健全なセキュリティ体制の第一歩となる機能

遠隔医療の予約、医療コミュニティ間の接続のどちらをバーチャルでサポートする場合も、患者のデジタル プライバシーは、効果的治療に欠かせない要素です。 どのような形であれ、個人健康情報が侵害されると、患者の信頼が損なわれるだけでなく、1996 年の医療保険の相互運用性と説明責任に関する法律（HIPAA）などの重要規制に準拠できないリスクが生じます。

Zoom では、セキュリティとプライバシーが医療組織の成功の基盤となることを熟知しています。そのため Zoom を介した重要情報のやり取りを保護するための機能をプロバイダー各社に提供しています。

本稿ではこのような機能の一部と、該当するコンプライアンス要件への対応策をいくつかご紹介します。

個々の必要性に対応した暗号化オプション

• 256 ビット AES-GCM 暗号化: Zoom は、リアルタイムのミーティングで伝送されるオーディオ、ビデオ、共有コンテンツに、256 ビット AES-GCM 暗号化を標準適用しています。こちらの対象には、Zoom Meetings、Zoom Webinars、Zoom Rooms で実施されるミーティング、Zoom Contact Center、公衆インターネットを介して転送される Zoom Phone のデータが含まれます。

• Zoom Meetings のエンドツーエンド暗号化（E2EE）: この機能を有効にすると、256 ビット AES-GCM 暗号化が適用されるため、Zoom クライアントを使用している承認済みミーティング参加者全員の相互コミュニケーションを暗号化できます。 ただし E2EE ミーティングの暗号鍵は、承認済みミーティング参加者のデバイスにのみ通知されます。 ミーティングの E2EE を有効にすると、特定の機能が無効になります。

• Zoom Phone の E2EE: 同じ Zoom アカウントのユーザー同士が Zoom クライアントを介し、1 対 1 で話す Zoom Phone 通話中には、E2EE を有効にするオプションも選択できます。 通話中に [その他] ボタンをクリックすると、エンドツーエンド暗号化が施された通話にセッションを昇格させるオプションが表示されます。 E2EE を有効にすると、発信者と受信者のデバイスにのみ通知される暗号鍵を使用して、通話が暗号化されます。 加えてユーザーは、互いに独自のセキュリティ コードをやり取りすることで、E2EE ステータスを確認できます。 Zoom Phone での E2EE 通話中、特定の Zoom Phone 機能が無効になります。

• Team Chat の高度なチャット暗号化: 高度なチャット暗号化を有効にすると、参加者のデバイスでのみ生成、周知される鍵を使用して、チャット コンテンツが暗号化されます。また、公衆インターネットを介して転送されるチャット コンテンツには、TLS による暗号化が追加適用されます。高度なチャット暗号化を有効にすると、いくつかのチャット機能は使用できなくなります。

• 認証済みログイン: Zoom では、Zoom アカウントへの安全で迅速なサインイン プロセスをサポートするシングル サインオン（SSO）という機能を提供しています。 SSO を使用すると、セキュリティを強化できます。特に医師が外出せざるを得なくなり、院内ネットワークから離れる場合は、SSO を使用すると安心です。 SSO を使用できない場合は、2 要素認証（2FA）を有効にすることをおすすめします。 OAuth プロセスでもログインできます。その場合、代わりに Zoom にログイン情報を提供するアプリケーションを Google または Facebook から 1 つ承認しておくと、ユーザーはパスワードを手動で入力する必要がなくなります。

• 使用を義務付けたミーティング パスコード: アカウント オーナーと管理者は、ミーティングごとに、またはユーザー、グループ、もしくはアカウントごとに、すべてのミーティングとウェビナーでパスコードの入力を義務付けるよう設定できます。患者が遠隔医療セッションに参加するに当たり、この設定でパスコードを共有すると、セキュリティを強化できます。

HIPAA: Zoom では、個人開業医、診療所、企業立病院などの規模にかかわらず、機密健康情報（PHI）を保護し、事業提携契約を締結することで、お客様が HIPAA に準拠したプログラムを実現できるよう支援します。

PIPEDA/PHIPA: Zoom では、個人情報保護および電子文書法（PIPEDA）のほか、地域によっては個人健康情報保護法（PHIPA）といったカナダのデータ保護規制へのコンプライアンスを支援しています。

SOC2 + HITRUST: Zoom は以前から従来の SOC 2 Type II レポートを発行していましたが、Health Information Trust Alliance Common Security Framework（HITRUST CSF）管理要件を満たすため、追加基準を加えてレポート範囲を拡大しました。 HITRUST とは、GDPR、ISO、NIST、PCI、HIPAA といった国内、国際的に認められた標準と規制を活用したセキュリティ枠組みです。 今回取得した証明書は、Zoom Meetings、Zoom Phone、Zoom Team Chat、Zoom Rooms、Zoom Webinars を対象としています。

患者から医師には気軽に相談できるべきです。また医療相談目的でのビデオ コミュニケーション プラットフォーム使用は、相談体験をただ向上させ、何も不利益を生み出さないようにする必要があります。

Zoom は、該当する標準を遵守し、これらのセキュリティ機能を提供することで、使いやすさ、安全性、信頼を特徴とする体験を提供し、Zoom のプラットフォームを介して大切な健康情報を安全に交換、保存できるよう、全力で取り組んでいます。

Zoom は医療機関と患者のやり取り、重要情報、医療組織内のコミュニケーションで、皆様に信頼していただけるプラットフォームたるべく邁進しています。

プライバシーに関する Zoom のアプローチの詳細情報については、Zoom のトラスト センターをご覧ください。