コンプライアンスガイド
オンラインFAXのコンプライアンス:個人情報保護法・ISO 27001・HIPAA
オンラインFAXは、紙のFAXに法的効力がある場面ならどこでも同じく有効です。しかし法令に準拠しているかどうかは別の話で、その判断は三つの点に集約されます。署名済みの契約、本物の暗号化、そしてプロバイダーが単に主張するのではなく実際に監査を受けている証拠です。主要な制度の仕組みと、それを実際に満たすサービスを解説します。
要点:FAXサービスが「準拠」と言えるのは、プロバイダーがあなたのデータに合った契約(個人データならデータ処理契約、米国の医療データならBAA)を結び、通信中も保管中も暗号化し、第三者監査を提示できる場合だけです。それ以外はマーケティングにすぎません。
覚えておきたい一点:監査済みは自己申告に勝ります。確認できるSOC 2 Type 2やHITRUSTの報告書は、「銀行レベルのセキュリティ」といった謳い文句より価値があります。日本市場では、HIPAAのバッジよりこの監査実績を重視するのが賢明です。
オンラインFAXに法的効力はありますか?
あります。これは決着のついた論点です。オンラインFAXは、電話回線につながった機械から送るFAXと同じ法的な重みを持ちます。送信レポートが送信の証跡として機能し、だからこそ裁判所、官公庁、金融機関、病院は、署名入りの文書や期限のある書類に今もFAXを使い続けています。クラウドから送ろうと、オフィスの機械から送ろうと、その有効性は変わりません。
法的効力と個人データ保護の順守は、別々の確認事項です。文書としては申し分なく有効なFAXでも、それを扱う契約のないサービス経由で規制対象データを運べば、データ保護法に違反することはあり得ます。本ガイドの残りは、この二つ目の確認について扱います。
オンラインFAXを本当に準拠させるもの
決め手は四つです。最初の一つだけ満たして残りを飛ばしたサービスは、規制対象データには使えません。
エンドツーエンドの暗号化
文書は通信中(TLS 1.2以上)も、プロバイダーのサーバー上での保管中(AES-256)も暗号化されている必要があります。メール経由でゲートウェイに平文のまま届くFAXは、受信トレイを出る前にすでに失格です。
署名済みの契約
個人データを扱うなら、個人情報保護法の下では委託先の監督とデータ処理契約が前提になります。米国の医療データなら、HIPAAはBAA(事業提携契約)を求めます。プロバイダーがあなたの代わりに規制対象データを扱う以上、相応の責任を負う立場になります。契約がなければ順守もありません。
約束ではなく、第三者監査
ウェブサイトに「準拠」と書くことと、実際に確認できるSOC 2 Type 2やHITRUSTの監査報告書があることの間には、大きな隔たりがあります。監査済みのプロバイダーは自社以外の第三者に検証されています。自己申告はそうではありません。
データの保管場所
サーバーの所在地が、どの国の法律が適用されるかを左右します。日本企業にとっては、データの保管場所と、海外へ移す場合の越境移転の扱いが、契約前に確認すべき重要な論点になります。
制度別に見るコンプライアンス
どのルールが適用されるかは、何を送るか、そして関係する全員がどこにいるかで決まります。すべてに共通するのは、書面の契約と、検証可能な暗号化です。
個人情報保護法(APPI)
日本・個人データ求められること:業務を外部に委託する場合の委託先の監督、適切なデータ処理契約、そして海外サーバーを使う場合の越境移転への対応。個人情報保護委員会(PPC)が所管します。
向いているサービス:ここで重視すべきは認証です。Fax.Plus(スイス保管、ISO 27001 + SOC 2 Type II)やDropbox Fax(SOC 2 Type 2、ISO 27001/27018)のように、第三者監査を受けたサービスが、委託先の監督という観点で説明しやすい選択肢になります。
越境移転とデータ保管場所
日本・実務求められること:実務上、まず問われるのはデータがどこに保管されるかです。海外のサーバーに保管する場合、個人情報保護法は越境移転に関する対応(本人の同意や、移転先での体制の確認など)を求めます。
向いているサービス:保管場所を明示でき、監査報告書を提示できるプロバイダーが有利です。自社の用途について、保管場所と契約内容を必ず書面で確認してください。
HIPAA + HITECH
米国・医療求められること:署名済みのBAA、暗号化、アクセス制御、監査ログ、そして漏えい時の通知手順。HITRUSTやFedRAMPは、大規模な医療ネットワークや米国連邦機関がしばしば求める上位水準です。
向いているサービス:米国の患者データを扱う組織に関係します。Documo(全プランでBAA、HITRUST)、eFax Protect(HITRUST + FedRAMP)、Plusプラン以上のiFax(SOC 2 + ISO 27001)など。なおHIPAAは米国固有の制度で、日本国内の業務をそれ自体が直接規律するわけではありません。
GDPR
EU・個人データ求められること:データ処理契約、適法な根拠、EU域内または十分性のある国でのデータ保管、そして米国へ移す場合のEU-USデータプライバシーフレームワークへの対応。EUの取引先や利用者のデータを扱う場合に関係します。
向いているサービス:Fax.Plusが際立っています。最も厳格な部類のデータ保護制度の下、スイスで保管し、ISO 27001とSOC 2 Type IIの監査を受けています。
業界別ルール
医療・法律求められること:国内の医療情報については、厚生労働省などのガイドライン(いわゆる3省2ガイドライン)が安全管理の考え方を示しています。法律事務所は守秘義務を負います。共通するのは、暗号化、アクセス制御、そして義務を書面で残すプロバイダーであることです。
向いているサービス:eFaxとFax.Plusが最も広い認証群を備えています。SRFaxは特に機微な送信向けに無料のPGPを追加できます。
BAAという言葉が初めてなら、まずはわかりやすい解説から:FAXはHIPAAに準拠していますか?
どのサービスがどの基準を満たすか
2026年版ランキングのプロバイダーから。最も重要な列は「監査」です。検証された主張と単なる約束を分けるのが、この列です。
| サービス | 契約 | 監査 | 認証 | データ保管地域 | 最適な用途 |
|---|---|---|---|---|---|
| Documo | BAA — 全プラン | 監査済み | HITRUST CSF、SOC 2 Type II | 米国 | 医療機関 / EHR |
| eFax | BAA — Protectプラン | 監査済み | HITRUST、SOC 2、FedRAMP | 米国・200か国以上 | 大企業・官公庁 |
| iFax | BAA — Plus以上 | 監査済み(Pro) | SOC 2 Type 2、ISO 27001 | 米/英/加/伊 | 監査済みで最高のコスパ |
| Fax.Plus | データ処理契約 ・ BAA(Enterprise) | 監査済み | ISO 27001、SOC 2 Type II | スイス / GDPR圏 | EU・国際向け |
| Dropbox Fax | BAA — 有料(要問い合わせ) | 監査済み | SOC 2 Type 2、ISO 27001/27018 | 米国 | クラウド中心のチーム |
| SRFax | BAA — 全プラン | 監査済み | HIPAA/PHIPA、無料PGP | 米国 / カナダ | 北米向けの法令順守 |
| CocoFax | BAA — 要問い合わせ | 自己申告 | SOC 2 / HITRUST の公開なし | 全世界 | 低予算(機微情報の前に要確認) |
FaxZero、MetroFax、MyFaxはHIPAAに対応しておらず、規制対象データ向けには作られていません。プランや条件は変わります。機微な情報を送る前に、最新のBAAやデータ処理契約を必ず書面で確認してください。
準拠したFAXサービスの選び方
- EU・国際向けの企業:Fax.Plus—スイス保管、ISO 27001 + SOC 2 Type II、データ処理契約に対応。
- 米国の患者データを扱う医療機関(HIPAA):Documo(HITRUST、全プランでBAA)。コスパ重視ならiFax Plus(署名済みBAA)。詳細はHIPAAガイドへ。
- 医療:電子カルテ連携とプライバシーが鍵—医療向けの最適なFAXサービスを参照。
- カナダ(医療・法律):SRFax—HIPAA/PHIPAにネイティブ対応、全プランで無料PGP。
- 法律事務所:暗号化、電子署名、信頼性が重要—法律事務所向けの最適なFAXサービスを参照。
- 規制対象データを扱わない低予算:監査済みのプロバイダーならどれでも十分です。自己申告のサービスで機微情報を送らないことだけ守ってください。
本ガイドは一般的な情報であり、法的助言ではありません。実際の義務は、組織・法域・サービスの設定によって変わります。詳細は自社の個人情報保護責任者や法務部門にご確認ください。
よくある質問
オンラインFAXに法的効力はありますか?
あります。オンラインFAXは紙のFAXと同じ法的な扱いを受け、送信レポートが送信の証跡になります。裁判所、官公庁、医療機関は、クラウドのFAXを日常的に受け入れています。ただし、法的効力と個人データ保護の順守は別の問題です。
オンラインFAXは個人情報保護法に準拠できますか?
できます。適切なデータ処理契約を結び、委託先を監督し、海外サーバーを使う場合は越境移転の要件に対応していれば可能です。実務上は、データの保管場所と監査報告書の有無が決め手です。Fax.Plus(スイス保管、ISO 27001 + SOC 2 Type II)のように第三者監査を受けたサービスが説明しやすい選択肢です。
データの保管場所はなぜ重要なのですか?
サーバーの所在地が、どの国の法律が適用されるかを決めるからです。海外のサーバーに個人データを保管する場合、個人情報保護法は越境移転への対応を求めます。保管場所を明示し、その地域を契約で確約できるプロバイダーを選べば、後の説明責任がはるかに容易になります。
監査済みと自己申告の違いは何ですか?
監査済みとは、第三者が管理体制をSOC 2 Type 2やHITRUSTで検証し、報告書を確認できる状態です。自己申告は外部検証のないプロバイダー自身の主張にすぎません。規制対象データには監査済みを選んでください。CocoFaxはHIPAA・GDPR・PHIPAに言及しますが、これらは自己申告で、公開監査はありません。日本市場では、HIPAAのバッジよりSOC 2 Type 2やISO 27001を重視するのが賢明です。
BAAとデータ処理契約のどちらが必要ですか?
扱うデータと法域によります。米国の医療データにはHIPAAがBAAを求めます。個人データの委託には、個人情報保護法やGDPRの下でデータ処理契約が必要です。両方を扱う場合は、双方の契約に加え、移転への対応が必要になることもあります。
最も法令順守に優れたオンラインFAXサービスはどれですか?
適用される制度によります。データ保管場所やGDPR重視ならFax.Plus。米国の医療データならDocumo(HITRUST、全プランでBAA)、eFax Protect(FedRAMP)。監査済みで最もコスパが良いのはiFax Plus(署名済みBAA)。カナダはSRFaxです。
監査に耐えるFAXサービスをお探しですか?
2026年版ランキングで、BAAやデータ処理契約に署名し、当サイトのセキュリティ確認を通過したプロバイダーをご覧ください。