AWS と Bluesight が病院の 340B コンプライアンス向け AI を構築
AWS と Bluesight は、病院の薬局業務における 340B コンプライアンス対応を自動化する AI レイヤー「Prism」を開発し、ControlCheck エージェントが一般利用可能となった。
キーポイント
340B コンプライアンスの自動化実現
従来、年間 4,000 時間以上を要していた手動でのデータ照合プロセスを AI が代替し、クエリ応答時間を 5 分から 10 秒に短縮した。
API ラッパーによる安全な AI 実装
言語モデルが直接データベースにアクセスするリスクを回避するため、既存 API を AWS Lambda でラップし、構造化データのみを提供する設計を採用した。
迅速な開発と展開実績
3 日間の集中開発でプロトタイプが完成し、現在は 20 の医療システムで一般利用されており、さらに GPO 対応のマルチプロダクトエージェントも予定されている。
合成データによる高速検証と高精度
AWS の加速プログラムによりシステムは2日間で完成し、合成データテストでは請求書発見率100%、証拠正当化精度93%を達成しました。
LLM と決定論的スコアリングの役割分担
言語モデルは記録収集と説明草案作成に限定され、コンプライアンス判定は13の証拠入力に基づく決定論的サービスが担当し監査可能性を確保します。
合成テストの限界と実運用への注意
合成データでの高スコアはツール連携の検証には有効ですが、現地データの欠落や遅延など実環境特有の問題に対する性能を保証するものではありません。
最終的な責任と設定の所有権
自動化された支援機能を提供する一方で、ポリシー設定(在庫閾値や購入期間など)に対する絶対的な所有権は病院の薬局・法務・コンプライアンスチームにあり、各組織が独自にルールを設定・承認する必要があります。
重要な引用
AWS says a single 340B covered entity can spend more than 4,000 staff hours each year reviewing whether GPO drug purchases qualify for an exception.
This is exactly what diversion program leaders have been waiting for—it gets them to answers faster and takes the manual grind out of every investigation
AWS reports that design reduced query latency from five minutes to 10 seconds.
However, enterprise buyers must exercise caution: those figures do not represent production performance across hospital customers.
The design gives compliance teams a repeatable scoring process rather than an LLM-generated judgement and allows an auditor to inspect the source records...
Despite the automated assistance, hospital pharmacy, legal, and compliance teams still need absolute ownership of those policy settings.
影響分析・編集コメントを表示
影響分析
このニュースは、医療業界という厳格な規制環境下において、生成 AI が複雑なデータ統合と意思決定支援に即座に実装可能であることを示す重要な事例です。特に、セキュリティリスクを最小化しつつ処理速度を劇的に向上させるアーキテクチャ設計は、他の高規制産業(金融や法務など)における AI 導入の参考モデルとなるでしょう。
編集コメント
医療現場の重労働を AI が解決する実例として、セキュリティ対策(API ラッパー化)と開発スピードの両立が成功した点が非常に興味深いです。
AWS(Amazon Web Services)は、Bluesight が自社製品群全体にまたがる病院の薬局データとコンプライアンスデータを結びつける AI レイヤー「Prism」を開発した経緯について説明しました。
AWS のベンダー発表によると、「ControlCheck 用 Prism アシスタント」はすでに一般利用可能となり、現在 20 の医療システムで稼働しています。一方、340B グループ購買組織(GPO)のコンプライアンス対応を目的としたマルチプロダクト型エージェントについては、2026 年後半のリリースを予定しています。
このプロジェクトは、病院の薬局チームが従来人手で行っていたデータ集約プロセスの課題解決を目指したものです。AWS によれば、340B プログラムの対象となる単一の施設でも、GPO での薬品購入が例外適用対象になるかを確認する作業に、年間 4,000 時間以上を要することがあります。担当者は、購買データと米国食品医薬品局(FDA)の不足通知、アメリカ病院薬剤師協会(ASHP)の記録、在庫日数、機械学習による需要予測、他院からの欠品報告などを照合する必要があります。
ControlCheck エージェントは 20 の医療システムで導入が完了
Bluesight はまず、麻薬等の管理物質を監視する製品「ControlCheck」から開発を開始しました。病院の転用防止チームは ControlCheck を活用して、異常な薬剤取引のパターンを検出していますが、コンプライアンス担当者はいまだにレポートの作成やダッシュボードの確認、発見された事象の手動での関連付けを行っていました。
Prism Assistant は、ControlCheck のデータを照会したり、チャートを生成したり、レポート資料を作成したりできる対話型インターフェースを提供します。AWS によると、Bluesight は 2025 年 9 月に実施された 3 日間の「エクスペリエンス・ベースド・アクセラレーション」プログラムの中で、最初のバージョンを構築しました。この開発には Bluesight のエンジニア 8 名と AWS の専門家 7 名が共同で携わりました。
TechForge Media は、こうした短期間での開発がツールの俊敏性を示す一方で、これらはベンダー報告による数値であり、実際の医療システムからの独立した検証を待っている段階であると指摘しています。
チームは Strands Agents を活用し、Amazon Bedrock と連携させてアプリケーションを構築しました。アプリは Amazon Bedrock AgentCore Runtime 上でホストされています。AgentCore Gateway は、10 以上の ControlCheck API を MCP ツールとして公開しており、エージェントがユーザーのリクエストに応じてこれらのツールを発見して呼び出せるようにしています。
重要なのは、Bluesight が言語モデルに直接データベースへのアクセスを許可しなかった点です。エンジニアたちは既存の ControlCheck API エンドポイントを AWS Lambda 関数でラップし、エージェント処理に適した構造化データを返す仕組みを作りました。ビジネスロジックはアプリケーション層内に保持され、エージェントは質問の意味を理解し、適切なツールを選択し、レコードを集め、結果を提示する役割だけを担います。
AWS の報告によると、この設計によりクエリの応答時間が 5 分から 10 秒に短縮されました。今回の導入には、チャート生成機能や監視制御、コストの属人化(アトリビューション)、暗号化、認証、そしてインフラストラクチャー・アズ・コードを含むフロントエンドも含まれています。
「これはまさに、薬物流転対策の責任者たちが待ち望んでいたものです。調査における手作業の負担を解消し、必要な回答に素早く到達できるからです」と、Bluesight の製品管理ディレクターである Samir Neyazi 氏は述べています。
AWS によると、Bluesight はこのサービスを仮想プライベートクラウド(VPC)内に展開し、9 か月未満で一般利用を開始しました。現在 AWS アカウント上で「Prism Assistant」を利用している 20 の医療システムが、その実証データの役割を果たしています。一方、より大規模な GPO エージェントについては、まだ同様の段階には至っていません。
マルチエージェントによる 340B コンプライアンス対応:GPO 購入の監視
連邦法の 340B ルールでは、不均衡負担病院(Disproportionate Share)、小児専門病院、および独立型がんセンターは、非 GPO チャネルで薬を供給できる場合、GPO 契約を通じて外来用医薬品を購入してはならないと定めています。供給状況などの理由で購入ルートが制限される場合は、例外処理の記録を残す必要があります。
Bluesight が計画している GPO エージェントは、CostCheck、ShortageCheck、340BCheck の各システムからデータを統合します。CostCheck は購入情報を提供し、ShortageCheck は薬品の供給状況に関する証拠を、340BCheck は資格要件の妥当性を検証する役割を担います。
提案されたアーキテクチャでは、主要モデルとして Anthropic の Claude Sonnet 4.6 を採用し、低遅延が求められる処理には Amazon Bedrock を経由して Claude Haiku 4.5 を使用します。エージェントの実行は AgentCore Runtime が VPC 内のプライベートサブネット上で管理します。また、AgentCore Gateway が Lambda ベースのツールを Bluesight の 3 つの製品システムに接続します。
調整役の GPO エージェントは、専門的なデータワーカーを指揮します。あるワーカーは購入記録を取得し、別のワーカーは供給に関する証拠を集め、さらに別のワーカーが 340B の対象資格を確認します。調整役はこの証拠を組み合わせて、監査対応型のレポートを作成します。
2026 年 3 月には、このアーキテクチャを強化する第 2 段の AWS 支援プロジェクトが実施されました。AWS によると、チームは初日のうちにシステム接続を完了し、予定された機能の実装も 2 日目までにすべて終えたそうです。同社は合成データを用いてエージェントを検証しましたが、その結果、請求書の検出率は 100%、証拠の妥当性説明精度は 93% を記録しました。これは 85% という目標値を大きく上回るものです。
ただし、企業側の購入担当者は注意が必要です。これらの数値は、病院顧客における本番環境でのパフォーマンスを表すものではないからです。合成テストでは、ツール呼び出しや照合ロジック、レポート生成が用意されたシナリオで正しく動作するかを確認できますが、現地のデータ欠落や在庫更新の遅れ、珍しい薬剤識別子、あるいは購入を巡る争いといったケースにシステムがどう対応するかまで証明することはできません。
コンプライアンススコアリングは言語モデルの外側で行う
Bluesight は、GPO ワークフローにおいて言語モデルの役割を制限しています。モデルは記録の収集、製品ツールの呼び出し、説明草案の作成を担当します。一方、コンプライアンス判定そのものは、決定論的なスコアリングサービスが計算して行います。
このサービスは、13 の証拠入力項目を評価し、優先度に基づいたマッチングを実行します。また、設定可能な時間窓(タイムウィンドウ)も活用可能です。
設計の目的は、LLM による判断に頼るのではなく、コンプライアンスチームが再現性のあるスコアリングプロセスを実施できるようにすることです。これにより、監査担当者は各決定の根拠となるソースレコード、適用されたルール、そしてツール呼び出しの順序を直接確認できます。
自動化支援があるとはいえ、病院の薬局部門、法務部門、コンプライアンスチームがポリシー設定に対する最終的な責任と所有権を持つ必要があります。サプライヤー不足の閾値や、許容される在庫期間、購入日の時間範囲といったパラメータは、コンプライアンスの結果を大きく左右します。
Bluesight のアプローチでは、これらの判断を設定するための技術的仕組みを提供しますが、各組織が自らのポリシールールを設定し承認する必要があります。
HIPAA コントロールと監査トレースが展開を規定する
Amazon Bedrock は HIPAA 準拠資格を有しており、Bluesight は AWS とビジネスパートナー契約(BAA)を締結して運用しています。AWS の方針では、Amazon Bedrock を通じて処理された顧客データを用いてファウンデーションモデルの学習を行うことはありません。
認証には Amazon Cognito を使用し、OAuth2 クレデンシャルによるクライアント認証と JSON Web Token(JWT)の検証を行います。AgentCore Runtime は、並行する顧客リクエストに対してセッションを隔離します。データの保存時および転送中の暗号化は AWS Key Management Service が担当し、下流サービスへの資格情報管理は AWS Secrets Manager が行います。
Amazon CloudWatch は、エージェントの判断、ツール呼び出し、データアクセスイベント、アラート、パフォーマンス指標などを記録します。この監査証跡は、病院が GPO 購入を許可した理由や薬物流転のパターンをエスカレーションした根拠を説明する必要がある際に極めて重要です。
Bluesight が 20 の医療システムで実施した内部測定によると、ControlCheck ワークフローにおけるレポート生成と分析の速度が最大 97% 向上しました。定例レポートの作成にかかっていた手作業は約 6 時間から 15 分に短縮され、削減率は 96% に達します。調査前のトリアージも 3 時間から約 10 分へ、管理薬品のばらつき分析に至っては 30 分から 1 分未満へと劇的に短縮されました。
エージェント支援の結果がコンプライアンス判断に直接反映される前に、チームは既存のレビュープロセスと並行して過去の購入事例を厳格に実行する必要があります。ローカルテストでは、データの完全性、薬品コードの照合、不足時期、例外ルール、そして以前から人間によるレビューで意見が分かれたケースなどを徹底的に検証すべきです。また、各生産環境での発見には、適用されたスコアリングルールのバージョン、出典となる証拠、およびその結果を導き出したツールの追跡情報を必ず残す必要があります。
関連記事:AWS GraphRAG の導入により薬物研究サイクルが 87% 短縮される

AI やビッグデータについて業界のリーダーから学びたい方は、アムステルダム、カリフォルニア、ロンドンで開催される「AI & Big Data Expo」をチェックしてみてください。この包括的なイベントは TechEx の一部であり、サイバーセキュリティ&クラウドエキスポなど他の主要なテクノロジーイベントと併催されています。詳細はこちらをご覧ください。
AI News は TechForge Media によって運営されています。その他の企業向け技術イベントやウェビナーについては、こちらからご確認ください。
本記事「AWS と Bluesight が病院の 340B コンプライアンス対応に AI を構築」は、元々 AI News で公開されたものです。
原文を表示
AWS (Amazon Web Services) has explained how Bluesight developed Prism, an AI layer that connects hospital pharmacy and compliance data across its product suite.
Prism Assistant for ControlCheck has reached general availability and operates across 20 health systems, according to AWS vendor statements. Meanwhile, a multi-product agent for 340B Group Purchasing Organisation (GPO) compliance remains scheduled for release later in 2026.
The project addresses a data-intensive process that hospital pharmacy teams often conduct manually. AWS says a single 340B covered entity can spend more than 4,000 staff hours each year reviewing whether GPO drug purchases qualify for an exception. Staff must compare purchase data with US Food and Drug Administration shortage notices, American Society of Health-System Pharmacists records, days-on-hand inventory, machine learning shortage forecasts, and back-order reports from other hospitals.
ControlCheck agent reaches 20 hospital health systems
Bluesight started with ControlCheck, its controlled-substance monitoring product. Hospital diversion teams use ControlCheck to identify unusual medication transaction patterns, but compliance staff still needed to assemble reports, review dashboards, and correlate findings manually.
Prism Assistant gives users a conversational interface that can query ControlCheck data, produce charts, and generate report material. AWS claims Bluesight built the first version during a three-day Experience-Based Acceleration engagement in September 2025, with eight Bluesight engineers working alongside seven AWS specialists. TechForge Media notes that while these rapid development timelines highlight the agility of the tools, they remain vendor-reported metrics pending independent verification from the active health systems themselves.
The team used Strands Agents with Amazon Bedrock and hosted the application through Amazon Bedrock AgentCore Runtime. AgentCore Gateway exposed more than 10 ControlCheck APIs as MCP tools, allowing the agent to discover and call them during a user request.
Crucially, Bluesight avoided direct database access for the language model. Its engineers wrapped existing ControlCheck API endpoints in AWS Lambda functions that return structured data suited to agent processing. The company kept business logic inside its application layer, while the agent interpreted questions, selected tools, gathered records, and presented results.
AWS reports that design reduced query latency from five minutes to 10 seconds. The deployment also included a frontend with chart generation, observability controls, cost attribution, encryption, authentication, and infrastructure-as-code.
“This is exactly what diversion program leaders have been waiting for—it gets them to answers faster and takes the manual grind out of every investigation,” said Samir Neyazi, Director of Product Management at Bluesight.
Bluesight deployed the service within a virtual private cloud and reached general availability in under nine months, according to AWS. The 20 health systems using Prism Assistant represent the active deployment evidence in the AWS account; the larger GPO agent has not yet reached that stage.
Multi-agent 340B compliance targets GPO purchases
Federal 340B rules prohibit Disproportionate Share, Children’s, and Free-Standing Cancer hospitals from buying outpatient drugs through GPO contracts when non-GPO channels can supply the drug. Compliance teams must document the exception when supply conditions prevent that purchase route.
Bluesight’s planned GPO agent brings together records from CostCheck, ShortageCheck, and 340BCheck. CostCheck provides purchase information, ShortageCheck contributes drug availability evidence, and 340BCheck validates eligibility data.
The proposed architecture uses Anthropic Claude Sonnet 4.6 as the primary model and Claude Haiku 4.5 for lower-latency operations through Amazon Bedrock. AgentCore Runtime executes the agents in a VPC with private subnets. AgentCore Gateway connects Lambda-backed tools to the three Bluesight product systems.
A coordinating GPO agent directs specialist data workers. One worker retrieves purchase records, another gathers supply evidence, and another checks 340B eligibility. The coordinator assembles the evidence and produces an audit-oriented report.
March 2026 brought a second AWS acceleration engagement focused on that architecture. AWS says the team connected the system by the end of its first day and completed every planned feature by the end of day two. The company tested the agent against synthetic data, where it reported a 100 percent invoice discovery rate and 93 percent evidence justification accuracy, above its 85 percent target.
However, enterprise buyers must exercise caution: those figures do not represent production performance across hospital customers. Synthetic testing can demonstrate whether tool calls, matching logic, and report generation work against prepared scenarios, but it cannot establish how the system handles local data gaps, delayed shortage updates, unusual drug identifiers, or disputed purchasing cases.
Keeping compliance scoring outside the language model
Bluesight assigns the language model a constrained role in the GPO workflow. The model gathers records, calls product tools, and drafts the explanation. A deterministic scoring service calculates the compliance determination.
That service evaluates 13 evidence inputs, applies priority-based matching, and uses configurable time windows. The design gives compliance teams a repeatable scoring process rather than an LLM-generated judgement and allows an auditor to inspect the source records, the rules applied, and the sequence of tool calls behind each determination.
Despite the automated assistance, hospital pharmacy, legal, and compliance teams still need absolute ownership of those policy settings. A supplier shortage threshold, acceptable inventory period, or purchase-date window can alter a compliance outcome. Bluesight’s approach gives customers a technical mechanism to configure those decisions, but each organisation must set and approve its own policy rules.
HIPAA controls and audit traces shape the deployment
Amazon Bedrock holds HIPAA eligibility, and Bluesight operates under a Business Associate Agreement with AWS. AWS says it does not train foundation models on customer data processed through Amazon Bedrock.
Bluesight uses Amazon Cognito for OAuth2 client-credential authentication and JSON Web Token validation. AgentCore Runtime provides session isolation for concurrent customer requests. AWS Key Management Service encrypts data at rest and in transit, while AWS Secrets Manager manages credentials for downstream services.
Amazon CloudWatch records agent decisions, tool invocations, data-access events, alarms, and performance metrics. That audit trail matters when a hospital needs to explain why it permitted a GPO purchase or escalated a drug-diversion pattern.
Bluesight’s internal measurements across 20 health systems report up to 97 percent faster report generation and analysis in ControlCheck workflows. Recurring reports reportedly dropped from about six hours of manual assembly to 15 minutes, a 96 percent reduction. Pre-investigation triage dropped from three hours to about 10 minutes, while controlled-substance variance analysis fell from 30 minutes to less than one minute.
Teams should strictly run historical purchasing cases in parallel with existing review processes before allowing an agent-assisted result to affect compliance decisions. Local testing should rigorously examine data completeness, drug-code matching, shortage timing, exception rules, and cases where human reviewers previously disagreed. Each production finding should retain the scoring-rule version, source evidence, and tool trace that produced it.
See also: AWS GraphRAG deployment cuts drug research cycles by 87%

Want to learn more about AI and big data from industry leaders? Check out AI & Big Data Expo taking place in Amsterdam, California, and London. The comprehensive event is part of TechEx and is co-located with other leading technology events including the Cyber Security & Cloud Expo. Click here for more information.
AI News is powered by TechForge Media. Explore other upcoming enterprise technology events and webinars here.
The post AWS and Bluesight build AI for hospital 340B compliance appeared first on AI News.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み