ZoomはHIPAA準拠?医療チームが知っておくべきこと
どのZoomプランがHIPAA要件を満たすか、有効にすべき設定、コンプライアンスの注意点をわかりやすく解説します。
本記事は独立したガイドです。Zoom Communications, Inc.とは提携・推奨関係にありません。
コンプライアンス担当者が、チームがZoomで実施しているセラピーセッションに問題を指摘しました。患者から苦情が入り、月曜日までに答えが必要です。ZoomはHIPAA準拠なのか、何を変更すべきなのか。
結論から言えば、ZoomはHIPAA準拠にできます。ただし、適切なプランの選択、Business Associate Agreement(BAA)の締結、約12項目の設定が正しく構成されている場合に限ります。無料プランやデフォルト設定では対応できません。
本ガイドでは、2026年3月時点でHIPAA準拠をサポートするZoomプラン、BAAの対象範囲、セキュリティ設定の方法、Zoomの制約事項を詳しく解説します。IT部門に渡せるチェックリストや、医療管理者からよく寄せられる質問への回答も掲載しています。
本記事は情報提供のみを目的としており、法的・医療的助言を構成するものではありません。組織固有のガイダンスについては、HIPAA準拠の専門家にご相談ください。
HIPAAとは?
HIPAA(Health Insurance Portability and Accountability Act)は、1996年に制定された米国連邦法で、機密性の高い患者の健康情報を保護するための国家基準を定めています。医療提供者、保険者、およびビジネスアソシエイトに対し、保護対象健康情報(PHI)を保護するための物理的、技術的、管理的な安全策の実施を義務付けています。違反した場合、1件あたり141ドルから2,134,831ドルの罰金が科される可能性があります(2026年調整額)。
ZoomはHIPAA準拠か?
ZoomはHIPAA準拠にできますが、デフォルトでは準拠していません。これはどのビデオ会議ツールも同様です。HIPAA準拠とは、オンにできる製品機能ではなく、適切なプラン、法的契約の締結、正しい設定、組織のポリシーを組み合わせた結果です。
具体的には、先週Zoomをダウンロードして無料プランで遠隔診療を始めた場合、HIPAA準拠ではありません。有料プランであっても、ZoomとBAAを締結し、アカウント設定を調整するまでは準拠状態にはなりません。
リベラ医師は4名のセラピストを擁する小規模な行動健康クリニックを運営しています。2年間Zoom Basicを使用し、暗号化で十分と考えていました。コンプライアンス監査の結果、BAAなしで録画したすべてのセッションがHIPAA違反の可能性があることが判明しました。修正に3日かかり、精神的な負担は数か月続きました。
2026年3月時点で、ZoomはZoom for Healthcareを通じて、特定の有料プランでHIPAA準拠の設定を提供しています。対象アカウントに対してBAAを締結し、契約条件内で使用する場合、Zoom Meetings、Zoom Phone、Zoom Team Chat、Zoom Roomsが対象となります。
HIPAA準拠をサポートするZoomプランは?
すべてのZoomプランがBAAの対象ではありません。2026年3月時点で、以下のプランがHIPAA対応設定を提供しています。
- Zoom Workplace Pro(有料)+ ヘルスケアアドオン
- Zoom Workplace Business以上
- Zoom Workplace Enterprise(専用ヘルスケア機能を含む)
- Zoom for Healthcare(EHR連携を備えた医療専用プラン)
無料のZoom BasicプランはBAAの対象外です。ヘルスケアアドオンのない個人Proアカウントも同様です。
| プラン | BAA対応 | ヘルスケア機能 | 開始価格(ユーザー/月) |
|---|---|---|---|
| Zoom Basic(無料) | 非対応 | なし | $0 |
| Zoom Workplace Pro | アドオン必要 | 限定的 | zoom.us/pricingで確認 |
| Zoom Workplace Business | 対応 | 標準 | zoom.us/pricingで確認 |
| Zoom Workplace Enterprise | 対応 | フルスイート | カスタム料金 |
| Zoom for Healthcare | 対応 | EHR連携、待合室、分析 | カスタム料金 |
プラン名、BAA対象、価格は頻繁に変更されます。コンプライアンスに関する判断の前に、zoom.us/pricingまたはZoom営業チームに現在のオプションをご確認ください。
プラン間の主な違いはBAAだけではありません。上位プランには、医療機関が実際に必要とする機能が含まれています。クリニック名を表示するカスタム待合室、EpicやCernerとのEHR連携、録画権限を管理する詳細な管理者コントロールなどです。
オプションを比較中であれば、Microsoft Teamsの代替サービスのガイドで、他のプラットフォームのコンプライアンス対応を確認できます。
What Is Flat.social?
A virtual space where you move, talk, and meet — not just stare at a grid of faces
Walk closer to hear someone, step away to leave the conversation
BAAとは何か、なぜ重要なのか
Business Associate Agreement(BAA)は、医療提供者(またはその他の対象事業体)と保護対象健康情報を取り扱うベンダー間の法的拘束力のある契約です。HIPAAでは、PHIにアクセス、保存、または送信する可能性のあるすべてのサードパーティサービスとBAAを締結する必要があります。
BAAがなければ、Zoomの暗号化がどれほど強力でもHIPAA違反です。
ZoomのBAAは、正しく設定された以下の製品を対象としています。
- Zoom Meetings(ビデオおよびオーディオ)
- Zoom Phone
- Zoom Team Chat
- Zoom Rooms
- Zoom Webinars(制限あり)
- クラウド録画(BAA条件に基づいて有効化された場合)
Zoomの標準BAAに含まれない製品:
- Zoom Apps(サードパーティマーケットプレイスアプリ)
- Zoom Whiteboard(Zoomに現状をご確認ください)
- Zoom MailおよびCalendar
- 無料プランの機能
ZoomにBAAを依頼するには、通常以下が必要です。
- 対象の有料プラン(Business以上、またはヘルスケアアドオン付きPro)
- Zoom営業チームまたはアカウント担当者への連絡
- BAA文書の確認・署名
- ZoomのHIPAA実装ガイドに従ったアカウント設定
BAA締結のプロセスは、標準プランの場合通常1〜5営業日です。Enterpriseアカウントはカスタム条件の交渉が可能で、2〜4週間かかることがあります。
BAAはシートベルトのようなものです。車(Zoom)は安全かもしれませんが、シートベルト(BAA)なしでは、事故(監査や情報漏洩)の際に依然としてリスクがあります。
ZoomをHIPAA準拠にする方法:設定チェックリスト
BAAの締結は第一歩です。第二歩は、実際にHIPAA要件を満たすようZoomアカウントを設定することです。ZoomはBAA署名者にHIPAA実装ガイドを提供していますが、IT部門が対応すべき重要な設定を以下にまとめます。
暗号化設定
- PHIを含む会議ではエンドツーエンド暗号化(E2EE)を有効化してください。ZoomはE2EEをオプションとして提供していますが、デフォルトでは無効です。注意:E2EEを有効にすると、クラウド録画、ブレイクアウトルーム、ライブ文字起こしなど一部機能が無効になります。
- 会議室ハードウェアを使用する場合、サードパーティエンドポイント(H.323/SIP)の暗号化を必須にしてください。
- AES 256ビットGCM暗号化を有効化してください(2020年以降、全Zoom会議でデフォルト有効)。
ミーティングセキュリティ
- 患者が他の患者のセッションに入らないよう待合室を有効化してください。
- すべてのセッションでミーティングパスワードを必須にしてください。
- 患者が監督のないルームに入るのを防ぐため、「ホスト前の参加」を無効化してください。
- 予定された参加者が全員参加したらミーティングをロックしてください。
- チャットでのファイル転送を無効化してください(チャット経由のPHI偶発共有を防止)。
- クラウド録画をデフォルトで無効化し、録画が臨床上必要で患者の同意がある場合のみ有効にしてください。
アカウント管理
- 画面共有をホストのみに制限してください(患者の誤った画面共有を防止)。
- BAAで明示的にカバーされていない限り、PHIを含む会議ではZoom AIコンパニオン機能を無効化してください。
- 必要かつ同意がない限り、会議の文字起こしをオフにしてください。
- 認可されたメールアドレスのみがZoom組織にアクセスできるよう、管理ドメインを使用してください。
- すべてのユーザーアカウントで二要素認証(2FA)を有効化してください。
- 非アクティブなアカウントに自動セッションタイムアウトを設定してください。
録画とストレージ
- クラウド録画を使用する場合、BAAで明示的にカバーされていることを確認し、アクセスを認可された担当者のみに制限してください。
- ローカル録画はデータを自社インフラに保存しますが、独自の暗号化とアクセス制御が必要です。
- 臨床上不要になった録画は削除してください(保存ポリシーを設定)。
安全なバーチャル会議の設定方法については、別途ステップバイステップのガイドをご用意しています。
Zoomは遠隔医療・心理療法でHIPAA準拠か?
医療提供者から最も多く寄せられる質問であり、回答には注意が必要です。
遠隔医療全般では、ZoomのHIPAA準拠プランは十分に機能します。1対1のビデオ相談、グループセラピー、遠隔患者モニタリングのチェックインにも対応しています。2026年3月時点で、Zoom for Healthcareには遠隔医療向けに設計された機能が含まれています。バーチャル待合室、EpicやCernerとのEHR連携、臨床ワークフローツールなどです。
心理療法・行動健康の場合、追加の注意が必要です。セラピストは特に機密性の高いPHI(薬物乱用記録、精神科診断、セッションノート)を取り扱います。以下の追加対策を検討してください。
- セラピーセッション中にZoomのAIコンパニオンや文字起こしを使用しないでください。BAAでカバーされていても、セラピーの自動文字起こしは不必要なリスクを生みます。
- 患者から書面による同意を取得し、州法で許可されている場合を除き、すべての録画を無効にしてください。
- グループセッションの患者がホストの許可前に互いを見ないよう、待合室機能を使用してください。
- セッション中にZoomチャットで何を発言してよいか・いけないかをスタッフに研修してください(チャットログが保存される可能性があります)。
あるグループ療法クリニックでは、4つの夜間セッションを同時に運営しています。待合室が適切に設定されていない場合、不安障害グループの患者Aが誤って薬物依存セッションに参加してしまいます。画面に表示される患者名はHIPAA違反を構成します。適切な待合室とパスワードの設定で、これを完全に防止できます。
**COVID時代のHIPAA免除について:**2020年から2023年にかけて、米国保健福祉省(HHS)は一般向けビデオツールを使用する遠隔医療提供者に対して執行裁量権を付与しました。これらの免除は失効しています。2026年3月時点で、標準的なHIPAA執行規則が完全に適用されます。BAA なしでZoomを遠隔医療に使用することは違反です。
グループセラピー向けのブレイクアウトルームの作成方法については、設定プロセスを詳しく解説したガイドをご覧ください。
Google MeetやMicrosoft Teamsと比較したZoomのHIPAA準拠
医療分野の意思決定者は、ZoomをGoogle MeetやMicrosoft Teamsと頻繁に比較します。2026年3月時点のHIPAA準拠の比較をまとめました。
Zoomは医療分野に特化した機能を提供しています。BAAはMeetings、Phone、Chat、Roomsを対象としています。Zoom for HealthcareプランにはEHR連携と臨床ワークフローツールが含まれます。Zoomの強みは、遠隔医療に特化した機能セットと、多くの患者がすでに使い方を知っていることです。
Google Meet(Google Workspace経由)はHIPAA準拠にできます。GoogleはWorkspace Business、Enterprise、Education PlusプランでBAAを締結します。BAAはMeet、Gmail、Drive、Calendarなどのコアアプリを対象としています。Google MeetにはZoomのような医療専用機能(EHR連携、臨床待合室)はありませんが、すでにGoogle Workspaceを使用している組織には適しています。
Microsoft Teams(Microsoft 365経由)もHIPAA準拠をサポートします。MicrosoftはBusiness、Enterprise、EducationプランでBAAを締結します。TeamsはMicrosoft Cloud for HealthcareプラットフォームやAzure Health Data Servicesなど、Microsoftの医療向けツールと深く連携しています。すでにMicrosoftエコシステムに組み込まれている組織に最適です。
| 機能 | Zoom for Healthcare | Google Meet (Workspace) | Microsoft Teams (365) |
|---|---|---|---|
| BAA対応 | あり | あり | あり |
| E2EE対応 | あり | あり | あり |
| EHR連携 | Epic、Cerner等 | 限定的 | Epic、Cerner(Cloud for Healthcare経由) |
| 専用ヘルスケアプラン | あり | なし | あり(Cloud for Healthcare) |
| 患者の認知度 | 高い | 中程度 | 中程度 |
| AI機能(BAA対象) | 一部 | 一部 | 一部 |
3つのプラットフォームすべてがHIPAA準拠にできます。選択は既存のインフラ、予算、使用するEHRシステムによって異なります。
従来のビデオ通話以外の選択肢を検討しているチームは、バーチャルコラボレーションに新しいアプローチを提供するオンラインミーティングプラットフォームをご覧ください。
HIPAA準拠なしでZoomを使用するとどうなるか
適切な準拠なしにZoom(または他のビデオツール)でPHIを取り扱うことは、ポリシーの問題だけではありません。実際の財務的・法的結果を伴います。
HIPAAの罰金は過失の程度に応じて4段階に分かれます。
| 段階 | 違反の種類 | 1件あたりの罰金 | 年間上限 |
|---|---|---|---|
| 1 | 認識なし(合理的な注意義務) | $141〜$71,162 | $2,134,831 |
| 2 | 合理的な原因(故意の怠慢ではない) | $1,424〜$71,162 | $2,134,831 |
| 3 | 故意の怠慢、30日以内に是正 | $14,232〜$71,162 | $2,134,831 |
| 4 | 故意の怠慢、未是正 | $71,162 | $2,134,831 |
罰金額は2026年のインフレ調整後。出典:HHS Office for Civil Rights。
罰金に加え、HIPAA違反は以下を引き起こす可能性があります。
- 州検事総長による調査(多くの州に独自の健康情報保護法と罰則があります)
- 過失・守秘義務違反に対する患者からの訴訟
- 個人の医療提供者の免許停止
- 評判の低下(患者が他院へ移る要因)
- 侵害通知の義務化(影響を受けたすべての患者、HHS、500件以上の侵害の場合は地元メディアへの通知)
Zoomに関連する最も一般的なHIPAA違反は、劇的なハッキングではありません。BAAなしでZoom Basicを使用するセラピスト、クラウド録画を無効にしなかったクリニック、患者名を含む会議リンクを共有した管理者など、日常的なミスです。これらはすべて報告義務のあるインシデントです。
適切なセキュリティ対策でバーチャル会議を改善するヒントについては、参加者を惹きつけるオンライン会議のガイドをご覧ください。
ZoomとHIPAAに関するよくある質問
ZoomでHIPAA準拠を実現するために:重要ポイント
Zoomは正しく設定すればHIPAA準拠にできます。今週実施すべきことをまとめました。
- プランを確認する。 Zoom Workplace Business以上、またはヘルスケアアドオン付きZoom Proが必要です。無料プランは対象外です。
- BAAを締結する。 Zoom営業チームに連絡してください。BAAが署名されるまで、患者のセッションを予約しないでください。
- 設定チェックリストを実行する。 待合室の有効化、パスワードの必須化、PHIセッションのE2EE有効化、AI機能の無効化、録画の制限を行ってください。
- スタッフを研修する。 HIPAA準拠は技術よりも人の面で失敗することが多いです。Zoomを使用するすべての臨床スタッフと管理者は、何ができて何ができないかを理解する必要があります。
- すべてを文書化する。 BAA、設定のスクリーンショット、研修記録、インシデント対応計画を一か所にまとめてください。監査で求められます。
Zoomは適切に設定すれば、遠隔医療と医療コミュニケーションに適した選択肢です。患者の認知度、EHR連携、ヘルスケア専用機能により、市場でも有力な選択肢の一つです。ただし、コンプライアンスの責任はZoomではなく、利用者側にあります。
全体会議、社内イベント、ネットワーキングなど臨床外のチーム活動には、Flat.socialが空間オーディオを活用した自然な会話スタイルの体験を提供しています。
ZoomはZoom Communications, Inc.の商標です。HIPAAは米国連邦法です。本サイトはZoom Communications, Inc.と提携、推奨、スポンサー関係にありません。