「CRM導入の稟議で、情報システム部門からセキュリティ要件について厳しい質問が飛んできた」
「クラウドCRMに顧客の個人情報を預けて本当に安全なのか、経営層を納得させられない」
「CRMベンダーのセキュリティ対応を評価したいが、何をどう確認すればいいのかわからない」
——CRM導入において、セキュリティは避けて通れない最重要課題です。
CRMには企業の生命線ともいえる顧客情報——氏名、連絡先、取引履歴、商談内容——が集約されます。このデータが漏洩すれば、顧客からの信頼喪失、法的責任、ブランド毀損と、回復困難なダメージを被ります。特に2022年の改正個人情報保護法の全面施行以降、個人データの取り扱いに対する法的要件は一段と厳しくなっています。
本記事では、CIO・情報システム部長がCRM選定時に確認すべきセキュリティ要件を、10の評価ポイントに体系化しました。各ポイントには具体的な確認事項と判定基準を設け、そのまま社内のセキュリティ評価に使えるチェックリストとして構成しています。
この記事でわかること
CRMセキュリティ設定の例:プライバシー管理とユーザー権限(出典:HubSpot)
CRMに格納されるデータは、企業にとって最も機密性の高い情報群の1つです。
| データ種別 | 具体例 | 漏洩時のリスク |
|---|---|---|
| 個人情報 | 氏名、メールアドレス、電話番号、住所 | 個人情報保護法違反、損害賠償請求 |
| 商談情報 | 提案金額、競合情報、意思決定者 | 競合への情報流出、商談失注 |
| 取引履歴 | 受注金額、契約条件、与信情報 | 取引先との信頼関係毀損 |
| 社内情報 | 営業戦略、ターゲットリスト、KPI | 競争優位性の喪失 |
| コミュニケーション履歴 | メール内容、商談議事録 | レピュテーションリスク |
CRMのセキュリティを取り巻く法規制は年々厳格化しています。
| 法規制 | 概要 | CRMへの影響 |
|---|---|---|
| 個人情報保護法(日本) | 2022年改正法施行、漏洩報告義務化、罰則強化 | 個人データの適切な管理と漏洩時の対応義務 |
| GDPR(EU一般データ保護規則) | EU居住者の個人データ保護 | EU顧客を持つ場合、データ処理の適法性確保 |
| APPI(改正個人情報保護法) | 越境移転規制、仮名加工情報の導入 | 海外CRMへのデータ保管に関する規制 |
| 不正競争防止法 | 営業秘密の保護 | CRM内の商談情報は営業秘密に該当する可能性 |
クラウドCRMでは「責任共有モデル」が適用されます。セキュリティの責任範囲をベンダーとユーザー企業で明確に分担する必要があります。
| レイヤー | 責任主体 | 具体的な対象 |
|---|---|---|
| インフラストラクチャ | CRMベンダー | データセンター、ネットワーク、物理セキュリティ |
| プラットフォーム | CRMベンダー | OS、ミドルウェア、アプリケーションのパッチ |
| データ | 共有責任 | データの暗号化(ベンダー)、分類・管理(ユーザー) |
| アクセス管理 | 主にユーザー企業 | ユーザー権限設定、パスワードポリシー |
| 運用 | ユーザー企業 | データ入力ルール、利用規約の遵守 |
ユーザー認証は、CRMセキュリティの最前線です。不正アクセスの大半は「認証の突破」から始まります。
確認事項チェックリスト:
判定基準:
| 評価 | 基準 |
|---|---|
| ◎ 優良 | SSO+2FA強制適用+パスワードポリシーカスタマイズが全て対応 |
| ○ 良好 | 2FA対応+パスワードポリシーの基本設定が可能 |
| △ 要確認 | 2FAがオプションのみ、SSOは上位プラン限定 |
| × 不適 | 2FA非対応、またはパスワードポリシー設定不可 |
CRM内のデータに「誰が」「何を」「どこまで」アクセスできるかを制御する仕組みです。
確認事項チェックリスト:
判定基準:
| 評価 | 基準 |
|---|---|
| ◎ 優良 | RBAC+フィールドレベル権限+IP制限が全て対応 |
| ○ 良好 | RBAC+オブジェクトレベル権限が対応 |
| △ 要確認 | 基本的な権限設定のみ、細かい制御は不可 |
| × 不適 | 全ユーザーが全データにアクセス可能 |
保存中のデータ(At Rest)と通信中のデータ(In Transit)の両方が暗号化されているかを確認します。
確認事項チェックリスト:
判定基準:
| 評価 | 基準 |
|---|---|
| ◎ 優良 | TLS 1.2以上+AES-256+カスタマー管理鍵(BYOK)対応 |
| ○ 良好 | TLS 1.2以上+AES-256(ベンダー管理鍵) |
| △ 要確認 | TLS対応だが保存データの暗号化が不明 |
| × 不適 | 暗号化の対応状況が非公開 |
「いつ」「誰が」「何を」したかの記録は、セキュリティインシデントの調査と内部統制に不可欠です。
確認事項チェックリスト:
判定基準:
| 評価 | 基準 |
|---|---|
| ◎ 優良 | 全操作のログ記録+SIEM連携+アラート機能 |
| ○ 良好 | 主要操作のログ記録+検索機能+1年以上の保存 |
| △ 要確認 | ログイン履歴のみ、データ操作のログが不十分 |
| × 不適 | 監査ログ機能なし |
データの消失リスクに対する備えを確認します。確認すべき項目は、自動バックアップの頻度(日次以上を推奨)、保存期間、保存場所の地理的冗長性、RTO(復旧時間目標)、RPO(データ損失許容範囲)、災害復旧計画(DR)、SLAにおける稼働率保証です。
判定基準: 日次バックアップ+地理冗長+RTO 4時間以内+SLA 99.9%以上が「優良」、日次バックアップ+SLA 99.5%以上が「良好」、バックアップ頻度やSLAが不明確な場合は「要確認」です。
日本の個人情報保護法への準拠状況を確認します。
確認事項チェックリスト:
判定基準:
| 評価 | 基準 |
|---|---|
| ◎ 優良 | 個人データの削除・開示請求対応+同意管理+自動削除 |
| ○ 良好 | 基本的な個人データ管理機能+削除機能 |
| △ 要確認 | 個人データの一括削除が困難、同意管理が手動 |
| × 不適 | 個人情報保護法を考慮した機能が皆無 |
EU居住者の顧客データを扱う場合、GDPRへの準拠が必要です。確認すべき項目は、データ処理契約(DPA)の締結可否、データ主体の権利行使(アクセス権・訂正権・削除権・データポータビリティ権)への対応、同意管理機能、EU域内のデータセンターの有無、越境データ移転の適法性確保(SCC等)です。
CRMベンダーが取得している第三者認証は、セキュリティ対策の客観的な評価指標です。
確認すべき認証・規格:
| 認証・規格 | 概要 | 重要度 |
|---|---|---|
| ISO 27001 | 情報セキュリティマネジメントシステム(ISMS) | ★★★(必須レベル) |
| SOC 2 Type II | サービス組織の内部統制報告書 | ★★★(必須レベル) |
| ISO 27017 | クラウドセキュリティの国際規格 | ★★☆ |
| ISO 27018 | クラウド上の個人情報保護 | ★★☆ |
| CSA STAR | クラウドセキュリティアライアンスの認証 | ★☆☆ |
| PCI DSS | クレジットカード情報のセキュリティ基準 | 決済データを扱う場合のみ |
| ISMAP | 日本政府のクラウドサービス安全性評価制度 | 公共機関との取引がある場合 |
判定基準:
| 評価 | 基準 |
|---|---|
| ◎ 優良 | ISO 27001+SOC 2 Type II+追加認証 |
| ○ 良好 | ISO 27001またはSOC 2 Type IIのいずれかを取得 |
| △ 要確認 | 認証取得予定あり、または独自のセキュリティ基準を公開 |
| × 不適 | 第三者認証なし、セキュリティ基準の公開なし |
顧客データが物理的にどこに保存されているかは、法規制とコンプライアンスの観点で重要です。確認すべき項目は、データセンターの所在地(国・リージョン)、日本国内データセンターの有無、保存先リージョンの選択可否、越境移転に関するポリシー、サブプロセッサー(再委託先)の一覧と所在地、米国CLOUD Act等の法的影響です。
万が一セキュリティインシデントが発生した場合の対応体制を確認します。確認すべき項目は、インシデント発生時の通知ポリシー(何時間以内に通知するか)、エスカレーションフロー、脆弱性の報告窓口、セキュリティパッチの適用ポリシー、ペネトレーションテストの実施頻度、セキュリティ専用サポート窓口の対応時間、ステータスページの公開状況です。
CRMセキュリティ設定の例:プライバシー管理とユーザー権限(出典:HubSpot)
以下は、主要CRM製品のセキュリティ機能の対応状況です。プラン(無料/有料)によって利用可能な機能が異なるため、具体的なプラン要件はベンダーに直接確認してください。
| 評価項目 | 確認ポイント | 一般的な対応状況 |
|---|---|---|
| 2FA/MFA | 二要素認証の対応 | 多くの主要CRMが対応。無料プランでの利用可否に差あり |
| SSO | シングルサインオン | 上位プラン限定の製品が多い |
| RBAC | ロールベースアクセス制御 | ほぼ全製品が対応。粒度に差あり |
| データ暗号化 | At Rest / In Transit | 主要製品はTLS 1.2以上+AES-256が標準 |
| 監査ログ | 操作ログの記録 | 上位プランで詳細なログ機能が提供される傾向 |
| ISO 27001 | ISMS認証 | グローバル主要製品は取得済み |
| SOC 2 | 内部統制報告書 | グローバル主要製品は取得済み |
| GDPR対応 | EU規制対応 | グローバル製品は概ね対応 |
| 国内データセンター | 日本リージョンの有無 | 製品による。AWS/Azure東京リージョンを利用する製品多数 |
| インシデント通知 | 通知時間のSLA | 製品により24〜72時間 |
多くのCRMでは、セキュリティ機能の一部が上位プラン限定となっています。
| セキュリティ機能 | 無料/エントリープラン | ミドルプラン | 上位プラン |
|---|---|---|---|
| 2FA | 利用可の製品多数 | ◎ | ◎ |
| SSO | ×の製品が多い | △(製品による) | ◎ |
| IP制限 | × | △ | ◎ |
| 監査ログ(詳細) | × | △ | ◎ |
| カスタム権限 | △ | ○ | ◎ |
| BYOK(カスタマー管理鍵) | × | × | ○(一部製品) |
| サンドボックス | × | × | ○ |
無料プランや安価なプランでは、セキュリティ要件を十分に満たせない可能性があります。情報セキュリティポリシーが厳格な企業ほど、上位プランの選択が必要になる点を、コスト計画に織り込んでください。
CRM選定のRFI(情報提供依頼)やRFP(提案依頼)に含めるべきセキュリティ関連の質問を、カテゴリ別に一覧化しました。
| # | カテゴリ | 質問 |
|---|---|---|
| 1 | インフラ | データセンターの所在地と、日本国内リージョンの選択可否 |
| 2 | インフラ | SLA(稼働率保証)の具体的な数値と災害復旧(DR)計画の概要 |
| 3 | データ保護 | 保存データ(At Rest)と通信データ(In Transit)の暗号化方式 |
| 4 | データ保護 | 暗号鍵の管理方法とカスタマー管理鍵(BYOK)の対応可否 |
| 5 | データ保護 | バックアップの頻度・保存期間・リストア手順 |
| 6 | データ保護 | 契約終了後のデータ削除ポリシー |
| 7 | アクセス制御 | SSO対応方式(SAML 2.0、OAuth 2.0等)と利用可能なプラン |
| 8 | アクセス制御 | 2FA/MFAの対応方式と管理者による強制適用の可否 |
| 9 | アクセス制御 | RBACの粒度(オブジェクト/レコード/フィールドレベル) |
| 10 | アクセス制御 | IP制限、デバイス制限などのアクセス制限機能 |
| 11 | 監査・コンプライアンス | 監査ログの記録範囲、保存期間、検索・エクスポート機能 |
| 12 | 監査・コンプライアンス | 取得済みの第三者認証(ISO 27001、SOC 2等)の一覧 |
| 13 | 監査・コンプライアンス | 個人情報保護法およびGDPRへの対応状況 |
| 14 | インシデント対応 | セキュリティインシデント発生時の通知ポリシー |
| 15 | インシデント対応 | 脆弱性管理プロセスとセキュリティパッチの適用ポリシー |
既存の情報セキュリティポリシーとCRMの運用ルールを整合させるため、「パスワードポリシーの適用」「退職者アカウントの即時無効化」「エクスポート権限の管理者限定」「ローカル保存の禁止」など、既存ポリシーの各項目に対応するCRM側の設定・運用ルールを対応表として整理することを推奨します。
| 頻度 | タスク |
|---|---|
| 毎日 | 不審なログイン(深夜時間帯、海外IP等)のアラート確認 |
| 毎週 | 異動・退職者のアカウント状況の確認 |
| 毎月 | 監査ログのレビュー(大量エクスポート、管理者操作の確認) |
| 四半期 | アクセス権限の棚卸し(不要な権限の整理、ロールの見直し) |
| 年次 | ベンダーの認証状況(ISO 27001、SOC 2等)の更新確認 |
CRMのセキュリティ評価は、10のポイントを体系的に確認することで、漏れのない評価が可能です。
CRMは企業の最も重要な顧客データを預けるシステムです。コストや機能だけでなく、セキュリティを選定の重要な評価軸として位置づけ、本記事のチェックリストを活用して網羅的に評価してください。
情報システム部門(情シス)が主導し、法務部門(個人情報保護法・GDPR対応の観点)と利用部門(業務要件の観点)と連携して進めるのが理想です。CISOやセキュリティ委員会が設置されている企業では、評価基準の策定段階からCISOの関与を得てください。情シスだけで評価すると、業務上の実用性とのバランスが取れない場合があります。
基本的なセキュリティ(通信の暗号化、2FA、基本的なアクセス制御)は多くの無料プランでもカバーされています。ただし、SSO、監査ログ(詳細)、IP制限、カスタムロールなどの高度なセキュリティ機能は有料プラン限定の場合がほとんどです。自社のセキュリティポリシーの要件と照合し、無料プランで十分かどうかを個別に判断する必要があります。
一概にどちらが優れているとは言えませんが、クラウドCRMのセキュリティは近年大幅に向上しています。主要なクラウドCRMはISO 27001やSOC 2を取得しており、データセンターの物理セキュリティ、冗長構成、自動パッチ適用など、多くの企業が自社で実現困難なレベルのセキュリティ基盤を提供しています。一方、オンプレミスはデータの物理的な管理を自社で行える反面、インフラの運用・保守コストとセキュリティ人材の確保が課題です。
セキュリティに関する質問に対して明確な回答を提供できないベンダーは、選定候補から除外することを推奨します。信頼性の高いベンダーは、セキュリティホワイトペーパーやTrust Center(信頼性情報の公開ページ)を設けており、主要な質問への回答を公開しています。回答を拒否するベンダーは、セキュリティに対する姿勢そのものに問題がある可能性があります。
まず、CRMベンダーのインシデント通知を確認し、影響範囲を特定します。個人データの漏洩が確認された場合は、改正個人情報保護法に基づき、個人情報保護委員会への報告(速報:3〜5日以内、確報:30日以内)と本人への通知が義務付けられています。社内のインシデント対応フローに従い、経営層への報告、被害範囲の調査、再発防止策の策定を進めてください。事前にインシデント対応計画を策定しておくことが、被害の最小化に直結します。