De acordo com a Amazon AWS
Os clientes podem usar qualquer serviço da AWS em uma conta designada como uma conta HIPAA, mas devem apenas processar, armazenar e transmitir PHI nos serviços elegíveis para HIPAA definidos no BAA. Atualmente, existem dez serviços qualificados para HIPAA hoje, incluindo AWS Snowball, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon Elastic MapReduce (EMR), Amazon Elastic MapReduce (EMR), Amazon Elastic Load Balancing (ELB), Amazon Glacier, Amazon Glacier, Amazon Relational Database Service (RDS) [MySQL, Somente mecanismos Oracle e PostgreSQL], Amazon Aurora [somente edição compatível com MySQL], Amazon Redshift e Amazon S3.
fonte: https://aws.amazon.com/compliance/hipaa-compliance/
Isso significa que, desde que você não esteja armazenando ou transmitindo PHI no SQS, apenas as informações sobre o local em que esse PHI está sendo armazenado - você provavelmente poderá passar por um registro de auditoria. Conformidade com HIPAA.
Na arquitetura que você descreve, a fila SQS não precisa incluir nenhum conteúdo PHI. Isso o faria cumprir com a declaração acima.
Mais informações sobre conformidade com HIPAA na AWS estão disponíveis neste whitepaper a partir de janeiro de 2017 - https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf
Especificamente, o SQS é mencionado e explicado nas HIPAA FAQ - https://aws.amazon.com/blogs/security/frequently-asked-questions-about-hipaa-compliance-in-the-aws-cloud-part-two/ .
atualização : A partir de 1º de maio de 2017, o SQS agora é compatível com HIPAA. https://aws.amazon.com/about-aws/whats-new/2017/05/amazon-simple-queue-service-sqs-is-now-a-hipaa-eligible-service/