メール送信型FAX（email-to-fax）はHIPAAに準拠していますか？

経路全体が保護されている場合のみです。通常のメールアカウントからFAXゲートウェイへ医療情報を送ると、FAXになる前のメール区間が暗号化されないことが多く、HIPAAの通信セキュリティ要件に反します。医療情報を扱うときは通常のメールではなく、BAAの対象となる事業者の安全なポータルやアプリを使ってください。

日本の個人情報保護法ではFAXはどう扱われますか？

日本で重要なのはこちらの観点です。HIPAAは米国の法律で、日本では個人情報保護法（APPI）が適用され、医療情報は「要配慮個人情報」として高い保護が求められます。安全管理措置、委託先の監督、Pマークやプライバシーポリシーの整備が要点です。HIPAAのBAAは主に米国の対象機関とやり取りする場合に関係し、HIPAA準拠が個人情報保護法の遵守を保証するわけではありません。

HIPAA・コンプライアンス

FAXはHIPAAに準拠している？

Q: FAXはHIPAAに準拠していますか？

医療情報をFAXで送ること自体はHIPAA上で認められていますが、FAXが「準拠」と言えるのは適切な保護策がある場合だけです。オンラインFAX・クラウドFAXでは、署名済みのBAA、通信時・保存時の暗号化、アクセス制御と監査ログ、漏えい通知の手順が必要です。無料サービスやBAAのないクラウドFAXは準拠とは言えません。

Q: 患者情報をFAXするにはBAAが必要ですか？

はい。医療情報をあなたに代わって送受信・保管するオンラインFAX事業者は受託者にあたり、HIPAAは最初の送信前に署名済みのBAAを求めます。BAAに署名しない事業者は、医療情報に使うことはできません。

Q: 従来のアナログFAXはHIPAAに準拠していますか？

電話回線につながった従来型のFAX機は、合理的な保護策を講じればHIPAA上で医療情報を扱えます——番号の確認、送付状の利用、受信機を安全な場所に置く、などです。アナログFAXのリスクは物理的なもの（誤った番号、放置された出力紙）であり、通信そのものではありません。

Q: どのオンラインFAXサービスがHIPAAに準拠していますか？

BAAに署名し技術的要件を満たすのは、SRFax（全プランでBAA）、iFax（Plus以上）、Documo（全プランでBAA）、eFax（Protectプランのみ）、Fax.Plus（Enterpriseプラン）などです。FaxZeroのような無料サービスは準拠せず、独立監査のない自己申告（CocoFaxなど）も医療情報には安全な選択ではありません。

結論から言うと、医療情報をFAXで送ること自体はHIPAA上で認められています。ただしFAXが準拠と言えるのは、適切な保護策がそろっている場合だけです。HIPAA対応のFAXと違反を分けるものは何か、本当に対応しているサービスはどれか、そして日本の個人情報保護法ではどう考えるかを解説します。

オンラインFAXをHIPAA準拠にする要素：署名済みBAA・暗号化・監査管理 — FAXがHIPAAに準拠するのはいつか——重要なBAA・暗号化・監査管理

要点：HIPAAはFAXを禁止していません。法律が問うのは「データを守るための合理的な対策を講じたか」です。従来型のFAX機なら主に物理的な対策——正しく番号を入力し、出力紙を保護する。オンラインFAX・クラウドFAXでは、「HIPAA準拠」は何よりまず一つに懸かります。署名済みのBAAです。暗号化と監査管理がそれを支えます。

BAAがなければ準拠もありません——マーケティングページが「銀行レベルのセキュリティ」とうたっていても同じです。

FAXをHIPAA準拠にする条件

オンラインFAX・クラウドFAXでは、事業者は宣伝している最初の一つだけでなく、次の4つすべてを満たす必要があります。

署名済みのBAA

FAX事業者があなたに代わって医療情報を取り扱う時点で、その事業者は受託者になります。署名済みのBAA（事業提携契約）がなければ、患者データへの利用は違反です——どれだけ強力な暗号化をうたっていても変わりません。

通信時・保存時の暗号化

医療情報は通信中（TLS 1.2以上）も、事業者のサーバー上（AES-256）も暗号化されている必要があります。平文のままメールゲートウェイへ送るFAXは、この条件を満たしません。

アクセス制御と監査ログ

利用者ごとの個別ログイン、役割別の権限、自動ログオフ、そして誰がどのFAXを送信・閲覧・ダウンロードしたかの記録。共有メールボックスや使い回しのパスワードでは基準を満たしません。

漏えい時の通知

漏えいを検知・封じ込め・報告するための文書化された手順。医療情報が露出した場合の事業者の義務を、BAAに明記しておくべきです。

従来型FAXとオンラインFAX——リスクの違い

古いFAX機は「インターネットに触れない」から自動的に安全だ、と思われがちです。これは半分しか正しくありません。アナログFAXでHIPAAが懸念するのは物理的な露出です——番号の押し間違いで他人に書類が届く、出力紙がトレイに放置される、といったこと。番号の確認、送付状の利用、機器を管理区域に置くといった通常の対策を講じれば、従来型FAXでもHIPAA上で医療情報を扱えます。

オンラインFAX・クラウドFAXは、リスクを事業者側へ移します。第三者があなたのFAXを送受信・保管するため、その企業はHIPAA上の受託者となり、あなたには相手を精査する責任が生じます。利点は本物です——優れたクラウドサービスは、アナログ機では決して得られない暗号化・アクセスログ・追跡性をもたらします。BAAに署名し、保護機能を有効にしたうえで、ですが。

BAAは妥協できない

BAA（事業提携契約）は、医療情報の保護についてFAX事業者に法的責任を負わせる契約です——どう保護するか、漏えい時に何をするか、そしてあなたのデータを他の目的に使えないこと。HIPAAでは、患者情報がサービスを流れる前に署名されていなければなりません。

実務上の落とし穴が2つ。第一に、HIPAAは標準ではなく上位プランであることが多い——eFaxはProtectプラン、Fax.PlusはEnterpriseに限られ、申し込んだ入門プランでは対象外のことがあります。第二に、「自己申告」は「監査済み」ではありません。トップページでHIPAAをうたいつつ、BAAは「申請制」でSOC 2やHITRUSTの報告書を公開していない事業者もあります。医療情報には、署名済みのBAAを必須とし、独立監査の有無を確認してください。

日本では？ HIPAAと個人情報保護法は別物

HIPAAは米国の法律です。日本では個人情報保護法（APPI）が適用され、医療情報は「要配慮個人情報」として、取得や第三者提供に原則本人同意が必要な高い保護が求められます。考え方は重なりますが——安全管理措置、委託先の監督、追跡性——HIPAA準拠が個人情報保護法の遵守を保証するわけではありません。日本で医療情報を扱うなら、暗号化、委託契約と委託先の監督、Pマークやプライバシーポリシーの整備を確認しましょう。HIPAAのBAAは、主に米国の対象機関とやり取りする場合に意味を持ちます。

準拠が静かに崩れる場所——メール送信型と無料サービス

メール送信型FAX（email-to-fax）は便利ですが、よくある抜け穴です。通常のメールアカウントから医療情報をFAXゲートウェイへ送ると、FAXになる前のメール区間が暗号化されないことが多く、HIPAAの通信セキュリティに反します。文書に医療情報が含まれるときは、通常のメールではなく事業者の安全なポータルやアプリ（BAAが実際にカバーする部分）を使ってください。

無料サービスは決して条件を満たしません。BAAに署名せず、HIPAAが求める暗号化・アクセス制御・監査のために作られていないためです。無料FAXは、一度きりの機微でない文書には最適ですが、患者データが含まれた瞬間に明白な違反になります。

HIPAA対応のオンラインFAXサービスは？

2026年ランキングのサービスから——大切なのはバッジではなくBAAだと忘れずに。

サービス	HIPAA	BAA	ポイント
SRFax	対応（PHIPAも）	全プラン	北米の医療向けに特化。全プランで署名済みBAAと無料のPGP暗号化が付属。
iFax	Plus以上	Plus以上	BAAはPlusプランから。ProはSOC 2＋ISO 27001。Basicは送信専用でHIPAA非対応。
Documo	全プラン	追加料金なしで付属	全プランでBAA付属。SOC 2に加え、EHR/EMR連携向けのAPIとポータルを備える。
eFax	Protectのみ	Protect（約50ドル/月）	HITRUST認証だが、HIPAA対応はProtectプランのみ——Plus・Proは対象外。
Fax.Plus	Enterpriseのみ	申請制（Enterprise）	総合1位でISO 27001＋SOC 2。ただしHIPAAとBAAはEnterpriseプランでのみ有効。
CocoFax	自己申告	申請制	HIPAAをうたうが、SOC 2／HITRUSTの公開監査がなくBAAも申請制——医療情報には推奨しません。
FaxZero	非対応	なし	BAAのない無料サービス。機微でない文書には便利だが、医療情報には絶対に使わないこと。

プランやBAAの条件は変わります。医療情報を送る前に、必ず最新のBAAを書面で確認してください。詳しくはHIPAA対応のおすすめFAXサービスのガイドをご覧ください。

コンプライアンス簡易チェックリスト

最初の医療情報FAXの前にBAAを書面で取得し、写しを保管する。
HIPAA対象のプランにいるか確認する——入門プランのままにしない。
医療情報には安全なポータルやアプリを使う——通常のメール送信型は避ける。
利用者ごとに個別ログインを付与し、監査ログと自動ログオフを有効にする。
送信先番号を確認し、毎回送付状を添える。
無料・自己申告のサービスに医療情報を流さない。

本ガイドは一般的な情報であり、法的助言ではありません。義務は組織やサービスの設定によって異なります。個別のケースは、貴組織の個人情報保護責任者や顧問にご相談ください。

よくある質問

FAXはHIPAAに準拠していますか？

医療情報のFAX送信はHIPAA上で認められますが、準拠と言えるのは適切な保護策がある場合だけです。オンライン・クラウドFAXでは、署名済みのBAA、通信時・保存時の暗号化、アクセス制御と監査ログ、漏えい通知の手順が必要です。無料サービスやBAAのないクラウドFAXは準拠しません。

患者情報をFAXするにはBAAが必要ですか？

はい。医療情報を送受信・保管する事業者は受託者にあたり、HIPAAは最初の送信前に署名済みBAAを求めます。BAAがなければ、医療情報には使えません。

従来のアナログFAXはHIPAAに準拠していますか？

電話回線のFAX機は、合理的な対策——番号確認、送付状、受信機の保護——を講じればHIPAA上で医療情報を扱えます。ここでのリスクは通信ではなく物理的なものです。

メール送信型FAXはHIPAAに準拠していますか？

経路全体が保護されている場合のみです。通常のメールから医療情報を送ると暗号化されない区間が生じHIPAAに反します。BAAの対象となる事業者の安全なポータルやアプリを使ってください。

どのオンラインFAXサービスがHIPAAに準拠していますか？

BAAに署名し要件を満たすのは、SRFax（全プランでBAA）、iFax（Plus以上）、Documo（全プラン）、eFax（Protectプラン）、Fax.Plus（Enterprise）など。FaxZeroのような無料は不可、監査のない自己申告（CocoFaxなど）も医療情報には安全ではありません。

日本の個人情報保護法ではどうなりますか？

日本で重要なのはこちらです。HIPAAは米国法で、日本では個人情報保護法が適用され、医療情報は要配慮個人情報として高い保護が必要です。安全管理措置・委託先の監督・Pマーク整備が要点で、HIPAAのBAAは主に米国機関とのやり取りで関係します。

医療情報に本当に使えるFAXをお探しですか？

BAAに署名し、当サイトのセキュリティ確認を通過した事業者を、2026年HIPAAガイドでご覧ください。

HIPAA対応サービスを見るすべてのサービスを比較