Web会議と法規制リスクの全体像
Web会議で扱われる情報は、映像・音声・画面共有・チャットログなど多岐にわたります。これらには個人情報・機密情報が含まれることが多く、業種によっては法令で厳格な管理が義務付けられています。ツールを選ぶ段階で規制への対応を確認しないと、運用開始後に使用停止や再選定を迫られる事態になりかねません。
規制非対応ツールを使うと生じるリスク
法規制に対応していないWeb会議ツールを業務に使用した場合のリスクは、情報セキュリティ上の問題にとどまりません。個人情報保護法違反であれば個人情報保護委員会による勧告・命令の対象となり、場合によっては罰則が科されます。医療分野では患者情報の不適切な取り扱いが医療法や刑事罰の対象になりうる場合もあります。ツール選定の段階で自社が準拠すべき規制・ガイドラインを洗い出し、ベンダーに対してセキュリティ仕様書の提出を求めることが有効な対策です。
業種横断的に関係する主な規制の分類
Web会議に関係する規制は大きく「情報セキュリティ規制」「個人情報・プライバシー規制」「業種固有の安全管理規制」の3つに分類できます。情報セキュリティ規制にはISMAPや政府機関の情報セキュリティ対策基準が含まれ、個人情報・プライバシー規制には個人情報保護法や未成年者保護に関する法制が該当します。業種固有の安全管理規制としては医療情報システム安全管理ガイドラインや金融庁ガイドライン・FISC安全対策基準があります。医療機関が使用するWeb会議ツールは、個人情報保護法と医療情報システム安全管理ガイドラインの両方に準拠している必要があるなど、複数の規制に重複対応を求められる業種も少なくありません。
医療法・医療情報システム安全管理ガイドラインが求める要件
医療機関がWeb会議ツールを業務に使用する場合、厚生労働省が策定した「医療情報システムの安全管理に関するガイドライン」(最新版)への準拠が求められます。このガイドラインはクラウドサービスの利用についても言及しており、Web会議ツールの選定基準として直接参照すべき文書です。
ガイドラインが定める通信・データ保管の要件
医療情報を扱うクラウドサービスを利用する場合は、厚生労働省の「医療情報システムの安全管理に関するガイドライン」に加え、サービス提供事業者向けの「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」への対応状況を確認します。Web会議ツールの観点では、通信の暗号化(TLS1.2以上)・アクセスログの一定期間保存・データの保存場所(国内データセンターかどうか)が主な確認項目です。患者の診療情報や個人情報が会議中に扱われる場合は、エンドツーエンド暗号化(E2E暗号化)の対応有無も確認してください。ベンダーに対して「医療情報システムの安全管理ガイドライン準拠の確認書」の提出を求めることが望ましい対応です。
オンライン診療指針とWeb会議の接点
厚生労働省が策定したオンライン診療の適切な実施に関する指針でも、診療に使用するシステムに対してセキュリティ要件が明示されています。具体的には、第三者が会議に不正参加できない仕組み(待機室・ホスト承認制)・通信内容の暗号化・録画データの管理体制が求められます。オンライン診療に使用するツールは、指針が求める要件を満たしていることをベンダーに書面で確認することが重要です。医師と患者をつなぐセッションでは、会議ごとにURLを変更できる設定・参加者の本人確認フロー・録画の保存先管理が実務上の主要な確認ポイントです。
個人情報保護法と金融庁ガイドラインが課す制約
2022年施行の改正個人情報保護法(APPI)は業種を問わず全事業者に適用され、Web会議で扱われる映像・音声・チャットログが参加者を識別できる場合に個人情報として管理義務が生じます。さらに金融機関では金融庁ガイドラインとFISC(金融情報システムセンター)の安全対策基準への対応が加わります。
改正個人情報保護法でWeb会議に求められる安全管理措置
改正法では、個人データを扱うシステムに対して組織的・人的・物理的・技術的の4つの観点から安全管理措置を講じることが義務付けられています。Web会議ツールの観点では、アクセス制御(役職・部門ごとの権限設定)・通信の暗号化・不正アクセスの検知とログ記録が技術的安全管理措置として該当します。また、クラウドベンダーへ個人データの取扱いを委託する場合は、委託先の選定や委託契約の締結、取扱状況の把握など、委託先に対する必要かつ適切な監督が求められます。海外ベンダーのツールを利用する際は、録画データや通信ログが海外サーバーに保存・処理されることがあるため、国内データセンターオプションの有無を確認してください。
FISC安全対策基準と金融機関のWeb会議導入審査
金融機関では、Web会議ツールの新規導入にあたってシステムリスク評価・情報セキュリティ委員会への報告・ベンダーデューデリジェンスが必要になるのが一般的です。FISC安全対策基準では通信経路のTLS暗号化・エンドポイント認証・会議参加者のアクセスログ保存期間・録画データの暗号化と保管場所が対応確認の中心となります。証券会社・保険会社など情報資産の機密性が高い業態では、録画・文字起こし機能が外部サーバーに自動保存される設定になっていないかをデフォルト設定から確認することが重要です。
ITトレンドでは、最新の製品・サービスを多数比較・掲載しています。まず資料を取り寄せて、さまざまな製品の機能や特徴を比較してみてください。忙しい業務時間内でも、各社に問い合わせる手間なく、たった1回の入力(約60秒)でWeb会議の一括資料請求が可能です。浮いた時間で、じっくりと製品を比較検討し進めましょう。
未成年者保護法制と教育機関が果たすべき義務
小中学校・高等学校・大学などの教育機関がWeb会議ツールを活用する場合、未成年者(児童・生徒)の個人情報保護に関する法的義務を果たすことが求められます。日本では個人情報保護法が基本法となりますが、各地方自治体の条例や文部科学省のガイドラインも参照する必要があります。
文科省の教育情報セキュリティポリシーガイドラインの要件
文部科学省は「教育情報セキュリティポリシーに関するガイドライン」を公表しており、学校での情報システム利用にあたっての安全管理措置を規定しています。文部科学省のガイドラインは、教育委員会等が教育情報セキュリティポリシーを策定・見直す際の参考として公表されています。クラウドサービスを利用する際は、データの管理方法や個人情報の取扱い、インシデント時の対応体制などを確認する必要があります。保護者への説明や、必要に応じた同意取得の手順を整備しておくことも重要です。
未成年者が参加する会議に必要なアクセス制御
児童・生徒が参加するオンライン授業では、外部の第三者が会議に侵入するリスクを排除することが最優先の安全要件です。ホストによる参加者の承認制(待機室機能)・会議URLの毎回変更・参加者のカメラ・マイクのオン/オフ制御といった機能が、教育現場でのWeb会議に必要な最低限のアクセス制御です。また、録画データの保存先を教育委員会が管理できる環境にすることも求められます。無料プランのツールでは録画データがベンダーのサーバーに保存される場合があるため、データの管理権限がどこにあるかを必ず確認してから導入を判断してください。
ISMAP・政府情報セキュリティ基準と公共機関の導入手続き
国の行政機関・独立行政法人・自治体がクラウドサービスを調達する際は、政府が定める「政府情報システムのためのセキュリティ評価制度」(ISMAP)が重要な選定基準となります。ISMAP登録されているサービスは、政府が定めるセキュリティ管理基準を満たしていることが第三者監査によって確認されています。
ISMAPの仕組みとWeb会議ツールの登録確認方法
ISMAPは、クラウドサービスのセキュリティ水準を政府調達に適合するかどうかの観点で評価する制度です。サービス提供者が第三者監査機関に審査してもらい、合格するとISMAPクラウドサービスリストに登録されます。行政機関がクラウドサービスを調達する際はこのリストを参照することが原則とされており、登録外のサービスを使用するには個別のセキュリティ評価が必要となり、調達手続きが複雑化します。公共機関の担当者は、候補製品がリストに掲載されているかを選定の最初の段階で確認することが重要です。
自治体のLGWAN環境とISMAP-LIUへの対応
自治体が利用する総合行政ネットワーク(LGWAN)は、インターネットと分離された閉域ネットワークです。一般のインターネット経由で提供されるWeb会議ツールはLGWAN環境では直接使用できないため、LGWAN-ASPとして提供されているサービスかオンプレミス型の導入が必要です。自治体DX推進に伴い設けられたISMAP-LIU(リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とした仕組み)も参照基準となっており、Web会議ツールの導入を検討する自治体の担当者は、情報システム部門と連携してISMAP-LIUの登録状況と自治体のセキュリティポリシーへの適合性を確認することが推奨されます。
よくある質問(FAQ)
Web会議の規制対応に関してよく寄せられる疑問をまとめました。ツール選定前にご確認ください。
- ■Q1:ISMAPに登録されていないWeb会議ツールは行政機関で使えないのですか?
- ISMAPクラウドサービスリストへの登録は、行政機関がクラウドサービスを調達する際の参照基準ですが、絶対的な要件ではありません。登録外のサービスを使用する場合は、機関ごとに個別のセキュリティ評価を実施する必要があります。ただし評価プロセスには時間・コストがかかるため、実務上はISMAP登録済みのサービスを優先して選定するケースが大半です。
- ■Q2:医療機関が無料のWeb会議ツールを使用するリスクは何ですか?
- 無料ツールは、録画データの保存場所・暗号化方式・アクセスログの保存期間などについて、医療情報システム安全管理ガイドラインが求める水準を満たしていない場合があります。また、無料プランではセキュリティ機能が制限されているケースや、ベンダーとのDPAが締結できないケースもあります。患者情報を扱う場面での無料ツール利用は、規制対応上のリスクが高いと判断されます。
- ■Q3:金融機関がWeb会議ツールを導入する際、社内手続きとして何が必要ですか?
- 金融機関では、新規ITシステムの導入にあたってシステムリスク評価・情報セキュリティ委員会への報告・ベンダーデューデリジェンスが必要になるのが一般的です。金融庁の監督指針では、委託先の管理として契約内容の確認・定期的な監査・インシデント報告体制の整備が求められています。導入スケジュールには、これらの社内審査期間を見込んで余裕を持った計画を立ててください。
まとめ
Web会議ツールの導入は、業種ごとの規制・法令への対応を前提として製品を選定することが不可欠です。医療機関は医療情報システム安全管理ガイドラインとオンライン診療指針、金融機関は金融庁ガイドラインとFISC安全対策基準、教育機関は文科省の教育情報セキュリティポリシーガイドライン、国の行政機関等はISMAPが主な参照先です。
ISMAP-LIUは、リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とした仕組みです。個人情報保護法(APPI)は業種を問わず全事業者に適用され、外資系ツールを使う場合はデータ越境移転への対応確認も欠かせません。ベンダーにセキュリティ仕様書の提出を求め、第三者認証の有無を確認したうえで、自社が準拠すべき規制要件と照合することが、導入後のリスクを防ぐ確実な方法です。


