesight’s unified AI layer across all six products. The GPO prohibition agent is the first multi-product solution, coming later in 2026, while Prism Assistant for ControlCheck is already released and in use by 20 health systems.
Near-term, the team is expanding the evaluation suite from over 3–15 test cases covering edge cases and regression scenarios. The team is also completing production deployment of the GPO agent and gathering feedback from hospital operators and compliance teams.
Longer-term, Bluesight plans to extend the agent-to-agent architecture to additional compliance use cases: 340B material breach identification, workflow triage, and automated audit preparation. The cross-customer data network spanning over 620 hospitals, expandable to over 2,000, provides an evidence layer that grows more valuable with each hospital that joins the solution. This network effect, combined with the reusable agent architecture, positions Prism as infrastructure that compounds in value over time.
Conclusion
Bluesight’s path from a single-product AI prototype to a multi-product agentic solution took nine months. Amazon Bedrock AgentCore provided the production infrastructure, including runtime, gateway, memory, and observability. With it, the engineering team could focus on healthcare domain logic rather than building AI infrastructure. The EBA model created architectural foundations that compounded in value across both engagements, and the security-first design gave hospital customers confidence to adopt AI for compliance workflows.
If you’re building agentic AI for a regulated industry, you can start from the same primitives Bluesight used. Explore Amazon Bedrock AgentCore and open the Amazon Bedrock console to try it in your own account. Build your first agent with the AgentCore documentation and the Strands Agents framework, and browse end-to-end examples in the Amazon Bedrock AgentCore samples repository. To go deeper on agents on AWS, see Building h
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み