Zoom は安全？暗号化・プライバシー・セキュリティを2026年の視点で徹底解説

本記事は独立したガイドです。Zoom Communications, Inc. との提携・推奨関係はありません。

IT 部門が全社で Zoom の利用を承認したものの、検索するとデータ漏洩、「Zoombombing（ズームボミング）」、プライバシー訴訟の記事が次々と見つかります。実際のところ、Zoom はチームの機密会話に十分安全なのか、それとも「ミーティングに参加」をクリックするたびにリスクを負っているのか。

結論から言うと、2026年3月時点の Zoom は、2020年のパンデミック初期と比べて大幅に安全性が向上しています。エンドツーエンド暗号化の追加、データ処理方法の全面的な見直し、5年前には存在しなかった各種コンプライアンス認証の取得が行われました。ただし「より安全」は「万全」を意味しません。設定、利用習慣、契約プランによって、会議の実際の安全レベルは変わります。

本ガイドでは、Zoom が何を守り、どこにリスクが残り、具体的にどう対策すべきかを解説します。

Zoom の暗号化の仕組み

Zoom は会議を暗号化していますが、暗号化の種類によって保護レベルが異なります。違いを理解すれば、自分の用途に Zoom が十分安全かどうか判断できます。

デフォルト暗号化（AES 256ビット GCM）： 2026年3月現在、すべての Zoom ミーティングは AES 256ビット GCM 暗号化を使用しています。デバイスと Zoom サーバー間のデータが暗号化され、銀行や政府機関と同じ暗号化規格です。通信を傍受しても内容を読み取ることはできません。

注意点：Zoom のサーバーが暗号鍵を保持しているため、技術的にはデータを復号できます。これは「転送中の暗号化」と呼ばれます。日常のチームミーティングやプロジェクト確認には、このレベルで十分です。

エンドツーエンド暗号化（E2EE）： Zoom は2020年末にオプションの E2EE を導入し、以降拡充しています。E2EE を有効にすると、復号鍵を持つのは会議参加者だけになり、Zoom のサーバーでもコンテンツを読み取れません。2026年3月時点で、E2EE は全有料プランと無料プラン（最大200名）で利用可能です。

トレードオフ：E2EE を有効にすると、クラウド録画、リアルタイム文字起こし、投票、ブレイクアウトルームが無効になります。利便性よりもプライバシーを優先する選択です。

Zoom Phone と Zoom Mail： Zoom Phone の通話も同じ AES 256ビット GCM 暗号化を使用しています。Zoom Mail（2023年開始）は、Zoom Mail ユーザー間のメッセージにデフォルトで E2EE を適用し、鍵はデバイス上にのみ保存されます。

例えば、法務チームが Zoom で合併関連の書類をレビューしている場合。標準暗号化では外部からの盗聴は防げますが、Zoom が理論上アクセスできます。E2EE を有効にすれば、Zoom の社員でも内容を聞くことはできません。このような法務レビューでは、E2EE の機能制限を受け入れる価値があります。

Zoom はどのようなデータを収集しているのか

暗号化は転送中のデータを保護しますが、Zoom のサーバーに保存されるデータはどうでしょうか。プライバシーの全体像はやや複雑です。

2026年3月時点で Zoom が収集するデータ：

• アカウント情報（氏名、メール、電話番号、役職）
• ミーティングメタデータ（日時、所要時間、参加者リスト、IP アドレス）
• デバイス情報（OS バージョン、デバイスの種類、固有識別子）
• ユーザーが保存を選択したコンテンツ（クラウド録画、チャットメッセージ、ホワイトボード）
• 利用データ（使用機能、頻度、パフォーマンス指標）

Zoom が「販売しない」と明言しているデータ： 2026年1月改定のプライバシーポリシーで、Zoom は個人データを第三者に販売せず、顧客の同意なしにミーティングの音声・映像・チャットを AI モデルの学習に使用しないと述べています。

この「同意」という文言は重要です。2023年8月、プライバシーポリシーの更新で AI 学習にデータを利用する権利を付与するように見える表現があり、Zoom は批判を受けました。反響を受けてすぐに修正し、明示的なオプトイン方式を導入しました。2026年3月現在、AI Companion 機能はアカウント管理者の承認がなければ、ミーティングデータを AI 要約に利用できません。

データ所在地の管理： 有料アカウントの管理者は、ミーティングデータを処理するデータセンターの地域を選択できます。米国、欧州、アジア太平洋などから選べます。無料アカウントは最寄りのデータセンターにルーティングされます。

サードパーティ連携： Zoom のアプリマーケットプレイスには数百の連携アプリがあります。各サードパーティアプリには独自のプライバシーポリシーがあります。Zoom アプリをインストールすると、その開発者にミーティングデータへのアクセス権を付与することになります。権限を慎重に確認してください。スケジュール管理ツールの連携が、必要以上のデータを要求する場合もあります。

Zoom のセキュリティ履歴：過去のインシデントと対応

今日の Zoom が安全かを評価するには、過去に何が起きたかを理解する必要があります。主要なインシデントと Zoom の対応を時系列で紹介します。

2020年4月：Zoombombing の蔓延。 パンデミックで数百万人が一夜にして Zoom を使い始めると、招かれていない参加者が不快なコンテンツで会議に乱入するようになりました。原因は、会議にデフォルトでパスワードや待機室がなく、ミーティング ID が推測しやすかったことです。Zoom は全新規ミーティングでパスワードと待機室をデフォルト有効にし、不正アクセスを大幅に削減したと発表しました。

2020年4月：暗号化に関する誤解を招く表示。 セキュリティ研究者が、Zoom が「エンドツーエンド暗号化」と宣伝しながら実際には標準的な TLS 転送暗号化を使用していたことを発見しました。FTC が調査を行い、2020年11月に Zoom は2年ごとの第三者評価を含むセキュリティプログラムの実施に合意しました。実際の E2EE は2020年10月に開始されました。

2020年4月：中国経由のデータルーティング。 中国国外のユーザーの一部の通話が中国のデータセンターを経由していました。Zoom はパンデミック急増時の容量エラーと説明し、管理者がデータ処理地域を選択できるルーティング制御を速やかに追加しました。

2020年：Facebook SDK によるデバイスデータ共有。 Zoom の iOS アプリが、Facebook アカウントを持たないユーザーのデバイス情報も Facebook に送信していました。Zoom は報告から数日以内に Facebook SDK を削除しました。この件は2021年8月に8,500万ドルで和解した集団訴訟につながりました。

2023年3月：Google Project Zero の脆弱性。 リモートコード実行が可能な重大なゼロクリック脆弱性（CVE-2023-28597）が発見されました。Zoom は責任ある開示後すぐにパッチを公開し、影響を受けたクライアントを自動更新しました。

近年。 Zoom のセキュリティ情報公開ページでは継続的な脆弱性パッチが確認でき、これは主要ソフトウェアプラットフォームの標準的な対応です。2020年のインシデント以降、大規模な侵害やデータ流出は広く報告されていません。

パターンは明確です。2020年の Zoom は、爆発的な成長がセキュリティインフラを上回り混乱していました。それ以降、セキュリティへの大規模投資と CISO チームの拡充を行ったとしています。問題があったかではなく、修正したかが重要です。少なくとも既知の問題については、修正されたと判断できます。

企業・医療・カウンセリングで Zoom は安全か

業界によって求められるセキュリティレベルは異なります。Zoom の認証状況を整理しました。

SOC 2 Type II： Zoom は現行の SOC 2 Type II レポートを保持しており、独立した監査人がセキュリティ管理を一定期間検証したことを意味します。ほとんどの企業が SaaS ベンダーに求める基本認証です。

ISO 27001： 2026年3月現在、Zoom の情報セキュリティマネジメントシステムは ISO 27001 認証を取得しています。機密データ管理の国際規格です。

HIPAA 準拠： Zoom は有料プラン（Business 以上）で医療機関向けの HIPAA 準拠設定を提供しています。BAA（Business Associate Agreement）の締結、クラウド録画のデフォルト無効化、E2EE の利用が含まれます。数千の医療機関がテレヘルスにこのプラットフォームを利用しているとしています（Zoom のヘルスケアページ参照）。

カウンセリングに Zoom は安全か。正しく設定すれば安全です。BAA 付きの有料プランを使用し、待機室を有効にし、ファイル転送を無効にし、できれば E2EE を有効にする必要があります。詳細は Zoom HIPAA 準拠ガイドをご覧ください。

GDPR： Zoom は EU 顧客向けにデータ処理契約（DPA）を提供し、欧州データセンターでのデータ保管に対応しています。標準契約条項（SCC）が国際データ移転を規律しています。

FedRAMP： Zoom for Government は FedRAMP Moderate の認可を受けており、米国連邦セキュリティ基準を満たしています。一般の Zoom とは別のインフラで運用されています。

教育（FERPA/COPPA）： Zoom for Education は FERPA 要件を満たすよう設計されており、学生データを広告に使用しません。学校は個人アカウントではなく Zoom for Education アカウントを使用すべきです。

医療機関は、PHI（保護対象保健情報）に関してビデオプラットフォームを利用する前に、HIPAA 準拠の専門家に相談してください。無料プランは BAA の対象外であり、デフォルト設定だけでは HIPAA 要件を満たしません。

今日変更すべき Zoom セキュリティ設定8選

Zoom のデフォルト設定はある程度安全ですが、機密性の高い会議には不十分です。以下の8つの変更は約5分で完了し、最も一般的な脆弱点を塞ぎます。

1. ミーティングパスコードを必須にする。 Zoom ウェブポータルで 設定 > セキュリティ に移動します。「新しいミーティングのスケジュール時にパスコードを必須にする」をオンにしてください。2026年時点でほとんどのアカウントでデフォルト有効ですが、オフになっていないか確認してください。

2. 待機室を有効にする。 設定 > セキュリティ で「待機室」をオンにします。すべての参加者がホストの承認を待つ必要があり、招かれていないゲストに対する最も効果的な防御策です。

3. 全員参加後にミーティングをロックする。 全参加者が揃ったら、ミーティングツールバーの「セキュリティ」をクリックし、「ミーティングをロック」を選択します。正しいリンクとパスコードがあっても、以降は誰も参加できません。

4. チャットでのファイル転送を無効にする。 設定 > ミーティング中（基本）で「ファイル転送」をオフにします。Zoom チャット経由で悪意のあるファイルが送信されるのを防ぎます。

5. 画面共有を制御する。 設定 > ミーティング中（基本）で、機密性の高い会議では「共有できるのは誰ですか？」を「ホストのみ」に設定します。通話中に特定の参加者に共有を許可することもできます。

6. 機密会議で E2EE を有効にする。 設定 > セキュリティ で「エンドツーエンド暗号化の使用を許可」をオンにします。ミーティング設定時にセキュリティセクションで「エンドツーエンド暗号化」を選択してください。クラウド録画や一部のコラボレーション機能が無効になります。

7. ホストより前の参加を無効にする。 設定 > ミーティング中（詳細）で「参加者がホストより先に参加することを許可」をオフにします。ホスト不在の状態で参加者がミーティングルームにいることを防ぎます。

8. 認証済みプロフィールを必須にする。 設定 > セキュリティ で「認証済みユーザーのみミーティングに参加可能」を有効にします。Zoom アカウントにサインインしないと参加できなくなり、匿名アクセスを防止します。

これらの設定で、ほとんどのチームが直面するセキュリティシナリオの90%をカバーできます。残りの10%は Zoom の技術ではなく、人的要因が最大のリスクです。ミーティングリンクの公開共有、同一ミーティング ID の使い回し、Zoom チャット内の不審なリンクのクリックなどです。

Zoom はハッカーから安全か

どのソフトウェアもハッカーから完全に安全ではありません。そう言い切る人は何かを売ろうとしています。より適切な問いは、一般的な攻撃手法に対して Zoom がどの程度防御できているかです。

クレデンシャルスタッフィング： 他のサービスから漏洩したパスワードを使って Zoom アカウントへのログインを試みる手法です。2020年4月、セキュリティ研究者がダークウェブフォーラムに大量の Zoom 認証情報が出回っていると報告しました。Zoom からの漏洩ではなく、複数のサービスで同じパスワードを使い回していたユーザーの情報でした。Zoom の対策：2020年9月から全アカウントで利用可能な二要素認証（2FA）。まだ有効にしていない場合は、今日設定してください。

Zoombombing： デフォルトのパスコード、待機室、ミーティングロック機能で対処済みです（上記の設定セクション参照）。

ゼロデイ攻撃： Zoom は HackerOne を通じてバグバウンティプログラムを実施し、脆弱性を報告する研究者に報奨金を支払っています。セキュリティ企業と連携した定期的な侵入テストも行っています。

中間者攻撃： AES 256ビット GCM 暗号化が傍受を防ぎます。E2EE は Zoom 側での傍受という理論的リスクも排除します。

ソーシャルエンジニアリング： あらゆるセキュリティチェーンの最も弱いリンクです。Zoom のミーティング招待を装ったフィッシングメールは依然として多く見られます。偽の「ミーティングに参加」リンクから認証情報を窃取するページへの誘導を、Zoom が防ぐことはできません。ミーティングリンクの確認と、不明なメールのリンクではなくカレンダー連携の利用をチームに周知してください。

Zoom はハッカーから安全か。2FA、ユニークなパスワード、上記のセキュリティ設定を使用すれば、他の主要クラウドプラットフォームと同等の安全性があります。最大のリスクは Zoom のコードではなく、パスワード管理の習慣です。

Zoom と他のプラットフォームのセキュリティ比較

Zoom だけがビデオ会議の選択肢ではありません。2026年3月時点で主要な代替サービスとセキュリティを比較します。

Microsoft Teams： AES 256ビット暗号化を使用し、1対1通話で E2EE を提供しています（2025年末にグループ通話にも拡大）。Teams は Azure Active Directory や Microsoft Defender との統合を含む Microsoft の広範なセキュリティエコシステムの恩恵を受けています。コンプライアンス認証は Zoom と同等です。すでに Microsoft 365 を利用している組織では、Teams のセキュリティが既存の ID 管理と緊密に統合されています。詳しくは Microsoft Teams 代替サービスガイドをご覧ください。

Google Meet： すべての通話に AES 256ビット暗号化を使用しています。標準の Meet 通話でユーザーが選択可能な E2EE は提供されていません（クライアントサイド暗号化は Workspace Enterprise Plus プランのみ）。Google のデータ慣行は、サービス改善を含む幅広いプライバシーポリシーに基づいています。

WebRTC ベースのプラットフォーム（Flat.social を含む）： WebRTC 上に構築されたプラットフォームは、デフォルトで DTLS 鍵交換による SRTP（Secure Real-time Transport Protocol）を使用します。可能な場合、音声と映像はピアツーピアで伝送され、中央サーバーを経由しません。サーバー側に何も保存されないため、クラウド録画の心配はありません。ポリシーではなくアーキテクチャによるプライバシーを求めるチームには、WebRTC プラットフォームが検討に値します。

「最も安全な」プラットフォームは一つではありません。セキュリティは脅威モデルによって異なります。Zoom は、コンプライアンス認証、管理者制御、エンタープライズ機能を必要とする組織にとって強力な選択肢です。データ収集の最小化とピアツーピアアーキテクチャを重視するチームには、空間型ミーティングプラットフォームが根本的に異なるアプローチを提供します。

Zoom は Zoom Communications, Inc. の商標です。本記事は独立した出版物であり、Zoom Communications, Inc. との提携、推奨、スポンサー関係はありません。

まとめ：Zoom はチームにとって十分に安全か

2026年の Zoom は、2020年にセキュリティの見出しを飾った製品とは根本的に異なります。AES 256ビット暗号化がすべての通話を保護し、オプションの E2EE は全プランで利用可能です。SOC 2、ISO 27001、HIPAA、FedRAMP の認証が、ほとんどの組織のコンプライアンス要件をカバーしています。

しかしセキュリティはプラットフォームだけの問題ではなく、使い方も重要です。アクションリストをまとめました。

1. 二要素認証を有効にする — 組織内のすべての Zoom アカウントに設定。
2. 待機室とパスコードを有効にする — すべてのスケジュール済みミーティングに設定。
3. E2EE を使用する — 機密情報（法務、財務、医療、人事）を含むミーティングに適用。
4. サードパーティアプリの権限を確認する — Zoom マーケットプレイスの連携を四半期ごとにレビュー。
5. Zoom を最新に保つ — すべてのデバイスで最新バージョンに更新。

この5つのステップで、セキュリティ面で95%の Zoom ユーザーを上回れます。脅威モデルがさらに高い水準を求める場合（機密情報の取り扱い、厳格なデータ主権法の適用、設計段階からデータ収集を最小限にしたプラットフォームの選好など）は、音声がピアツーピアで伝送され中央サーバーに何も保存されない WebRTC ベースの代替サービスを検討してみてください。

ミーティングにはチームのアイデア、戦略、率直な会話が詰まっています。守る価値があります。