医療機関でZoom Phoneを利用する際には、HIPAAコンプライアンスへの対応が欠かせません。保護対象健康情報(PHI)を取り扱う場合、適切な設定と契約が必要です。本記事では、Zoom Phone管理画面からHIPAA関連の設定を有効にする手順を詳しく解説します。この設定により、通話の暗号化や監査ログの記録が強化され、法令遵守を実現できます。また、設定前に必要な事前条件や、設定後の注意点も合わせて説明します。
【要点】HIPAAコンプライアンス設定の3つのステップ
- 管理画面→アカウント管理→アカウントプロフィール→HIPAAコンプライアンス: このトグルをオンにすることで、暗号化と監査ログの強化が自動的に有効になります。
- 管理画面→アカウント管理→セキュリティ→暗号化とパスワードポリシー: AES-256暗号化と複雑なパスワードルールを設定し、通話データを保護します。
- 管理画面→ユーザー管理→ユーザー→ID認証: PHIにアクセスするユーザーに多要素認証を強制し、不正アクセスを防止します。
ADVERTISEMENT
目次
Zoom PhoneのHIPAAコンプライアンス機能とは
HIPAAとは、米国の医療保険の携行性と説明責任に関する法律です。医療機関が患者の健康情報を保護するために、厳格なセキュリティ対策を求めています。Zoom Phoneは、HIPAAに対応するための以下の機能を提供します。
まず、通話の暗号化です。Zoom PhoneはデフォルトでもTLSとSRTPで暗号化していますが、HIPAA設定を有効にすると、より強固なAES-256暗号化が適用されます。次に、監査ログ機能です。すべての通話記録や管理操作が記録され、監査に利用できます。さらに、アクセス制御として、ユーザーごとの権限設定や多要素認証が可能です。
これらの機能を利用するには、いくつかの前提条件があります。まず、Zoom Phoneライセンスが必要です。無料版ではHIPAA設定は利用できません。また、Zoomとの間でビジネスアソシエイト契約(BAA)を締結する必要があります。BAAは、ZoomがPHIを取り扱う際の責任を明確にする契約書です。契約前に、Zoomの営業担当者に問い合わせてください。さらに、管理画面の操作には管理者権限が必要です。
HIPAAコンプライアンスを有効にする手順
ステップ1:HIPAAコンプライアンス設定をオンにする
- Zoom管理画面にログインする
ブラウザでZoom管理画面(https://zoom.us/profile)にアクセスし、管理者アカウントでサインインします。 - アカウント管理を開く
左側のメニューから「アカウント管理」をクリックし、続いて「アカウントプロフィール」を選択します。 - HIPAAコンプライアンスのトグルをオンにする
ページをスクロールし、「HIPAAコンプライアンス」のセクションを見つけます。トグルスイッチをクリックして「オン」にします。確認ダイアログが表示されたら「有効にする」をクリックします。 - 設定を保存する
最後に「保存」ボタンをクリックして変更を確定します。この設定により、アカウント全体の暗号化と監査ログが強化されます。
ステップ2:暗号化とセキュリティ設定を構成する
- セキュリティ設定画面を開く
管理画面の左メニューから「アカウント管理」→「セキュリティ」を選択します。 - 暗号化オプションを確認する
「暗号化」セクションで「AES-256暗号化を必須にする」にチェックを入れます。これにより、すべての通話が強力な暗号化で保護されます。 - パスワードポリシーを設定する
同じページの「パスワード」セクションで、文字数や複雑さの要件を設定します。最低でも8文字以上、大文字・小文字・数字・記号を含むルールを推奨します。 - その他のセキュリティ対策を有効にする
「ログイン失敗時のロックアウト」や「セッションタイムアウト」なども必要に応じて設定します。設定後、「保存」をクリックします。
ステップ3:ユーザー認証とアクセス制御を設定する
- ユーザー管理画面を開く
左メニューから「ユーザー管理」→「ユーザー」を選択します。 - 対象ユーザーを選択する
PHIにアクセスするユーザー(例:医師、看護師)の行をクリックし、プロフィール編集画面を開きます。 - 多要素認証を強制する
「サインインセキュリティ」セクションで「多要素認証が必要」にチェックを入れます。ユーザーは次回ログイン時にスマートフォンアプリなどを設定する必要があります。 - 役割と権限を割り当てる
同じ画面の「役割」タブで、ユーザーに適切な役割(管理者、一般ユーザーなど)を割り当てます。不必要な権限を与えないように注意してください。 - 設定を保存する
変更を保存したら、他のユーザーにも同様の設定を繰り返します。一括操作が必要な場合は、ユーザーの一覧から「一括編集」機能を利用してください。
設定後の注意点とよくある誤解
HIPAA設定だけでは完全準拠にならない
HIPAAコンプライアンス設定をオンにしても、それだけで法令に完全準拠できるわけではありません。組織内のポリシーや手順、従業員のトレーニング、定期的なリスクアセスメントが必要です。Zoom Phoneの設定は技術的対策の一部であり、運用面の整備が不可欠です。また、BAAの署名を忘れずに行ってください。BAAが締結されていない場合、HIPAAの要件を満たせません。
監査ログの定期的な確認が必要
HIPAA設定を有効にすると、管理画面の「レポート」→「監査ログ」から操作履歴を確認できます。ただし、ログは自動的に保持される期間が限られています。Zoom Phoneのライセンスによって保存期間が異なりますので、必要に応じてログを外部にエクスポートしてください。また、不審なアクセスがないか定期的に監査ログをレビューすることが推奨されます。
エンドユーザーのトレーニングが欠かせない
多要素認証やパスワードポリシーを強化すると、ユーザーの負担が増えることがあります。スムーズな導入のために、事前にトレーニングやマニュアルを提供しましょう。特に、多要素認証の設定手順や、PHIを含む通話の取り扱いルールについて説明する必要があります。ユーザーが適切に運用しなければ、設定の効果が半減します。
対応外の機能もあることを理解する
Zoom PhoneのHIPAA対応は通話とメッセージングの一部に限定されます。例えば、ビデオ通話はZoom MeetingsのHIPAA設定が必要です。また、Zoom Phoneのレコーディング機能は、録音ファイルがPHIとなる可能性があるため、適切な保存とアクセス制御を別途設定する必要があります。録音ファイルの保存場所や暗号化も確認してください。
ADVERTISEMENT
HIPAAコンプライアンス設定の必須項目と推奨項目の比較
| 設定項目 | 必須/推奨 | 説明 |
|---|---|---|
| HIPAAコンプライアンストグル | 必須 | これをオンにしないと、他の設定がHIPAA対応として認められません |
| AES-256暗号化 | 必須 | すべての通話データを強力に暗号化します |
| 監査ログの有効化 | 必須 | HIPAA設定をオンにすることで自動的に有効になります |
| 多要素認証 | 推奨 | PHIにアクセスするユーザーには必須とし、その他のユーザーにも推奨します |
| パスワードポリシー | 推奨 | 複雑なパスワードを要求することで、不正ログインを防止します |
| BAAの締結 | 必須 | Zoomとビジネスアソシエイト契約を結ぶ必要があります |
まとめ
本記事では、Zoom PhoneでHIPAAコンプライアンスを設定する手順を解説しました。HIPAAコンプライアンストグルのオン、暗号化・パスワードポリシーの設定、多要素認証の強制の3ステップで、基本的なセキュリティ対策が完了します。これらの設定を行った後は、必ずBAAを締結してください。また、監査ログの定期的なレビューとユーザートレーニングも重要です。さらに、Zoom MeetingsのHIPAA設定も別途必要となる点に注意しましょう。適切な設定と運用により、患者情報を安全に保護できます。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Zoomの人気記事ランキング
- 【Zoom】Zoomデスクトップアプリのインストールと初期設定手順
- 【Zoom】Zoomの言語表示を日本語に切り替える方法
- 【Zoom】Zoomを最新バージョンに更新する手順と自動更新の設定
- 【Zoom】会議に参加できないときの原因と直し方!URLや認証エラーの対処
- 【Zoom】Outlook予定表とZoomを連携してワンクリックで会議作成
- 【Zoom】画面共有ができないときの権限確認と再接続手順
- 【Zoom】SSOでサインインできないときの設定確認と再試行手順
- 【Zoom】iPhoneやiPadの画面をZoomで共有する手順
- 【Zoom】ブレイクアウトを自動・手動・自由選択で割り当てる手順
- 【Zoom】チャット内容を保存する設定と保存先の確認方法