欧州連合の公共セクター主権コントロールの解説

はじめに

本書は、欧州連合（EU）の公共部門機関が厳格なデータプライバシーおよびセキュリティ要件に対応するうえで、Zoomがどのように支援するかを説明します。

ZoomはEUの公共部門のコンプライアンスと主権管理の固有の要件をサポートします

Zoomプラットフォームは欧州連合全域で高まる主権管理ニーズをサポートします。EUの公共部門組織は、業界や地域の規制に準拠できる安全で信頼性の高い通信システムを必要としています。Zoomは、公共部門組織が責任あるデータ取り扱いの義務の増大を管理しつつ、信頼できて管理が容易な通信システムを実現するソリューションを必要としていることを理解しています。

Zoomは、EU内でホストされるインフラ、柔軟なハイブリッド導入フレームワーク、カスタマー管理の暗号化オプション、透明性の高いデータ取り扱いポリシーなど、さまざまなサービス、ソリューション、ツールを通じて公共部門のお客様が要件を満たすのを支援することを約束します。これらの提供により、公共部門のITチームはZoomプラットフォーム上でのデータの保存、処理、およびアクセスに対する監視と制御を強化できます。

Zoomと欧州連合の一般データ保護規則（GDPR）に関する情報については、当社の Trust Centerのドキュメント.

3層フレームワークにより、組織はポリシーに従ってインフラ、暗号化、ハイブリッドホスティングを通じてデータを管理できます

Zoomの3層フレームワークは、公共部門組織にデータおよび通信に対する強化された制御を提供することを目的としています：

• プラットフォーム層: ZoomはEUデータセンターでサービスをホストする専用のEUインフラストラクチャを提供します。

• 暗号化層: 組織はCustomer Managed Key（CMK）やHold-Your-Own-Key（HYOK）構成を使用して自身の暗号化キーを管理できます。

• コンテンツ層: 組織はZoom Nodeを導入して、自らのIT環境内でミーティング、チャット、録画をホストできます。

この3層フレームワークは公共部門に対して4つの主要な利点をもたらします

学校、病院、政府機関などの公共部門組織は、日々のコミュニケーションやコラボレーションのワークフローの中で規制対象データを取り扱うことがあります。これらの機関は、データを安全かつプライベートに保ち、認可された担当者のみがアクセスできるようにするために、地域およびEU全体の規則に従う必要があります。

公共部門組織向けのZoomのアプローチは、次の利点を提供します：

• データ居住性: 特定のデータを物理的および論理的にEU内に保持すること。

• 暗号管理: 組織がアクセスを管理し、暗号化キーを所有できるようにすること。

• 回復力: 障害やネットワークの問題の際にも通信を継続できるよう支援すること。

• 透明性: データフローに関する洞察を提供すること。データはどのように、いつアクセスされるか：誰が何を、なぜアクセスしたか？

Zoomは、構成可能なインフラ、詳細なポリシー、および強力なプライバシー保護により、公共機関がこれらの目標を達成するのを支援します。

カスタム開発なしでのGDPR対応のサポート

Zoomは、GDPRの要件をコアサービスに組み込み、データ処理に関する付随契約（Data Processing Addendum）を通じた契約上の約束を提供し、技術的な保護策を実装することでGDPR準拠のサポートを行います。GDPRへの対応を求めるすべてのお客様に対して、Zoomは適切なセキュリティ対策を維持し、セルフサービスのデータ主体アクセス要求（DSAR）ツールを提供し、データ処理の実態に関する透明性を確保するとともに、EU-USデータプライバシーフレームワークや標準契約条項のような国際データ転送のメカニズムを通じた選択肢を提供します。

医療、教育、政府、および規制業界のEU公共部門組織で、より管理されたGDPR対応が必要な場合、Zoomのプラットフォーム、暗号化、コンテンツレベルで利用可能な3層フレームワークは、カスタムコードや複雑な開発を必要とせずにEU全域でGDPRに整合した運用をさらに強化できます。

インフラストラクチャ

Zoomは、公共部門組織がデータプライバシー、セキュリティ、およびサービスの回復力に関する厳格なEU要件を管理するのに役立つインフラと制御を提供します。

EUベースのインフラは特定のデータを欧州域内に保持します

個人データ（コンテンツ、アカウント、診断、サポート、および制限付きアクセスのウェブサイトデータを含む）を米国に転送したくないEUの顧客向けに、ZoomはZoom EUインフラストラクチャとして知られる専用のインフラを提供します。このインフラはEUの教育およびエンタープライズ向けアカウントをホストし、現在はMeetings、Webinar、Team Chat、Zoom Phone、Zoom Contact Centerなど幅広いZoom製品をサポートしています。

Zoomは、地域のZoom EUインフラストラクチャにホストされたお客様に対して、領域内でデータを保存および処理する機能を提供します。Zoomは、お客様との事前の合意がある場合や適用法により要求される場合、トラスト＆セーフティ目的、サービス通知の提供およびサービスを有効にする場合などの特定の例外を除き、このインフラの外部にデータを転送したり外部からデータにアクセスしたりすることはありません。詳細については、当社の Zoom EU Infrastructureのファクトシート.

認証、アクセス、プライバシー機能

Zoomには既存の組織システムと統合される標準的な認証およびアクセス管理機能が含まれます。

標準的な認証と認可

ZoomはSAML 2.0準拠プロバイダーによるシングルサインオン（SSO）、自動ユーザー管理のためのSCIM 2.0プロビジョニング、およびカスタマイズ可能な役割と権限を備えたロールベースアクセス制御（RBAC）を通じた一般的なエンタープライズ向けのID統合を提供します。これらの機能は、顧客側で管理およびホストされる地域のIdentity Provider（IdP）と統合され、SAML 2.0を介してZoomのEUインフラに接続します。

組み込みのプライバシーおよびデータ制御

プラットフォームにはGDPR要件に整合した標準的なプライバシー・バイ・デザイン機能が含まれます：

• データ最小化 システムログにおける疑名化識別子による実現

• 管理者向けデータ制御 保持期間の設定や削除リクエストの処理のための機能

• アクセスログ記録 セキュリティ監視および監査トレイルのための記録

• 最小権限とロールベースのアクセス Zoomによる顧客データおよびコンテンツへのアクセスに対する制御

組織のデータ所有権

他のエンタープライズプラットフォームと同様に、組織はユーザーおよびコンテンツのライフサイクルに対する制御を維持し、Zoomは内部ポリシーやGDPR第17条の遵守などの規制要件をサポートする技術的インフラを提供します。

Zoom Node

データに対する管理をさらに高めるために、Zoom Nodeをご検討ください。このハイブリッドプラットフォームにより、メディアルーティング、チャット保存、録画、ウェブアクセスなどのZoom Workplaceワークロードを自分の環境内で直接実行できます。Zoom Nodeはメディアのローカリゼーション、コンテンツデータ管理の改善、または継続的な運用が必要な顧客に最適であり、慣れ親しんだZoom体験を維持します。Zoom Nodeの概念の詳細については、 Zoom Nodeの解説.

コアとして、Zoom Nodeは仮想マシン（VM）として動作し、 Zoom Node OSを実行します。Zoom Nodeはモジュラーなサービスコンポーネントを通じて特定のZoomサービスのローカルホスティングを可能にし、次を含みます：

• Zoom Node OS: コンテナ化されたモジュールを管理するコアのオペレーティング層。通信、ライフサイクルオーケストレーション、リソース管理を扱います。

• サービスモジュール: VM内の分離されたコンテナで展開される独立した機能コンポーネント（例：ミーティング、録画、チャット）。

このモジュラー構造により、顧客は必要なサービスだけを実行でき、管理が簡素化され、リソース使用の最適化が可能になります。

Zoom NodeはスムーズなZoomユーザー体験を維持しつつ、制御性と柔軟性を提供します。Zoom Nodeの利点には次が含まれます：

• モジュラリティ: 必要なサービスのみを導入できます。

• ローカリゼーション: ミーティングおよびウェビナーのローカルなメディア処理と保持。

• 将来対応性: 将来のハイブリッドサービス（Zoom Chat、Zoom Phone）との互換性。

Zoom Nodeはミーティング、録画、チャット、ブラウザアクセス、ルーム接続などのコアサービスのモジュール式展開をサポートします

これらはZoom Nodeの現在利用可能なモジュールです：

• Meetingsハイブリッドモジュール: オーディオ、ビデオ、コンテンツストリームの制御を維持するためにZoomミーティングサーバーをローカルで実行します。

  • Web Access Gateway: ブラウザ経由で参加するZoomユーザーがZoomクラウドにアクセスすることなくMeetings Hybridでホストされたプライベートミーティングに参加できるWebゲートウェイ。

• Recordingハイブリッドモジュール: 録画をZoomクラウド内ではなくオンプレミスに保存します。

  • コンテンツストリーミングサービス: Zoomミーティングおよびウェビナーの録画のためのビデオストリーミング仲介サービスで、録画は顧客のネットワークファイルストレージに保存されます。このサービスは、ミーティングのホストに録画の再生、ダウンロード、再配布へのアクセスをZoomウェブポータルを通じて提供し、これはZoomクラウド内に保存された録画のワークフローを反映します。

• Team Chatハイブリッドモジュール: 内部チャットコンテンツを自社環境内で保存および管理します。

• ミーティングサバイバビリティ: クラウド障害時のオンプレミスフェイルオーバー。

• ハイブリッドルーム相互運用性: ハイブリッドルーム相互運用性ソリューションで標準ベースのルームシステムをZoomミーティングに接続します。

ハイブリッド構成は、Zoom Workplaceアプリのコア機能を維持しつつ、データ管理および災害復旧に関する顧客組織のポリシーをサポートします。専用の Zoom Nodeの概要ページ で各種モジュールの最新情報をご覧ください。

導入情報については、当社の Zoom Node展開フィールドガイド.

Zoom Nodeは、モジュールの有効化、パフォーマンス監視、ソフトウェア更新、およびログ記録をサポートするクラウドインターフェースを通じて管理されます

管理者は集中管理コンソールを通じてZoom Nodeを管理できます。このコンソールでは次のことが可能です：

• 特定のモジュールを有効化または無効化する

• サービスの稼働状況とネットワークパフォーマンスを監視する

• 制御されたスケジュールでアップデートを適用する

• セキュリティ設定とアクセスログを確認する

暗号化

ZoomはCustomer Managed Key（CMK）を含む高度な暗号化ツールをサポートしており、組織がデータの保護方法に対して強化された制御を持てるようにします。Zoomは暗号化キーの完全所有を含む、機密性の高い通信を保護するための複数の選択肢を提供します。

Customer Managed Key（CMK）は、組織が信頼できるサービスや社内システムを用いて自身の暗号化キーを管理および監査できるようにします

Zoom CMK は次のような一般的なキー管理サービス（KMS）プロバイダーと統合します：

• Amazon Web Services（AWS）KMS

• Microsoft Azure Key Vault

• Oracle OCI Vault

• Thales CipherTrust（AWS External Key Store経由）

また、Thales Luna HSMのようなハードウェアセキュリティモジュール（HSM）を自らホストして暗号化キーの制御を行い、外部の米国ベースのシステムへの依存を回避して完全なHYOK（Hold-Your-Own-Key）ソリューションを提供することもできます。

CMKは多くのタイプの機密性の高いZoomコンテンツを暗号化できます

CMKは次を含む多くのタイプの機密性の高いZoomコンテンツを暗号化できます：

• ミーティングおよびウェビナーの録画（音声、ビデオ、チャット）

• トランスクリプト（インデックス検索を除く）

• ボイスメールおよび通話録音

• カレンダーアクセス・トークン

• Microsoft Teams統合トークン

• Team Chatのメッセージおよびファイル

• ホワイトボード

• AI Companion機能によって生成されたコンテンツ

Team Chatのメッセージなど、特定のデータがZoomクラウドによって復号されないようにする必要がある組織向けに、ZoomはZoom CMK Hybridモジュールを提供します。Zoom CMK Hybridを使用すると、組織はクライアント側暗号化で使用するデータキーを自ら生成および管理でき、別個の顧客管理キーを使用して自身のセキュリティ境界内で運用できます。

詳細についてはZoomのサポート記事をご覧ください Customer Managed Keyによって保護されたコンテンツ 最新の一覧については、をご参照ください。

エンドツーエンド暗号化（E2EE）はミーティングや通話中のメディアにアクセスできるのが参加者のみとなるよう設計されています

追加のセキュリティ制御により、お客様はミーティングを安全に保つことができます。ZoomはデスクトップまたはモバイルのWorkplaceアプリで有効にできるオプショナルなエンドツーエンド暗号化（E2EE）を次の用途で提供します：

• 同一アカウント内の1対1のZoom Phone通話

• 最大1,000名までのZoomミーティング

Zoomミーティング向けのE2EEは、標準および強化暗号化をサポートするのと同じ256ビットAES-GCM暗号方式を使用します。有効化されると、暗号鍵は会議参加者のデバイスのみに知られるように設計されています。これによりZoomを含む第三者が会議の秘密鍵にアクセスできなくなります。

さらに、ZoomはZoom Workplace向けにポスト量子E2EE（PQ E2EE）を導入しており、特にZoom Meetings、Zoom Phone、およびZoom Roomsをサポートします。この新たなセキュリティ強化の導入により、Zoomはビデオ会議向けにポスト量子E2EEソリューションを提供する最初の統合コミュニケーションサービス（UCaaS）企業となりました。ポスト量子エンドツーエンド暗号化（PQ E2EE）はE2EEと同様のセキュリティ特性を提供します：会議参加者のみが暗号化に使用される鍵にアクセスでき、Zoomのサーバーでさえアクセスできません。E2EEとは異なり、PQ E2EEは暗号化されたネットワークトラフィックを傍受し、将来的に量子コンピュータを取得してそれを用いて捕獲したデータを復号しようとする脅威に耐えるよう設計されています。

これらの追加の暗号化機能に関心のあるお客様はE2EEを有効にできます。ただし、 事前条件および制限事項 を認識しておく必要があります。

クライアント要件: E2EEはすべての会議参加者がZoom Workplaceのデスクトップアプリ、モバイルアプリ、またはZoom Roomから参加することを要求します。

機能の制限: E2EEを有効にすると、次を含む一部の機能と互換性がなくなります：

• Zoomミーティングのクラウド録画

• Zoom Phoneの自動通話録音

• AI Companion機能

• 継続的なミーティングチャット

• サポートドキュメントに記載されている追加の機能

詳細についてはサポート記事を参照してください： Zoom Phone および Zoom Meetings 制限、依存関係、実装に関する完全な詳細については。

強化されたZoom Team Chatセキュリティのためのクライアントレベルの暗号化オプション

Zoom Team Chatは標準暗号化を超える複数の暗号化オプションを提供しており、それぞれが異なるセキュリティ要件や組織構造に対応するよう設計されています。

標準のチームチャット暗号化（デフォルト）

デフォルトでは、ZoomはTeam Chatメッセージを転送中はTLSで、保存時はZoom管理のキーを用いたAES-256で暗号化します。これはほとんどの組織ニーズに対する基礎的なセキュリティを提供します。

Advanced Chat Encryption（ACE）

ACEはデバイス生成および保存されたキーを使用してチャット参加者間のメッセージを暗号化し、転送中は追加のTLS保護を提供します。鍵はチャット参加者のデバイス上で生成および操作され、プライバシーを強化しますが、参加者が同時にオンラインでない場合には機能が制限されます。

Advanced CMK Chat Encryption（ACCE）

ACCEはZoomのCMKサービスを通じた顧客管理キーを使用しますが、鍵はZoomクラウド内で生成および保護されます。このオプションは、デバイスベースのソリューションよりもアカウント間の互換性を維持しつつ顧客キーの管理を提供します。

クライアントサイドCMKハイブリッドチャット暗号化（CSE）

CSEはCMKハイブリッドインフラを通じてオンプレミスで生成および保存される顧客管理キーを使用します。これにより、暗号化キーがZoomのクラウド環境に存在しないため、顧客が暗号化キーに対する最高レベルの制御を保持できます。

主な違い

• ACE: デバイス生成キー、同一アカウント内のメッセージングのみ

• ACCE: 顧客キーはZoomクラウド内、アカウント間で動作

• CSE: 顧客キーはオンプレミス、外部通信にはACCEフォールバックで同一アカウント内メッセージング

要件

• ACE: 有料アカウント、管理者による有効化

• ACCE: Zoom Enterprise Plus（またはそれ以上）またはCMKアドオンライセンス

• CSE: Zoom Enterprise PlusまたはCMKハイブリッドライセンス（冗長性のために最低2つのCMKハイブリッドライセンスと2台のサーバーが必要）

重要な制限事項

すべての高度な暗号化オプションはTeam Chatの機能を制限します。これには次が含まれます：

• AI Companion機能

• メッセージ編集および翻訳

• アニメーションGIFおよびリンクプレビュー

• サードパーティプロバイダーとのメッセージアーカイブ

• 継続的なミーティングチャットとの統合

提供に関する注意事項

• CSEはオンプレミスのキー管理インフラを持つCMKハイブリッド顧客のみ利用可能です

• ACCEはCSE有効化アカウントが外部連絡先と通信する際のフォールバックプロトコルとして機能します

• 組織は、機能制限に見合うだけの強化されたセキュリティがあるかどうかを評価するべきであり、標準暗号化が規制コンプライアンスフレームワークを十分にサポートする場合もあります

安全な接続プロセスは地域サーバーの割り当てとデータ準拠をサポートします

Zoom Workplaceアプリを使用して会議に参加する場合でも、ブラウザ経由でZoomウェブポータルにアクセスする場合でも、ZoomミーティングはZoomクラウドプラットフォームのサービスやウェブポータルと通信する際に信頼できる方法で顧客データの転送中の暗号化を行うよう設計されています。これには接続プロセスやリアルタイムメディアの転送（ビデオ、オーディオ、ミーティング内共有コンテンツ）が含まれます。

ユーザーがZoomミーティングまたはZoom Phoneの通話を開始するとき：

1. Zoom Workplaceアプリは最初にTLS 1.2またはTLS 1.3暗号化を使用してZoomのグローバルなLookup Serviceに接続します。

2. IPのジオロケーションやデバイス情報を含むLookupメタデータは、TLS 1.2以上の暗号化を用いたHTTPS（ポート443）で送信されます。

3. 場所と可用性に基づき、アプリは最適なZoom Zone Controllerと地域のメディアノードに案内されます。

4. Zoom Workplaceアプリは各ノードへの接続性をテストし、次を介して暗号化されたメディアセッション（ビデオ、オーディオ、コンテンツ）を確立します：

   1. UDP（優先、ポート8801）でのAES-256-GCM暗号化

   2. TCP（フォールバック、ポート8801）でのAES-256-GCM暗号化

   3. TCP（二次フォールバック、ポート443）でのTLS 1.2またはTLS 1.3暗号化

転送中および保存時のデータに対する業界標準の暗号化方法を使用したZoomの暗号化設計の詳細は、当社の Zoom暗号化ホワイトペーパーに記載されています。Zoomのセキュリティ実践の検証については、当社の証明書および認証情報を当社の Zoom Trust Centerでご確認ください。.