リンク追跡における SOC 2 と HIPAA：調達担当者への回答

調達審査において、URL短縮サービスは一見すると小さな対象に思えます。ベンダーセキュリティ質問票の2つの段落、簡単な宣誓、そしてチェックボックス。しかし、セキュリティチームがアーキテクチャ図を開くと、短縮サービスがあらゆるキャンペーンURL、あらゆるトランザクションメールのリンク、あらゆるQRコードのリダイレクトのパス上に位置していることに気づきます。その結果、2段落で済むはずの審査は、3週間にわたる追跡調査へと変わります。

本記事では、企業の調達チームがリンク追跡ベンダーを評価する際に、SOC 2 Type II および HIPAA について実際に投げかける質問に回答します。これは、質問票に記入する担当者と、その回答を審査する担当者の双方のために執筆されました。

要約#

Elido は ISO 27001 認証を取得しています。SOC 2 Type II は現在進行中で、2026年後半の完了を目標としています。監査期間は2026年2月に開始され、7月までエビデンスの収集が行われ、第4四半期末までに Type II レポートが発行される予定です。HIPAA は Business および Enterprise プランにおいて、署名済みの Business Associate Agreement（BAA）を条件にサポートされます。基礎となるコントロールは SOC 2 で使用されるものと同じです。

GDPR のコンプライアンス体制は SOC 2 や HIPAA とは別個のものであり、URL短縮サービスのための GDPR 解説で詳しく説明しています。本記事では、企業の調達審査の原動力となる米国式の証明枠組みに焦点を当てます。

SOC 2 が URL 短縮サービスについて実際に規定していること#

SOC 2 は認証ではなく、レポートです。独立した監査人（米国の CPA 事務所、または EU の認定監査機関）が、サービス組織を AICPA の Trust Services Criteria に照らして調査し、意見を表明します。Type I は、ある時点においてコントロールが適切に設計されていることを証明するものであり、Type II は、一定期間（通常は6ヶ月から12ヶ月）にわたってそれらが効果的に運用されたことを証明するものです。

Trust Services Criteria は5つのカテゴリに分類されます。すべての SOC 2 レポートは Security をカバーしており、他の4つ（Availability、Processing Integrity、Confidentiality、Privacy）は、顧客ベースのニーズに基づいてサービス組織が任意に選択して含まれます。

Security — 常に含まれるカテゴリ#

Security 基準は、アクセス制御、変更管理、モニタリング、インシデント対応、リスク評価をカバーします。URL 短縮サービスにおいて、最も重要なコントロールは以下の通りです。

CC6.1 Logical access: 誰が短縮リンクを作成、変更、または削除できるか、およびそのアクセス権がどのように付与・剥奪されるか。監査では、人事のオンボーディング記録から IdP（Elido の場合は Ory Kratos）、ワークスペースのロール割り当てまで特定のユーザーを追跡し、退職後のポリシー期間内にアクセス権が削除されたことを検証します。
CC6.6 External access: 外部ユーザー（カスタムドメインの所有者、API コンシューマー、パートナー連携）がどのように認証され、どのようなスコープを受け取るか。監査人が確認を求めるアーティファクトは、アイデムポテンシー・キーとワークスペースごとのスコープ設定を備えた API トークンモデルです。
CC7.2 Monitoring: 何がログに記録され、ログはどこに送られ、異常がどのように表面化するか。リダイレクトサービスの場合、関連するシグナルは、ワークスペースごとの異常なリダイレクトボリューム、エッジでのレート制限のトリガー、および認証の失敗です。
CC8.1 Change management: プルリクエストからデプロイまでのコード変更において、変更を作成したエンジニアと承認したレビュアーの間で職務分離がなされているか。監査ではプルリクエストをサンプリングし、承認とデプロイの記録を詳細に確認します。

Security 基準は、文書化されたインシデント対応計画を SOC 2 が要求する箇所でもあります。リダイレクトサービスに関連するインシデントは、不正なリンク作成、リダイレクト先の改ざん、およびアナリティクス・エクスポート・エンドポイントを介したデータ漏洩です。/docs/runbooks/ にあるランブックは、それぞれのプレイブックをカバーしています。

Availability — 2番目に一般的なカテゴリ#

Availability は、アップタイムのコミットメント、キャパシティ・プランニング、およびディザスタ・リカバリをカバーします。URL 短縮サービスに関連するアーティファクトは以下の通りです。

文書化されたサービスレベル目標。Elido の公開されている SLO は、四半期あたりのリダイレクトの可用性が 99.95% であり、ダッシュボード（99.9%）とアナリティクス API（99.5%）には個別の SLO が設定されています。
キャパシティ・テストのエビデンス。エッジ・リダイレクト・サービスは、ステージング環境で継続的な負荷テストを実施しています。監査では、本番環境のキャパシティ・エンベロープが把握されており、SLO に対して監視されているというエビデンスを確認します。
バックアップと復元のエビデンス。Postgres は Patroni による HA 構成でポイント・イン・タイム・リカバリを実行し、ClickHouse は毎日オブジェクトストレージにエクスポートされます。監査では、目標復旧時間（RTO）が達成可能であることを示す復旧訓練のログが求められます。
マルチリージョン・フェイルオーバーのドキュメント。3つの POP（Frankfurt、Ashburn、Singapore）はリダイレクトに対してアクティブ・アクティブ構成です。監査人はフェイルオーバー・ランブックと、直近のリージョン障害のポストモーテム（事後分析）を確認します。

Confidentiality および Privacy — 選択的に含まれるもの#

Confidentiality と Privacy は、GDPR の姿勢と重複するカテゴリを追加します。EU の多くの企業顧客は、SOC 2 Privacy よりも GDPR のドキュメント（第28条の処理者契約、移転影響評価、公開されている DPA）を通じてプライバシーに対処することを好みます。Elido の現在の SOC 2 監査範囲には、Security、Availability、および Confidentiality が含まれています。Privacy は、/trust にある GDPR ドキュメント一式を通じて個別に扱われます。

この分離の理由は、SOC 2 Privacy が、米国式のプライバシー枠組み向けに設計された AICPA の Generally Accepted Privacy Principles に対応しているためです。GDPR は独自のコントロールを持つ独立した法的枠組みです。これらを単一の証明に混同すると、両方の有効性が弱まる傾向があります。

HIPAA が URL 短縮サービスについて実際に規定していること#

HIPAA（Health Insurance Portability and Accountability Act：医療保険の相互運用性と責任に関する法律）は、HITECH および 2013年オムニバス規則によって更新され、対象事業体（医療提供者、保険者、ヘルスケア・クリアリングハウス）およびその Business Associate による保護対象保健情報（PHI）の取り扱い方法を規制しています。

URL 短縮サービスは、短縮リンクまたはその背後にあるデータが PHI を保持する場合に Business Associate となります。興味深い問いは、そのようなケースが実際に発生するかどうかであり、その答えは多くの調達審査で想定されているよりも微妙です。

リダイレクトを介して PHI が流れる場合#

短縮リンク自体（s.elido.me/abc123）は PHI ではありません。転送先 URL、ワークスペースのメタデータ、キャンペーンタグも、一般的なケースでは PHI ではありません。

PHI の問題は、以下の3つの特定の場所に存在します。

識別子を含む転送先 URL: https://provider.example/patient/12345/results にリダイレクトされる短縮リンクは、URL パスに患者識別子を含んでいます。この転送先 URL は短縮サービスによって保存されるため、厳密な意味で PHI となります。たとえ短縮サービスの誰もその患者識別子を解釈しなくても、リンクが完全に機能するとしても同様です。
クリック時に付加されるカスタムパラメータ: リダイレクトによってセッション識別子やユーザー識別子が URL パラメータとして付加され、その識別子が後に PHI と結合可能な場合、クリックイベントは PHI チェーンの一部となります。
リファラーデータを含むクリックイベント: クリックイベントにはリファラー URL が含まれます。リファラーに患者識別子が含まれている場合（ユーザーを短縮リンクへと誘導したディープリンクされた患者ポータルページなど）、リファラーフィールドは PHI となります。

ほとんどのヘルスケア・マーケティングのユースケースでは、これらのチャネルのいずれからも PHI は生成されません。インフルエンザの予防接種、ウェルネス・イベント、または一般的な健康コンテンツのキャンペーンを展開する医療機関のマーケティング部門は、PHI を含まない転送先と PHI を含まないリファラーを使用してリダイレクトを生成します。そのようなワークロードにおいて、BAA は予防的なものであり、アーキテクチャ上不可欠なものではありません。

患者ポータル、予約確認リンク、検査結果配信 URL など、PHI を含む転送先をルーティングするワークロードについては、BAA が必須となり、以下に述べるアーキテクチャ上のコントロールが短縮サービス側で備わっている必要があります。

リダイレクトサービスに対応させた HIPAA Security Rule#

HIPAA Security Rule (45 CFR Part 164, Subpart C) は、管理的、物理的、および技術的な保護措置を規定しています。PHI を転送先に含むリダイレクトサービスの場合、以下のようになります。

Access controls (164.312(a)): 固有のユーザー識別、自動ログオフ、転送中および保管中の ePHI の暗号化。Elido は、IdP によって割り当てられた固有のユーザー識別子、ワークスペースごとの設定可能なセッション・タイムアウト、すべての外部エンドポイントでの TLS 1.3、および関連するデータストアに対する保管時の AES-256 エンベロープ暗号化を強制します。
Audit controls (164.312(b)): ePHI を含む、または使用するシステム内でのアクティビティの記録と調査。Elido は、リンクの作成、変更、転送先の変更、およびアナリティクスのエクスポートに関する監査ログを、改ざん防止機能付きの追記専用ストアに出力します。Business+ プランでは、監査ログの保持期間はデフォルトで24ヶ月です。
Integrity controls (164.312(c)): ePHI を不適切な改ざんから保護すること。転送先 URL は行レベルの履歴とともに保存されます。変更は実行者のIDとタイムスタンプとともに記録され、以前の値は履歴テーブルに残ります。
Transmission security (164.312(e)): 公衆ネットワーク上での転送中の ePHI の保護。すべてのリダイレクト・エンドポイントでの TLS 1.3、HSTS プリロード、カスタムドメインでの証明書ピンニング（Certificate Pinning）が利用可能です。

管理的および物理的な保護措置（従業員トレーニング、制裁ポリシー、施設へのアクセス制御）は、SOC 2 Security のコントロールと大きく重複します。同じエビデンスが両方の監査をサポートするため、共通のエビデンス・スケジュールで監査を実施しています。

BAA がカバーするもの、しないもの#

Business Associate Agreement（BAA）は、HIPAA 164.504(e) に基づく契約です。これにより、Business Associate は特定の保護措置、侵害通知の期限、および下請業者への義務の継承を確約します。これは基礎となるアーキテクチャを変更するものではなく、ベンダーがそのアーキテクチャを HIPAA に準拠した形で運用することを約束するものです。

Business および Enterprise プランで利用可能な Elido の標準 BAA は以下をカバーします。

顧客がリダイレクトサービスを通じてルーティングするすべてのデータに適用される、HIPAA Security Rule の4つの保護措置カテゴリ。
発見から60日以内の侵害通知。詳細なインシデント対応スケジュールは BAA および対応する /docs/runbooks/incident-response ランブックでカバーされています。
名前を挙げたサブプロセッサー（Hetzner、OVH、Postmark、Cloudflare、monobank Plata）への義務の継承。適用される場合には彼ら自身の BAA に基づきます。現在のサブプロセッサー・リストは /legal/subprocessors にあり、GDPR 第28条のドキュメントで使用されているリストと同じです。
契約終了時の PHI の返却または破棄。顧客が削除前にデータをエクスポートできる30日間の猶予期間が設けられます。

BAA が行わないこと：HIPAA 対象外のプラン・ティアを対象にすることはありません。Free および Pro プランには BAA の締結は含まれません。インフラストラクチャはすべての有料ティアで共通ですが、法的コミットメントは異なります。

調達質問票 — そのまま使える回答例#

ほとんどの企業の調達質問票では、同じような質問がなされます。以下は、私たちが直接提供している回答とアーティファクトへのリンクです。

現在の SOC 2 Type II レポートはありますか？ ISO 27001 認証取得済みです。SOC 2 Type II 監査は進行中で、2026年第4四半期に Type II レポートの発行を予定しています。ブリッジレターおよび現在の ISO 27001 証書は、NDA 締結後に /trust 経由で入手可能です。SOC 2 Type I は2025年11月に完了しており、Type I レポートも NDA 締結後に入手可能です。

私たちの BAA に署名できますか？ Business および Enterprise プランでは、弊社の標準 BAA に署名します。Enterprise プランでは、お客様指定の BAA を審査します。一般的な修正（侵害通知期間の延長、追加の保護措置の誓約、お客様指定のサブプロセッサー管理など）は受け入れ可能です。標準テキストの入手やお客様指定様式の審査開始については [email protected] までご連絡ください。

データはどこに保存されますか？ EU のお客様はデフォルトでフランクフルト（Hetzner FRA1, EU region）となります。米国のお客様はアシュバーン（Hetzner ASH）を選択可能です。APAC のお客様にはシンガポール（OVH SGP）が利用可能です。リージョンをまたぐレプリケーションはワークスペースごとのオプトイン制であり、これを選択しない限り、すべての顧客データは選択されたリージョン内に留まります。データレジデンシーに関する記事で、レジデンシー・アーキテクチャを詳細に説明しています。

どのような暗号化が使用されていますか？ すべての外部エンドポイント（リダイレクト、API、ダッシュボード、アナリティクス）において、転送中は TLS 1.3 が使用されます。保管時は、Postgres のプライマリ、ClickHouse クラスタ、およびオブジェクトストレージに対して AES-256 エンベロープ暗号化が適用されます。Enterprise プランでは、BYO KMS 連携を通じてお客様提供の KMS がサポートされます。

アクセスのプロビジョニングとデプロビジョニングはどのように行われますか？ WorkOS を介した SAML または OIDC によるシングルサインオン（SSO）と、ユーザー・ライフサイクル管理のための SCIM プロビジョニングを提供しています。ワークスペース・レベルのロールベース・アクセス制御（RBAC）を備え、Enterprise ではカスタムロールも利用可能です。SCIM および SSO に関する記事で、連携とライフサイクル管理について説明しています。

インシデント対応プロセスはどのようになっていますか？ 文書化されたランブックがあり、初動対応 SLA は60分、テクニカルアップデート SLA は24時間、および指名されたインシデント・コマンダーのローテーションを定めています。侵害通知は、弊社の BAA および DPA に定められたスケジュールに従います。ランブックの全インデックスは /docs/runbooks/ にあります。

サブプロセッサーは誰ですか？ 以下の5つが指名されたサブプロセッサーです：Hetzner（インフラストラクチャ、EU）、OVH（インフラストラクチャ、APAC）、Postmark（トランザクションメール）、Cloudflare（公開マーケティング面での DDoS 保護。リダイレクトのデータプレーンには含まれません）、monobank Plata（EU 顧客向けの請求管理）。連絡先を含む完全なリストは /legal/subprocessors にあります。

顧客データの保持期間は？ クリックイベントは、契約期間に加えて終了後の30日間のエクスポート期間中保持され、その後削除されます。リンク設定も、契約期間とエクスポート期間中保持されます。集計メトリクス（ワークスペースごとのリンク数、日ごとのクリック数など、PII を含まないもの）は、請求および内部キャパシティ・プランニングのために契約終了後も保持されます。

監査人が確認を求めるエビデンスファイル#

もしあなたが、自社の SOC 2 監査を実施している企業顧客であり、Elido が対象ベンダーに含まれる場合、監査人はおそらく CC9.2（ベンダー管理）および CC1.4（コミットメント）のコントロールに基づいてエビデンスを要求するでしょう。ベンダーファイルには以下を含める必要があります。

弊社の現在の ISO 27001 証書（毎年更新）。
弊社の SOC 2 Type I レポートおよび SOC 2 Type II ブリッジレター（NDA 締結後に入手可能）。
該当する場合、署名済みの DPA および BAA。
弊社のサブプロセッサー・リストおよび変更日。
/trust にある弊社の公開セキュリティページのスクリーンショット、および最新のプライバシーポリシー。
弊社の侵害通知履歴（公開履歴は空です。内部ログは調達審査中に NDA の下で審査されます）。

このエビデンスファイルは、顧客エンゲージメントごとに一度作成され、毎年更新されます。上記のリストは標準的なセットですが、監査人固有の追加要求にはケースバイケースで対応します。

本当に困難なこと#

リダイレクトサービスにおける SOC 2 および HIPAA への対応において、真に困難なことが2つあります。これらに言及するのは、調達の会話において最終的に表面化することが多いためです。

エッジ POP における継続的なモニタリングのエビデンスは、決して容易ではありません。 リダイレクトのデータプレーンは3つのリージョンにわたって膨大なトラフィックを処理しており、監査人はサンプリングではなく、モニタリングが継続的に行われているというエビデンスを求めます。現在の手法では、各リージョンから1分ごとに合成リダイレクト（Synthetic Redirects）を実行し、そのアラート状態を改ざん防止ログに記録しています。このモニタリングのコストは小さくなく、設計は S/N 比を適正化するために3回のイテレーションを経て現在の形になりました。ドキュメントのオブザーバビリティ・ガイドで現在の設定をカバーしており、基礎となる ADR は /docs/adr/0024-sla-monitoring.md にあります。

HIPAA の侵害通知期限は GDPR よりも厳格です。 HIPAA は、発見から60日以内に影響を受けた個人への通知を要求します。500人以上に影響する侵害の場合は、さらに HHS（保健福祉省）およびメディアへの通知が必要です。GDPR は監督機関に対しては72時間以内ですが、個人への通知期限は「不当な遅延なく」となっています。複数の法域にわたる侵害の場合、HIPAA の期限が支配的になることがよくあります。弊社はデフォルトで、米国を経由する顧客データに関わるあらゆるインシデントに対して HIPAA の期限を確約しており、インシデント対応ランブックにもそれが反映されています。