HubSpotセキュリティ対策・個人情報保護法/GDPR対応ガイド｜SSO・2FA・Cookie同意管理

「顧客データをクラウドCRMに預けるのはセキュリティ面で不安がある」

「GDPRや個人情報保護法への対応がCRM運用上も必要だと聞いたが、何から始めればいいのかわからない」

——こうしたセキュリティやプライバシーへの懸念は、CRM導入・運用において避けて通れないテーマです。

HubSpotのセキュリティ対策とは、CRMに蓄積された顧客データを不正アクセス・情報漏洩から保護し、GDPR（EU一般データ保護規則）や日本の個人情報保護法に準拠した運用を実現するための機能群です。 SSO（シングルサインオン）、2FA（二要素認証）、Cookie同意管理、データ暗号化など、多層的なセキュリティ機能が用意されています。

この記事では、HubSpotのセキュリティ機能と法規制対応の設定方法を体系的に解説します。

この記事でわかること:

• HubSpotに標準搭載されているセキュリティ機能の全体像
• 二要素認証（2FA）・SSO・IP制限の設定方法
• GDPR・個人情報保護法への対応設定
• Cookie同意バナーの設置方法
• プラン別のセキュリティ機能の違い

HubSpotのセキュリティ体系

出典: HubSpot Trust Center (trust.hubspot.com)

HubSpotのセキュリティは、「プラットフォームレベル」と「アカウントレベル」の2層で構成されています。

プラットフォームレベル（HubSpot側が標準で提供）

HubSpotはクラウドサービスとして、SOC 2 Type IIやISO 27001の認証を取得しており、エンタープライズレベルのセキュリティ基盤を持っています。「クラウドだからセキュリティが心配」という懸念については、むしろ自社サーバーよりも高度なセキュリティ対策が施されているケースが多いのが実情です。

アカウントレベル（管理者が設定する）

二要素認証（2FA）の設定

二要素認証は、パスワードに加えてもう一つの認証要素（認証アプリのコードやSMS）を使ってログインのセキュリティを強化する仕組みです。全ユーザーへの設定を強く推奨します。

個人での2FA設定手順

1. プロフィールアイコン → 「プロフィールと設定」
2. 「セキュリティ」タブを選択
3. 「2要素認証」セクション → 「セットアップ」をクリック
4. 認証方法を選択:

• 認証アプリ（推奨）: Google Authenticator、Microsoft Authenticator、Duo Mobile等
• SMS認証: 電話番号にコードを送信

1. 認証アプリの場合はQRコードをスキャン
2. 表示された確認コードを入力して完了

管理者による2FA強制

スーパー管理者は、アカウント全体で2FAを必須化できます。

設定場所: 歯車マーク → 「アカウントの既定値」→「セキュリティ」

「二要素認証を要求」をオンにすると、全ユーザーに対して次回ログイン時に2FAの設定が強制されます。

今枝が基礎編動画で示しているように、上場企業や上場準備企業では2FAの導入がセキュリティ監査で求められることが多く、初期段階から設定しておくことを推奨します。

SSO（シングルサインオン）の設定

SSOとは

SSO（シングルサインオン）は、1回の認証で複数のサービスにアクセスできる仕組みです。企業のID管理基盤（IdP）と連携することで、HubSpotへのログインを一元管理できます。

SSO利用に必要なプラン: Enterprise

対応IdP（IDプロバイダー）

SSO設定手順

1. 歯車マーク → 「アカウントの既定値」→「セキュリティ」
2. 「シングルサインオン」セクション → 「セットアップ」
3. IdP側でHubSpotをサービスプロバイダーとして登録
4. SAML 2.0メタデータ（エンティティID、ログインURL、証明書）を入力
5. テストログインで動作確認
6. 設定を有効化

SSOを導入するメリット

• セキュリティ強化: パスワード管理の一元化、退職者のアクセス即時遮断
• 利便性向上: 1回のログインでHubSpotを含む全社ツールにアクセス
• コンプライアンス: 監査対応でのログイン管理の証跡確保

IP制限の設定

Enterpriseプランでは、HubSpotにアクセスできるIPアドレスを制限できます。オフィスのIPアドレスやVPNのIPアドレスのみ許可することで、不正アクセスのリスクを大幅に低減できます。

設定場所: 歯車マーク → 「アカウントの既定値」→「セキュリティ」

1. 「信頼できるIPアドレス」セクション
2. 許可するIPアドレス（またはIP範囲）を追加
3. 設定を有効化

注意点

• リモートワークを導入している場合は、VPN経由のアクセスを前提とした設計が必要です
• IPアドレスの設定ミスで管理者自身がログインできなくなるリスクがあるため、設定変更は慎重に行ってください
• モバイルアプリからのアクセスも制限対象になります

GDPR対応の設定

GDPRとは

GDPR（General Data Protection Regulation：EU一般データ保護規則）は、EU域内の個人データの保護に関する規則です。EU域内の顧客データを扱う場合や、EU域内でサービスを提供する場合に対応が必要です。

日本の個人情報保護法との関係

2022年に改正された日本の個人情報保護法もGDPRに近い水準の個人データ保護を求めており、Cookie情報の取扱いやオプトイン同意の取得など、共通する要件が増えています。

HubSpotでのGDPR機能有効化

設定場所: 歯車マーク → 「プライバシーと同意」

1. 「データプライバシー設定」セクション
2. 「データプライバシー設定をオンにする」を有効化
3. 以下の機能が有効になります:

• 同意バナー（Cookieバナー）: Webサイト訪問者にCookie使用の同意を求める
• コミュニケーションの配信カテゴリ: メール配信時のオプトイン管理
• データ処理の法的根拠: 各コンタクトのデータ処理の根拠を記録
• 削除要求対応: コンタクトの完全削除（GDPR第17条「忘れられる権利」）

配信カテゴリの設定

GDPR対応では、メール配信の目的別に配信カテゴリ（サブスクリプションタイプ）を設定し、コンタクトごとにオプトイン/オプトアウトを管理します。

推奨設定例:

Cookie同意バナーの設定

Cookie同意バナーとは

Webサイト訪問者にCookieの使用目的を説明し、同意を得るためのバナーです。GDPRでは必須、日本の個人情報保護法でもCookie情報の取扱いについて透明性が求められています。

設定手順

設定場所: 歯車マーク → 「プライバシーと同意」→「Cookie」

1. 「Cookie同意バナー」セクション
2. バナーのデザイン・テキストをカスタマイズ:

• バナーの表示位置（画面下部・ポップアップ等）
• 説明テキスト
• 「同意する」「カスタマイズ」「拒否」ボタンのテキスト

1. Cookieカテゴリの設定:

• 必須Cookie: サイト機能に必要（同意不要）
• 分析Cookie: トラフィック分析（HubSpotトラッキング等）
• 広告Cookie: 広告ターゲティング
• 機能Cookie: パーソナライゼーション

1. プレビューで確認して公開

Cookie同意のベストプラクティス

• 「同意する」と「拒否」の両方を明確に表示する（ダークパターンを避ける）
• プライバシーポリシーへのリンクを含める
• 同意の記録を保持する（HubSpotが自動で管理）
• 日本語とその他必要な言語でテキストを用意する

監査ログの活用

HubSpotの監査ログでは、アカウント内での操作履歴を追跡できます。セキュリティインシデントの調査や、コンプライアンス監査への対応に活用します。

確認場所: 歯車マーク → 「アカウントの既定値」→「セキュリティ」→「セキュリティアクティビティー」

確認できる主な操作

• ユーザーのログイン/ログアウト履歴
• 設定変更の履歴
• データのエクスポート操作
• ユーザーの追加・削除・権限変更
• インテグレーションの接続・切断

定期的な監査のポイント

四半期に一度、以下の観点で監査ログをレビューすることを推奨します:

• 不審なログイン（通常と異なるIPアドレスからのアクセス）
• 大量データのエクスポート操作
• 管理者権限の変更
• 退職者のアカウントでのログイン

プラン別セキュリティ機能の比較

SSO・IP制限・フィールドレベルの権限制御が必要な場合はEnterpriseプランが必要です。特に上場企業・上場準備企業や、金融・医療などの規制業種では、Enterpriseプランのセキュリティ機能が必須になるケースが多いです。

セキュリティ対策のベストプラクティス

1. 多層防御のアプローチ

1つの対策に頼るのではなく、複数のセキュリティ対策を組み合わせます:

• 認証: 2FA + SSO + 強力なパスワードポリシー
• アクセス制御: 最小権限の原則 + IP制限 + チームベースのデータアクセス
• 監視: 監査ログの定期レビュー + ログイン通知
• データ保護: 暗号化 + プロパティレベルのアクセス制御

2. 定期的なセキュリティレビュー

以下を四半期ごとに実施することを推奨します:

• [ ] ユーザーアカウントの棚卸し（退職者・異動者）
• [ ] スーパー管理者の人数確認
• [ ] 外部連携アプリのレビュー
• [ ] 監査ログの異常確認
• [ ] APIキー・トークンのローテーション

3. データバックアップ

HubSpotのバックアップ復元期限は14日以内です。重要なデータは定期的にエクスポートしてバックアップを取得しておくことも検討してください。

4. 正直な限界の認識

HubSpotのセキュリティは高水準ですが、完璧ではありません。例えば:

• SSO・IP制限はEnterpriseプラン限定であり、Professional以下では利用できない
• 見積もり機能のリンク公開リスク: 今枝が指摘するように「セキュリティリスク的なところで言うとリンクが公開されてしまったりする部分と承認機能があまり強くない」
• 完全な監査証跡は外部のSIEM等と連携する必要がある場合もある

まとめ

HubSpotのセキュリティ対策とGDPR/個人情報保護法対応は、CRMを安全に運用するための必須事項です。

まずは以下の3つから取り組んでいただければなと思います:

1. 全ユーザーに二要素認証（2FA）を設定する（全プランで即座に対応可能）
2. GDPR/プライバシー設定を有効化し、Cookie同意バナーを設置する
3. ユーザー権限を最小限の原則で設計する

Enterpriseプランを利用中の場合は、SSO・IP制限の導入も進めてください。セキュリティは「一度設定して終わり」ではなく、定期的なレビューと改善を続けていくことが重要です。

CRMにデータが蓄積されるほどセキュリティの重要性は増していきます。早い段階で基盤を整え、段階的に強化していくスモールスタートのアプローチがおすすめです。

よくある質問（FAQ）

Q1. HubSpotに保存されたデータはどこに保管されていますか？

HubSpotのデータは主に米国のデータセンター（AWS）に保管されています。EUのデータ居住要件に対応するため、EU内のデータセンターも利用可能です。データの転送中・保存中ともにAES-256で暗号化されており、SOC 2 Type II・ISO 27001認証を取得しています。

Q2. GDPRのデータ削除要求にHubSpotで対応できますか？

はい、対応可能です。HubSpotのGDPR機能を有効化すると、コンタクトの「完全削除」（GDPR第17条「忘れられる権利」）が可能になります。完全削除を実行すると、そのコンタクトに関連するすべてのデータ（アクティビティ、関連付け等）が永久に削除されます。通常の削除とは異なり、復元はできませんのでご注意ください。

Q3. 二要素認証は全員に強制できますか？

はい、スーパー管理者が「二要素認証を要求」の設定をオンにすることで、アカウント内の全ユーザーに2FAを強制できます。この設定を有効にすると、2FAを設定していないユーザーは次回ログイン時に2FAの設定を求められ、設定しないとログインできなくなります。

Q4. SSO（シングルサインオン）はどのプランで利用できますか？

SSOはEnterpriseプランでのみ利用可能です。Okta、Azure AD（Microsoft Entra ID）、Google Workspace、OneLoginなどの主要なIdPに対応しています。Professional以下のプランでは、2FAとパスワードポリシーの強化で代替してください。

Q5. 個人情報保護法への対応で最低限やるべきことは何ですか？

まず以下の3点を対応してください。(1) HubSpotのデータプライバシー設定を有効化し、Cookie同意バナーを自社Webサイトに設置する。(2) メール配信時のオプトイン取得と配信解除リンクの設置を確実にする。(3) プライバシーポリシーにCRMでの個人データ利用について明記する。詳細な法的要件については、自社の法務部門や弁護士にご確認いただくことを推奨します。