%20(%E8%83%8C%E6%99%AF%E3%81%82%E3%82%8A).png?width=130&height=39&name=%E6%9C%80%E7%B5%82Start%20Link%20(500%20x%20150%20px)%20(%E8%83%8C%E6%99%AF%E3%81%82%E3%82%8A).png "StartLink"){kind=logo}
「CRM導入の稟議で、情報システム部門からセキュリティ要件について厳しい質問が飛んできた」
「クラウドCRMに顧客の個人情報を預けて本当に安全なのか、経営層を納得させられない」
「CRMベンダーのセキュリティ対応を評価したいが、何をどう確認すればいいのかわからない」
——CRM導入において、セキュリティは避けて通れない最重要課題です。
CRMには企業の生命線ともいえる顧客情報——氏名、連絡先、取引履歴、商談内容——が集約されます。このデータが漏洩すれば、顧客からの信頼喪失、法的責任、ブランド毀損と、回復困難なダメージを被ります。特に2022年の改正個人情報保護法の全面施行以降、個人データの取り扱いに対する法的要件は一段と厳しくなっています。
本記事では、CIO・情報システム部長がCRM選定時に確認すべきセキュリティ要件を、10の評価ポイントに体系化しました。各ポイントには具体的な確認事項と判定基準を設け、そのまま社内のセキュリティ評価に使えるチェックリストとして構成しています。
この記事でわかること
- CRMセキュリティ評価の10項目と各項目の具体的な確認事項
- 認証・アクセス制御からデータ暗号化、監査ログまでの技術要件の詳細
- 個人情報保護法・GDPR対応の確認ポイント
- CRMベンダーへのセキュリティ質問リスト(RFI/RFPに使えるテンプレート)
- 主要CRMのセキュリティ対応状況の比較
- 情報セキュリティポリシーとCRM運用を整合させる方法
CRMセキュリティの全体像|なぜ今、重要なのか
CRMセキュリティ設定の例:プライバシー管理とユーザー権限(出典:HubSpot)
CRMに集約されるデータのリスク
CRMに格納されるデータは、企業にとって最も機密性の高い情報群の1つです。
| データ種別 | 具体例 | 漏洩時のリスク |
|---|---|---|
| 個人情報 | 氏名、メールアドレス、電話番号、住所 | 個人情報保護法違反、損害賠償請求 |
| 商談情報 | 提案金額、競合情報、意思決定者 | 競合への情報流出、商談失注 |
| 取引履歴 | 受注金額、契約条件、与信情報 | 取引先との信頼関係毀損 |
| 社内情報 | 営業戦略、ターゲットリスト、KPI | 競争優位性の喪失 |
| コミュニケーション履歴 | メール内容、商談議事録 | レピュテーションリスク |
法規制の強化
CRMのセキュリティを取り巻く法規制は年々厳格化しています。
| 法規制 | 概要 | CRMへの影響 |
|---|---|---|
| 個人情報保護法(日本) | 2022年改正法施行、漏洩報告義務化、罰則強化 | 個人データの適切な管理と漏洩時の対応義務 |
| GDPR(EU一般データ保護規則) | EU居住者の個人データ保護 | EU顧客を持つ場合、データ処理の適法性確保 |
| APPI(改正個人情報保護法) | 越境移転規制、仮名加工情報の導入 | 海外CRMへのデータ保管に関する規制 |
| 不正競争防止法 | 営業秘密の保護 | CRM内の商談情報は営業秘密に該当する可能性 |
クラウドCRMのセキュリティモデル
クラウドCRMでは「責任共有モデル」が適用されます。セキュリティの責任範囲をベンダーとユーザー企業で明確に分担する必要があります。
| レイヤー | 責任主体 | 具体的な対象 |
|---|---|---|
| インフラストラクチャ | CRMベンダー | データセンター、ネットワーク、物理セキュリティ |
| プラットフォーム | CRMベンダー | OS、ミドルウェア、アプリケーションのパッチ |
| データ | 共有責任 | データの暗号化(ベンダー)、分類・管理(ユーザー) |
| アクセス管理 | 主にユーザー企業 | ユーザー権限設定、パスワードポリシー |
| 運用 | ユーザー企業 | データ入力ルール、利用規約の遵守 |
10の評価ポイント|セキュリティ要件チェックリスト
評価ポイント1: 認証とアカウント管理
ユーザー認証は、CRMセキュリティの最前線です。不正アクセスの大半は「認証の突破」から始まります。
確認事項チェックリスト:
- [ ] 二要素認証(2FA/MFA)に対応しているか
- [ ] 2FAの強制適用が管理者側で設定可能か(任意ではなく必須化できるか)
- [ ] 対応する2FA方式(認証アプリ、SMS、ハードウェアキー)
- [ ] SSO(シングルサインオン)に対応しているか
- [ ] 対応するSSOプロトコル(SAML 2.0、OAuth 2.0、OpenID Connect)
- [ ] パスワードポリシーのカスタマイズが可能か(最小文字数、複雑さ、有効期限)
- [ ] アカウントロックアウトの設定(連続失敗回数、ロックアウト期間)
- [ ] セッションタイムアウトの設定が可能か
判定基準:
| 評価 | 基準 |
|---|---|
| ◎ 優良 | SSO+2FA強制適用+パスワードポリシーカスタマイズが全て対応 |
| ○ 良好 | 2FA対応+パスワードポリシーの基本設定が可能 |
| △ 要確認 | 2FAがオプションのみ、SSOは上位プラン限定 |
| × 不適 | 2FA非対応、またはパスワードポリシー設定不可 |
評価ポイント2: アクセス権限制御
CRM内のデータに「誰が」「何を」「どこまで」アクセスできるかを制御する仕組みです。
確認事項チェックリスト:
- [ ] ロールベースアクセス制御(RBAC)に対応しているか
- [ ] カスタムロール(役割)の作成が可能か
- [ ] オブジェクトレベルの権限設定(コンタクト、取引、レポート等ごと)
- [ ] レコードレベルの権限設定(特定のレコードへのアクセス制限)
- [ ] フィールドレベルの権限設定(特定の項目の表示/非表示/編集可否)
- [ ] チーム/部門ベースのデータ分離が可能か
- [ ] IPアドレス制限(社内ネットワークからのみアクセス可能等)
判定基準:
| 評価 | 基準 |
|---|---|
| ◎ 優良 | RBAC+フィールドレベル権限+IP制限が全て対応 |
| ○ 良好 | RBAC+オブジェクトレベル権限が対応 |
| △ 要確認 | 基本的な権限設定のみ、細かい制御は不可 |
| × 不適 | 全ユーザーが全データにアクセス可能 |
評価ポイント3: データ暗号化
保存中のデータ(At Rest)と通信中のデータ(In Transit)の両方が暗号化されているかを確認します。
確認事項チェックリスト:
- [ ] 通信の暗号化(TLS 1.2以上)に対応しているか
- [ ] 保存データの暗号化(AES-256等)に対応しているか
- [ ] 暗号鍵の管理方法(ベンダー管理 or カスタマー管理鍵)
- [ ] バックアップデータの暗号化
- [ ] 添付ファイルの暗号化
- [ ] データベースレベルの暗号化(TDE等)
- [ ] 暗号化アルゴリズムの定期的な見直し
判定基準:
| 評価 | 基準 |
|---|---|
| ◎ 優良 | TLS 1.2以上+AES-256+カスタマー管理鍵(BYOK)対応 |
| ○ 良好 | TLS 1.2以上+AES-256(ベンダー管理鍵) |
| △ 要確認 | TLS対応だが保存データの暗号化が不明 |
| × 不適 | 暗号化の対応状況が非公開 |
評価ポイント4: 監査ログとモニタリング
「いつ」「誰が」「何を」したかの記録は、セキュリティインシデントの調査と内部統制に不可欠です。
確認事項チェックリスト:
- [ ] ログイン/ログアウトのログ記録
- [ ] データの作成・変更・削除のログ記録
- [ ] 管理者操作(権限変更、設定変更等)のログ記録
- [ ] データエクスポートのログ記録
- [ ] API呼び出しのログ記録
- [ ] ログの保存期間(最低1年以上を推奨)
- [ ] ログの検索・フィルタリング機能
- [ ] ログのエクスポート機能(外部SIEM連携)
- [ ] 不審な操作(大量エクスポート等)のアラート機能
判定基準:
| 評価 | 基準 |
|---|---|
| ◎ 優良 | 全操作のログ記録+SIEM連携+アラート機能 |
| ○ 良好 | 主要操作のログ記録+検索機能+1年以上の保存 |
| △ 要確認 | ログイン履歴のみ、データ操作のログが不十分 |
| × 不適 | 監査ログ機能なし |
評価ポイント5: データバックアップと災害復旧
データの消失リスクに対する備えを確認します。確認すべき項目は、自動バックアップの頻度(日次以上を推奨)、保存期間、保存場所の地理的冗長性、RTO(復旧時間目標)、RPO(データ損失許容範囲)、災害復旧計画(DR)、SLAにおける稼働率保証です。
判定基準: 日次バックアップ+地理冗長+RTO 4時間以内+SLA 99.9%以上が「優良」、日次バックアップ+SLA 99.5%以上が「良好」、バックアップ頻度やSLAが不明確な場合は「要確認」です。
評価ポイント6: 個人情報保護法対応
日本の個人情報保護法への準拠状況を確認します。
確認事項チェックリスト:
- [ ] 個人データの利用目的の管理機能
- [ ] 本人からの開示請求・削除請求への対応機能
- [ ] 個人データの第三者提供記録の管理
- [ ] 漏洩時の報告機能(個人情報保護委員会への報告支援)
- [ ] オプトアウト/同意管理の機能
- [ ] 仮名加工情報への対応
- [ ] データの保存期間設定と自動削除機能
- [ ] プライバシーポリシーとの整合性確認
判定基準:
| 評価 | 基準 |
|---|---|
| ◎ 優良 | 個人データの削除・開示請求対応+同意管理+自動削除 |
| ○ 良好 | 基本的な個人データ管理機能+削除機能 |
| △ 要確認 | 個人データの一括削除が困難、同意管理が手動 |
| × 不適 | 個人情報保護法を考慮した機能が皆無 |
評価ポイント7: GDPR対応(海外取引がある場合)
EU居住者の顧客データを扱う場合、GDPRへの準拠が必要です。確認すべき項目は、データ処理契約(DPA)の締結可否、データ主体の権利行使(アクセス権・訂正権・削除権・データポータビリティ権)への対応、同意管理機能、EU域内のデータセンターの有無、越境データ移転の適法性確保(SCC等)です。
評価ポイント8: 第三者認証とコンプライアンス
CRMベンダーが取得している第三者認証は、セキュリティ対策の客観的な評価指標です。
確認すべき認証・規格:
| 認証・規格 | 概要 | 重要度 |
|---|---|---|
| ISO 27001 | 情報セキュリティマネジメントシステム(ISMS) | ★★★(必須レベル) |
| SOC 2 Type II | サービス組織の内部統制報告書 | ★★★(必須レベル) |
| ISO 27017 | クラウドセキュリティの国際規格 | ★★☆ |
| ISO 27018 | クラウド上の個人情報保護 | ★★☆ |
| CSA STAR | クラウドセキュリティアライアンスの認証 | ★☆☆ |
| PCI DSS | クレジットカード情報のセキュリティ基準 | 決済データを扱う場合のみ |
| ISMAP | 日本政府のクラウドサービス安全性評価制度 | 公共機関との取引がある場合 |
判定基準:
| 評価 | 基準 |
|---|---|
| ◎ 優良 | ISO 27001+SOC 2 Type II+追加認証 |
| ○ 良好 | ISO 27001またはSOC 2 Type IIのいずれかを取得 |
| △ 要確認 | 認証取得予定あり、または独自のセキュリティ基準を公開 |
| × 不適 | 第三者認証なし、セキュリティ基準の公開なし |
評価ポイント9: データの所在とデータ主権
顧客データが物理的にどこに保存されているかは、法規制とコンプライアンスの観点で重要です。確認すべき項目は、データセンターの所在地(国・リージョン)、日本国内データセンターの有無、保存先リージョンの選択可否、越境移転に関するポリシー、サブプロセッサー(再委託先)の一覧と所在地、米国CLOUD Act等の法的影響です。
評価ポイント10: インシデント対応とサポート
万が一セキュリティインシデントが発生した場合の対応体制を確認します。確認すべき項目は、インシデント発生時の通知ポリシー(何時間以内に通知するか)、エスカレーションフロー、脆弱性の報告窓口、セキュリティパッチの適用ポリシー、ペネトレーションテストの実施頻度、セキュリティ専用サポート窓口の対応時間、ステータスページの公開状況です。
主要CRMのセキュリティ対応状況
CRMセキュリティ設定の例:プライバシー管理とユーザー権限(出典:HubSpot)
主要製品の比較
以下は、主要CRM製品のセキュリティ機能の対応状況です。プラン(無料/有料)によって利用可能な機能が異なるため、具体的なプラン要件はベンダーに直接確認してください。
| 評価項目 | 確認ポイント | 一般的な対応状況 |
|---|---|---|
| 2FA/MFA | 二要素認証の対応 | 多くの主要CRMが対応。無料プランでの利用可否に差あり |
| SSO | シングルサインオン | 上位プラン限定の製品が多い |
| RBAC | ロールベースアクセス制御 | ほぼ全製品が対応。粒度に差あり |
| データ暗号化 | At Rest / In Transit | 主要製品はTLS 1.2以上+AES-256が標準 |
| 監査ログ | 操作ログの記録 | 上位プランで詳細なログ機能が提供される傾向 |
| ISO 27001 | ISMS認証 | グローバル主要製品は取得済み |
| SOC 2 | 内部統制報告書 | グローバル主要製品は取得済み |
| GDPR対応 | EU規制対応 | グローバル製品は概ね対応 |
| 国内データセンター | 日本リージョンの有無 | 製品による。AWS/Azure東京リージョンを利用する製品多数 |
| インシデント通知 | 通知時間のSLA | 製品により24〜72時間 |
プラン別セキュリティ機能の注意点
多くのCRMでは、セキュリティ機能の一部が上位プラン限定となっています。
| セキュリティ機能 | 無料/エントリープラン | ミドルプラン | 上位プラン |
|---|---|---|---|
| 2FA | 利用可の製品多数 | ◎ | ◎ |
| SSO | ×の製品が多い | △(製品による) | ◎ |
| IP制限 | × | △ | ◎ |
| 監査ログ(詳細) | × | △ | ◎ |
| カスタム権限 | △ | ○ | ◎ |
| BYOK(カスタマー管理鍵) | × | × | ○(一部製品) |
| サンドボックス | × | × | ○ |
無料プランや安価なプランでは、セキュリティ要件を十分に満たせない可能性があります。情報セキュリティポリシーが厳格な企業ほど、上位プランの選択が必要になる点を、コスト計画に織り込んでください。
CRMベンダーへのセキュリティ質問リスト
RFI/RFPに含めるべき質問テンプレート
CRM選定のRFI(情報提供依頼)やRFP(提案依頼)に含めるべきセキュリティ関連の質問を、カテゴリ別に一覧化しました。
| # | カテゴリ | 質問 |
|---|---|---|
| 1 | インフラ | データセンターの所在地と、日本国内リージョンの選択可否 |
| 2 | インフラ | SLA(稼働率保証)の具体的な数値と災害復旧(DR)計画の概要 |
| 3 | データ保護 | 保存データ(At Rest)と通信データ(In Transit)の暗号化方式 |
| 4 | データ保護 | 暗号鍵の管理方法とカスタマー管理鍵(BYOK)の対応可否 |
| 5 | データ保護 | バックアップの頻度・保存期間・リストア手順 |
| 6 | データ保護 | 契約終了後のデータ削除ポリシー |
| 7 | アクセス制御 | SSO対応方式(SAML 2.0、OAuth 2.0等)と利用可能なプラン |
| 8 | アクセス制御 | 2FA/MFAの対応方式と管理者による強制適用の可否 |
| 9 | アクセス制御 | RBACの粒度(オブジェクト/レコード/フィールドレベル) |
| 10 | アクセス制御 | IP制限、デバイス制限などのアクセス制限機能 |
| 11 | 監査・コンプライアンス | 監査ログの記録範囲、保存期間、検索・エクスポート機能 |
| 12 | 監査・コンプライアンス | 取得済みの第三者認証(ISO 27001、SOC 2等)の一覧 |
| 13 | 監査・コンプライアンス | 個人情報保護法およびGDPRへの対応状況 |
| 14 | インシデント対応 | セキュリティインシデント発生時の通知ポリシー |
| 15 | インシデント対応 | 脆弱性管理プロセスとセキュリティパッチの適用ポリシー |
情報セキュリティポリシーとCRM運用の整合
社内セキュリティポリシーとCRM運用ルールの対応
既存の情報セキュリティポリシーとCRMの運用ルールを整合させるため、「パスワードポリシーの適用」「退職者アカウントの即時無効化」「エクスポート権限の管理者限定」「ローカル保存の禁止」など、既存ポリシーの各項目に対応するCRM側の設定・運用ルールを対応表として整理することを推奨します。
CRM管理者のセキュリティ運用タスク
| 頻度 | タスク |
|---|---|
| 毎日 | 不審なログイン(深夜時間帯、海外IP等)のアラート確認 |
| 毎週 | 異動・退職者のアカウント状況の確認 |
| 毎月 | 監査ログのレビュー(大量エクスポート、管理者操作の確認) |
| 四半期 | アクセス権限の棚卸し(不要な権限の整理、ロールの見直し) |
| 年次 | ベンダーの認証状況(ISO 27001、SOC 2等)の更新確認 |
まとめ
CRMのセキュリティ評価は、10のポイントを体系的に確認することで、漏れのない評価が可能です。
- 認証(2FA/SSO) と アクセス権限制御(RBAC) は最優先で確認する——不正アクセスの防止が全てのセキュリティの起点
- データ暗号化 はAt Rest(保存時)とIn Transit(通信時)の両方を確認する
- 監査ログ は操作の記録範囲、保存期間、検索機能を確認する——インシデント調査に不可欠
- 個人情報保護法対応 は削除請求・開示請求への対応機能を重点的に確認する
- 第三者認証(ISO 27001、SOC 2)の取得状況は客観的な評価指標として有効
- 無料プラン・エントリープランでは セキュリティ機能が制限 される製品が多い——情報セキュリティ要件が厳しい企業は上位プランを前提にコスト計画を立てる
CRMは企業の最も重要な顧客データを預けるシステムです。コストや機能だけでなく、セキュリティを選定の重要な評価軸として位置づけ、本記事のチェックリストを活用して網羅的に評価してください。
よくある質問(FAQ)
Q. CRMのセキュリティ評価は誰が主導すべきですか?
情報システム部門(情シス)が主導し、法務部門(個人情報保護法・GDPR対応の観点)と利用部門(業務要件の観点)と連携して進めるのが理想です。CISOやセキュリティ委員会が設置されている企業では、評価基準の策定段階からCISOの関与を得てください。情シスだけで評価すると、業務上の実用性とのバランスが取れない場合があります。
Q. 無料プランのCRMでもセキュリティは十分ですか?
基本的なセキュリティ(通信の暗号化、2FA、基本的なアクセス制御)は多くの無料プランでもカバーされています。ただし、SSO、監査ログ(詳細)、IP制限、カスタムロールなどの高度なセキュリティ機能は有料プラン限定の場合がほとんどです。自社のセキュリティポリシーの要件と照合し、無料プランで十分かどうかを個別に判断する必要があります。
Q. クラウドCRMとオンプレミスCRM、どちらがセキュリティ面で優れていますか?
一概にどちらが優れているとは言えませんが、クラウドCRMのセキュリティは近年大幅に向上しています。主要なクラウドCRMはISO 27001やSOC 2を取得しており、データセンターの物理セキュリティ、冗長構成、自動パッチ適用など、多くの企業が自社で実現困難なレベルのセキュリティ基盤を提供しています。一方、オンプレミスはデータの物理的な管理を自社で行える反面、インフラの運用・保守コストとセキュリティ人材の確保が課題です。
Q. CRMベンダーがセキュリティ関連の質問に回答してくれない場合はどうすればいいですか?
セキュリティに関する質問に対して明確な回答を提供できないベンダーは、選定候補から除外することを推奨します。信頼性の高いベンダーは、セキュリティホワイトペーパーやTrust Center(信頼性情報の公開ページ)を設けており、主要な質問への回答を公開しています。回答を拒否するベンダーは、セキュリティに対する姿勢そのものに問題がある可能性があります。
Q. CRM導入後にセキュリティインシデントが発生した場合、どう対応すべきですか?
まず、CRMベンダーのインシデント通知を確認し、影響範囲を特定します。個人データの漏洩が確認された場合は、改正個人情報保護法に基づき、個人情報保護委員会への報告(速報:3〜5日以内、確報:30日以内)と本人への通知が義務付けられています。社内のインシデント対応フローに従い、経営層への報告、被害範囲の調査、再発防止策の策定を進めてください。事前にインシデント対応計画を策定しておくことが、被害の最小化に直結します。
関連記事
- HubSpotセキュリティ・GDPR対応ガイド(HubSpotのセキュリティ機能の詳細はこちら)
- CRM導入の進め方完全ガイド|準備・ツール選定・データ移行・定着化の全ステップ(CRM導入プロジェクト全体の進め方を知りたい方に)
- CRM導入の社内稟議を通すための完全ガイド(セキュリティ要件を含む稟議書の作成方法はこちら)
株式会社StartLinkは、事業推進に関わる「販売促進」「DXによる業務効率化(ERP/CRM/SFA/MAの導入)」などのご相談を受け付けております。 サービスのプランについてのご相談/お見積もり依頼や、ノウハウのお問い合わせについては、無料のお問い合わせページより、お気軽にご連絡くださいませ。
著者情報
