欧州連合公共部門向け主権コントロール解説
EU公共部門組織向けの主権コントロール、セキュリティ、コンプライアンス要件へのZoomの取り組みについて学びます。
はじめに
このドキュメントでは、Zoom が欧州連合(EU)の公共部門機関の厳格なデータプライバシーとセキュリティ要件への対応をどのように支援するかを説明します。
Zoom は、EU 公共部門のコンプライアンスと主権管理に関する固有の要件をサポートします
Zoom プラットフォームは、欧州連合全体で高まる主権管理ニーズをサポートします。EU の公共部門組織には、業界および地域の規制を満たすのに役立つ、安全でコンプライアンスに準拠し、信頼性の高い通信システムが求められます。Zoom は、公共部門組織が責任あるデータ取扱い慣行に対する増大する義務を管理しつつ、信頼性が高く管理しやすい通信システムを利用できるよう支援するソリューションが必要であることを理解しています。
Zoom は、EU 内でホストされるインフラ、柔軟なハイブリッド展開フレームワーク、顧客管理の暗号化オプション、透明性の高いデータ取扱いポリシーなど、さまざまなサービス、ソリューション、ツールを通じて、公共部門のお客様のニーズに応えることに取り組んでいます。これらの提供内容を活用することで、公共部門の IT チームは、Zoom プラットフォーム上でのデータの保存、処理、アクセスに対する監視と制御を強化できます。
Zoom と欧州連合の一般データ保護規則(GDPR)法に関する情報については、 トラストセンターのドキュメント.
3層フレームワークにより、組織はポリシーに従ってインフラ、暗号化、ハイブリッドホスティングを通じてデータを管理できます
Zoom の3層フレームワークは、公共部門組織にデータと通信に対する強化された制御を提供するよう設計されています。
プラットフォーム層:Zoom は、EU のデータセンターでサービスをホストするための専用 EU インフラを提供します。
暗号化層:組織は Customer Managed Key(CMK)または Hold-Your-Own-Key(HYOK)の構成を使用して、自身の暗号鍵を管理できます。
コンテンツ層:組織は Zoom Node を導入して、自身の IT 環境内でミーティング、チャット、レコーディングをホストできます。
3層フレームワークは、公共部門に4つの主要なメリットをもたらします
学校、病院、行政機関を含む公共部門組織では、日々のコミュニケーションやコラボレーションのワークフローの中で、規制対象データを日常的に扱う場合があります。これらの機関は、データを安全に、プライベートに、そして許可された担当者のみがアクセスできるようにするため、地域および EU 全体の規則に従わなければなりません。
公共部門組織向けの Zoom のアプローチは、次のメリットを提供します。
データレジデンシー:特定のデータを物理的にも論理的にも EU 内に保持すること。
暗号制御:組織がアクセスを管理し、暗号鍵を所有できるようにすること。
レジリエンス:停止やネットワーク問題が発生しても通信を継続できるよう支援すること。
透明性:データフローに関する洞察を提供すること。データはどのように、いつアクセスされるのか:誰が何にアクセスし、なぜアクセスしたのか?
Zoom は、構成可能なインフラ、詳細なポリシー、強力なプライバシー保護によって、公共機関がこれらの目標を達成するのを支援します。
カスタム開発なしで GDPR 準拠を支援
Zoom は、GDPR の要件をコアサービスに組み込み、Data Processing Addendum を通じた契約上のコミットメントを提供し、技術的保護策を実装することで、GDPR 準拠を支援します。GDPR への整合を求めるすべてのお客様に対して、Zoom は適切なセキュリティ対策を維持し、セルフサービスの Data Subject Access Request(DSAR)ツールを提供し、データ処理の実務に関する透明性を提供するとともに、EU-US Data Privacy Framework や Standard Contractual Clauses などの仕組みを通じた国際データ移転のオプションも提供します。
医療、教育、政府、規制産業に属する EU の公共部門組織で、GDPR 準拠をより管理された方法で進めたい場合、Zoom が提供するプラットフォーム、暗号化、コンテンツ各レベルの3層フレームワークにより、カスタムコードや複雑な開発を必要とせずに、欧州連合全体で GDPR に整合した運用をさらに強化できます。
インフラ
Zoom は、公共部門組織がデータプライバシー、セキュリティ、サービスのレジリエンスに関する厳格な EU 要件を管理するのに役立つインフラと制御を提供します。
EU ベースのインフラは、特定のデータを欧州の域内に保持します
欧州連合(EU)の顧客のうち、Content、Account、Diagnostic、Support、および制限付きアクセスの Website Data を含む個人データを米国に移転したくない方のために、Zoom は Zoom EU Infrastructure として知られる専用インフラを提供しています。このインフラは EU Education および Enterprise の顧客アカウントをホストし、現在、Meetings、Webinar、Chat、Zoom Phone、Zoom Contact Center など、幅広い Zoom 製品をサポートしています。
地域 Zoom EU Infrastructure 上でホストされているお客様には、地域内でデータを保存および処理する機能が提供されます。Zoom は、顧客との事前合意がある場合、または適用法に基づく要件、トラストおよびセーフティ上の目的、サービス通知の提供やサービス有効化などの特定の例外が適用される場合を除き、このインフラの外部へデータを移転したり、外部からデータにアクセスしたりしません。詳細については、 Zoom EU Infrastructure ファクトシート.
ID、アクセス、およびプライバシー機能
Zoom には、既存の組織システムと統合する標準的な ID およびアクセス管理機能が含まれています。
標準認証と認可
Zoom は、SAML 2.0 準拠のプロバイダーを使った Single Sign-On(SSO)、自動ユーザー管理のための SCIM 2.0 プロビジョニング、カスタマイズ可能なロールと権限を備えた Role-Based Access Control(RBAC)を通じて、一般的なエンタープライズ ID 連携を提供します。これらの機能は、顧客が提供する地域の Identity Provider(IdP)と統合され、顧客または選択した IdP ベンダーによって管理・ホストされ、SAML 2.0 を介して Zoom の EU インフラに接続されます。
組み込みのプライバシーおよびデータ制御
このプラットフォームには、GDPR 要件に沿ったプライバシー・バイ・デザイン機能が標準で含まれています。
データ最小化 システムログ内の仮名化された識別子による
管理者向けデータ制御 保存期間の設定や削除要求の処理用
アクセスログ セキュリティ監視と監査証跡のための
最小権限およびロールベースアクセス Zoom の顧客データおよびコンテンツへのアクセスに関する制御
組織のデータ所有権
他のエンタープライズプラットフォームと同様に、組織はユーザーおよびコンテンツのライフサイクルを管理し、Zoom は GDPR 第17条への準拠など、社内ポリシーや規制要件を支える技術インフラを提供します。
Zoom Node
データに対する制御をさらに高めたい場合は、Zoom Node をご検討ください。このハイブリッドプラットフォームでは、メディアルーティング、チャット保存、レコーディング、Web アクセスを含む Zoom Workplace のワークロードを、お客様自身の環境内で直接実行できます。Zoom Node は、メディアのローカライズ、コンテンツデータ管理の改善、または中断のない運用が必要なお客様に最適で、使い慣れた Zoom 体験を維持できます。Zoom Node の概念の詳細については、 Zoom Node解説.
Zoom Node の中核では、 Zoom Node OSを実行する仮想マシン(VM)として動作します。Zoom Node は、モジュール型のサービスコンポーネントを通じて一部の Zoom サービスのローカルホスティングを可能にし、以下を含みます。
Zoom Node OS:コンテナ化されたモジュールを管理するコアの運用レイヤー。通信、ライフサイクルのオーケストレーション、リソース管理を処理します。
サービスモジュール:VM 内の分離されたコンテナに展開される独立した機能コンポーネント(例:Meeting、Recording、Chat)。
このモジュール型構造により、顧客は必要なサービスだけを実行でき、管理を簡素化し、リソース利用を最適化できます。
Zoom Node は、スムーズな Zoom のユーザー体験を維持しながら、制御性と柔軟性を提供します。Zoom Node の利点には、次のものがあります。
モジュール性:必要なサービスだけを導入できます。
ローカライズ:ミーティングとウェビナーのローカルメディア処理および保持。
将来への対応:将来のハイブリッドサービス(Zoom Chat、Zoom Phone)と互換性があります。
Zoom Node は、ミーティング、レコーディング、チャット、ブラウザアクセス、ルーム接続などのコアサービスのモジュール型導入をサポートします
Zoom Node で現在利用可能なモジュールは次のとおりです。
Meetings ハイブリッドモジュール:Zoom のミーティングサーバーをローカルで実行し、音声、ビデオ、コンテンツストリームを制御します。
Web Access Gateway:Zoom Cloud にアクセスする必要なく、ブラウザ経由で参加する Zoom ユーザーが Meetings Hybrid でホストされた非公開ミーティングに参加できるようにする Web Gateway
Recording ハイブリッドモジュール:ミーティング録画を Zoom のクラウドではなくオンプレミスに保存します。
コンテンツストリーミングサービス:Zoom Meeting およびウェビナーの録画用のビデオストリーミング仲介サービスで、顧客の Network File Storage に保存されます。このサービスは、Zoom Web ポータルを通じて会議のホストに再生、ダウンロード、再配布へのアクセスを提供し、Zoom クラウド内に保存された録画のワークフローと同様の体験を実現します。
Chat ハイブリッドモジュール:内部チャットコンテンツをお客様自身の環境内に保存・管理します。
ミーティングの継続性:クラウド障害時のオンプレミスフェイルオーバー。
ハイブリッドルーム相互運用性:ハイブリッドルーム相互運用性ソリューションを使用して、標準ベースのルームシステムを Zoom ミーティングに接続します。
ハイブリッド構成は、Zoom Workplace アプリの基本機能を維持しながら、データ管理と災害復旧に関連する組織ポリシーを支援します。各モジュールの最新情報については、専用の Zoom Node 概要ページ をご覧ください。
導入情報については、 Zoom Node導入フィールドガイド.
Zoom Node は、モジュールの有効化、パフォーマンス監視、ソフトウェア更新、ログ記録をサポートするクラウドインターフェースを通じて管理されます
管理者は中央集約型コンソールを通じて Zoom Node を管理できます。このコンソールにより、以下が可能になります。
特定のモジュールを有効または無効にする
サービスの健全性とネットワークパフォーマンスを監視する
管理されたスケジュールで更新を適用する
セキュリティ設定とアクセスログを確認する
暗号化
Zoom は、Customer Managed Key(CMK)を含む高度な暗号化ツールをサポートしており、組織がデータ保護方法をより細かく制御できるようにします。Zoom は、暗号鍵の完全な所有権を含め、機密通信を保護するための複数のオプションを提供します。
Customer Managed Key(CMK)により、機関は信頼できるサービスまたは社内システムを使用して、自身の暗号鍵を管理および監査できます
Zoom CMK は、次のような一般的な Key Management Service(KMS)プロバイダーと統合します。
Amazon Web Services(AWS)KMS
Microsoft Azure Key Vault
Oracle OCI Vault
Thales CipherTrust(AWS External Key Store 経由)
Thales Luna HSM などの独自の Hardware Security Module(HSM)をホストして、暗号鍵の制御を提供し、米国ベースの外部システムへの依存を避けることもでき、完全な HYOK(Hold-Your-Own-Key)ソリューションを提供します。
CMK は多くの種類の機密性の高い Zoom コンテンツを暗号化できます
CMK は、次のような多くの種類の機密性の高い Zoom コンテンツを暗号化できます。
ミーティングおよびウェビナー録画(音声、ビデオ、チャット)
文字起こし(インデックス検索を除く)
ボイスメールおよび通話録音
カレンダーアクセス トークン
Microsoft Teams 連携トークン
チャットメッセージとファイル
ホワイトボード
AI Companion 機能によって生成されたコンテンツ
チャットメッセージなど、特定のデータを Zoom Cloud で復号化させたくない組織向けに、Zoom は Zoom CMK Hybrid モジュールを提供しています。Zoom CMK Hybrid を使用すると、組織は、別途管理される顧客管理キーを使って自社のセキュリティ境界内でクライアント側暗号化に使用するデータキーを生成・管理できます。
現在の一覧については、Zoom のサポート記事 Customer Managed Key で保護されるコンテンツ をご覧ください。
End-to-End Encryption(E2EE)は、参加者だけがミーティングや通話中のメディアにアクセスできるように設計されています
ミーティングを保護するための追加のセキュリティ制御もあります。Zoom は、デスクトップまたはモバイルの Workplace アプリで有効にできるオプションのエンドツーエンド暗号化(E2EE)を次の用途に提供しています。
アカウント内の1対1の Zoom Phone 通話
最大1,000人の参加者を含む Zoom Meetings
E2EE は、Web クライアントや PSTN 経由の通話、また Zoom Contact Center および Zoom Virtual Agent サービスではサポートされていません。
Zoom Meetings 用の E2EE は、標準の強化された暗号化を支えるのと同じ 256-bit AES-GCM 暗号化方式を使用します。有効にすると、Zoom のシステムは、暗号鍵がミーティング参加者のデバイスにのみ知られるように設計されています。これにより、Zoom を含む第三者がミーティングの秘密鍵にアクセスできなくなります。
さらに、Zoom は Zoom Workplace 向けにポスト量子 E2EE(PQ E2EE)を導入し、特に Zoom Meetings、Zoom Phone、Zoom Rooms をサポートします。この新しいセキュリティ強化の提供により、Zoom はビデオ会議向けのポスト量子 E2EE ソリューションを提供する最初の Unified Communications as a Service(UCaaS)企業となりました。ポスト量子エンドツーエンド暗号化(PQ E2EE)は、エンドツーエンド暗号化(E2EE)と同じセキュリティ特性を提供します。つまり、Zoom のサーバーでさえなく、ミーティング参加者のみがミーティングの暗号化に使用される鍵にアクセスできます。エンドツーエンド暗号化とは異なり、PQ E2EE は、暗号化されたネットワークトラフィックを取得し、将来的に量子コンピュータを入手してそのデータを復号しようとする攻撃者の脅威に耐えられるよう設計されています。
これらの追加の暗号化機能に関心のあるお客様は E2EE を有効にできます。ただし、 前提条件と制限事項 に注意してください。
クライアント要件:E2EE を使用するには、すべてのミーティング参加者が Zoom Workplace デスクトップアプリ、モバイルアプリ、または Zoom Room から参加する必要があります。
機能制限:E2EE を有効にすると、次のような一部の機能と互換性がなくなります。
Zoom Meetings のクラウドレコーディング
Zoom Phone の自動通話録音
AI Companion 機能
継続的なミーティングチャット
サポートドキュメントに記載されている追加機能
詳細については、 Zoom Phone および Zoom Meetings のサポート記事をご覧ください。
Zoom Chat セキュリティを強化するためのクライアントレベルの暗号化オプション
Zoom Chat では、標準暗号化に加えて複数の暗号化オプションがあり、それぞれ異なるセキュリティ要件と組織構造に合わせて設計されています。
標準チャット暗号化(デフォルト)
デフォルトでは、Zoom はチャットメッセージを送信中は TLS で、保存時は Zoom 管理鍵を使用した AES-256 暗号化で暗号化します。これにより、ほとんどの組織のニーズに対する基本的なセキュリティが提供されます。
高度なチャット暗号化(ACE)
ACE は、デバイスで生成・保存された鍵を使用してチャット参加者間のメッセージを暗号化し、送信中は追加の TLS 保護を適用します。鍵はチャット参加者のデバイス上で生成・運用されるため、プライバシーは強化されますが、参加者が同時にオンラインでない場合は機能が制限されます。
高度な CMK チャット暗号化(ACCE)
ACCE は、Zoom の CMK サービスを通じて顧客管理鍵を使用しますが、鍵は Zoom Cloud で生成・保護されます。このオプションは、顧客鍵の管理を提供しつつ、デバイスベースのソリューションよりもアカウント間互換性を高く維持します。
クライアント側 CMK ハイブリッドチャット暗号化(CSE)
CSE は、CMK Hybrid インフラを通じてオンプレミスで生成・保存された顧客管理鍵を使用します。鍵は Zoom のクラウド環境に存在しないため、暗号鍵に対する顧客の制御レベルが最も高くなります。
主な違い
ACE:デバイス生成の鍵、アカウント内メッセージのみ
ACCE:Zoom Cloud 内の顧客鍵、アカウント間で動作
CSE:オンプレミスの顧客鍵、外部通信には ACCE フォールバックを伴うアカウント内メッセージング
要件
ACE:有料アカウント、管理者による有効化
ACCE:Zoom Enterprise Plus(またはそれ以上)または CMK アドオンライセンス
CSE:Zoom Enterprise Plus または CMK Hybrid ライセンス(フォールトトレランスのため最低2つの CMK Hybrid ライセンスと2台のサーバーが必要)
重要な制限事項
すべての高度な暗号化オプションは、次のようなチャット機能を制限します。
AI Companion 機能
メッセージ編集と翻訳
アニメーション GIF とリンクプレビュー
サードパーティプロバイダーによるメッセージアーカイブ
継続的なミーティングチャット連携
利用可能性に関する注意
CSE は、オンプレミスの鍵管理インフラを持つ CMK Hybrid 顧客にのみ利用可能です
CSE が有効なアカウントが外部連絡先と通信する場合、ACCE がフォールバックプロトコルとして機能します
標準暗号化で規制遵守フレームワークを十分に支えられる場合もあるため、組織は強化されたセキュリティが機能制限に見合うかどうかを評価すべきです
安全な接続プロセスは、地域サーバーの割り当てとデータコンプライアンスを支援します
Zoom Workplace アプリを使用している場合でも、ミーティングに参加する場合でも、ブラウザ経由で Zoom Web ポータルにアクセスする場合でも、Zoom Meetings は Zoom Web ポータルまたは Zoom Cloud Platform 上のサービスと通信する際に、信頼できる方法を使用して送信中の顧客データを暗号化するよう設計されています。これには接続プロセスおよびリアルタイムメディアの送信中(ビデオ、音声、ミーティング内共有コンテンツ)が含まれます。
ユーザーが Zoom Meeting または Zoom Phone 通話を開始すると:
Zoom Workplace アプリはまず TLS 1.2 または TLS 1.3 暗号化を使用して、Zoom のグローバル Lookup Service に接続します。
IP ジオロケーションやデバイス情報を含む Lookup メタデータは、TLS 1.2 以上の暗号化を使用した HTTPS(ポート443)で送信されます。
場所と可用性に基づいて、アプリは最適な Zoom Zone Controller と地域のメディアノードに振り分けられます。
Zoom Workplace アプリは各ノードへの接続性をテストし、次の方法で暗号化されたメディアセッション(ビデオ、音声、コンテンツ)を確立します。
UDP(優先、ポート8801)による AES-256-GCM 暗号化
TCP(フォールバック、ポート8801)による AES-256-GCM 暗号化
TCP(第2フォールバック、ポート443)による TLS 1.2 または TLS 1.3 暗号化
送信中および保存中のデータに業界標準の暗号化方式を使用した Zoom の暗号化設計の詳細については、 Zoom Encryption Whitepaperをご覧ください。Zoom のセキュリティ実務の検証については、 Zoom Trust Center.
最終更新
役に立ちましたか?