CRMセキュリティが経営アジェンダに浮上する背景
CRMシステムには、顧客の個人情報、商談金額、契約条件、コミュニケーション履歴という、企業にとって最も機密性の高いデータが集約されています。にもかかわらず、多くの企業でCRMセキュリティは「IT部門の管理事項」として扱われ、経営アジェンダになっていません。
この記事はCISO、CIO、法務・コンプライアンス責任者向けです。 Salesforceの権限設定の具体的な手順は権限管理ガイドを、FLSの技術的なトラブルシューティングはファントムフィールドFLSガイドをご参照ください。
この状況が変わりつつある背景には、以下の3つのトレンドがあります。
規制強化: 2022年の個人情報保護法改正により、漏洩時の報告義務が厳格化され、罰則も強化されました。CRMに格納される顧客データは、まさにこの規制の対象です。
サイバー脅威の高度化: クラウドサービスを標的としたサイバー攻撃が増加しています。特に、正規の認証情報を悪用した不正アクセスは、従来のファイアウォール型の防御では検知が困難です。
AI活用の拡大: CRMデータをAI(Einstein、生成AI等)に投入する場面が増えるに伴い、データの機密管理とAI利用の境界線を設計する必要が生じています。
CRMセキュリティは「データ漏洩を防ぐ」という守りの施策だけでなく、「データを安全に活用できる基盤を構築する」という攻めの施策でもあります。Salesforceの共有責任モデルと顧客側の責任範囲
クラウドサービスのセキュリティを理解する上で最も重要な概念が「共有責任モデル」です。Salesforceの場合、責任範囲は以下のように分かれます。
Salesforce側の責任
- インフラストラクチャのセキュリティ: データセンターの物理セキュリティ、ネットワークセキュリティ
- プラットフォームのセキュリティ: アプリケーションの脆弱性管理、パッチ適用、可用性の確保
- コンプライアンス認証: SOC 2 Type II、ISO 27001等の第三者認証の取得・維持
- データの物理的保護: ストレージの暗号化、バックアップ
顧客側の責任
- データの分類と保護設計: どのデータをどのレベルで保護するかの設計
- アクセス制御: プロファイル、権限セット、共有ルール、FLS(フィールドレベルセキュリティ)の設計
- 暗号化の判断: Platform Encryption(Shield)の適用対象の決定
- ユーザー管理: アカウントの作成・無効化、パスワードポリシー、MFA(多要素認証)の適用
- 監査ログの管理: ログインの監視、データ操作の監視、異常の検知
- サードパーティ連携の管理: 接続先アプリの安全性評価、API接続の管理
「Salesforceはクラウドだからセキュリティも任せられる」という認識は誤りです。データの分類、アクセス制御、暗号化判断は全て顧客側の責任であり、CISOが主導して設計すべき領域です。
Shield/Event Monitoring/Platform Encryptionの投資判断基準
Salesforce Shieldは、標準機能を超えたセキュリティ機能を提供する有償アドオンです。投資判断は、データ分類の結果に基づいて行うべきです。
Platform Encryption
機能: Salesforceのフィールドレベルでデータを暗号化する。
投資判断基準:
- CRMに格納するデータの中に、暗号化が規制で求められるフィールドがあるか(金融業の口座情報、医療業の患者情報等)
- 社内のセキュリティポリシーで、特定のデータカテゴリに対して暗号化が要求されているか
- 暗号化によるSalesforce機能制限(検索性能の低下、数式フィールドの制約等)を許容できるか
判断: 暗号化が規制で求められる業界(金融、医療、公共)では強く推奨。それ以外の業界では、Salesforceの標準暗号化(保存時暗号化)で十分なケースが多い。
Event Monitoring
機能: ユーザーのログイン、データの閲覧・変更・エクスポートといった操作をリアルタイムに監視する。
投資判断基準:
- 大量の機密データ(顧客の個人情報、契約金額等)をSalesforceに格納しているか
- データエクスポートの不正利用(退職予定者による顧客リストの持ち出し等)のリスクがあるか
- セキュリティインシデント発生時の調査・証跡保全の体制が必要か
判断: 数百名以上のユーザーがCRMを利用する企業、機密データの量が多い企業では強く推奨。特に、営業担当者の退職時に顧客データの持ち出しリスクがある場合は、Event Monitoringの導入価値が高い。
Field Audit Trail
機能: フィールドの変更履歴を最大10年間保持する(標準の監査履歴は18か月)。
投資判断基準:
- 法的な文書保存義務により、データ変更履歴の長期保持が求められるか
- 監査対応で過去のデータ状態を復元する必要があるか
判断: 規制対応が厳格な業界では必要。一般的な事業会社では、標準の18か月で十分なケースが多い。
データ分類と保護レベル設計
CRMセキュリティの土台は、データ分類です。Salesforceに格納する全てのデータを機密度に応じて分類し、分類に応じた保護レベルを設定します。
4段階の機密度分類
| レベル | 定義 | Salesforceでの例 | 保護要件 |
|---|---|---|---|
| 極秘 | 漏洩が重大な経営リスクになるデータ | 商談金額、契約条件、経営方針メモ | Shield暗号化、アクセスログ必須、閲覧者制限 |
| 機密 | 社外への漏洩を防ぐべきデータ | 顧客連絡先、活動履歴、パイプラインデータ | FLS制御、ロールベースアクセス、監査ログ |
| 社内 | 社内で広く共有可能なデータ | 取引先の基本情報(会社名、業種) | 標準アクセス制御 |
| 公開 | 外部公開に問題のないデータ | 公開済みの事例情報 | 制限なし |
保護レベルの実装
分類に基づき、以下の保護策を段階的に適用します。
- レベル1(全データ共通): MFA必須、IPアドレス制限、セッションタイムアウト設定
- レベル2(機密以上): ロールベースのアクセス制御、FLS、共有ルール
- レベル3(極秘): Shield暗号化、Event Monitoring、Field Audit Trail
コンプライアンス対応フレームワーク
個人情報保護法対応
CRMセキュリティにおいて、日本の個人情報保護法への対応は最優先事項です。
利用目的の明示と同意管理: Salesforceに格納する個人情報の利用目的を特定し、プライバシーポリシーに明記する必要があります。特に注意が必要なのは、CRMデータをAI機能(Einstein等)に投入する場合です。AIによる分析・予測が当初の利用目的に含まれているか、法務部門と確認すべきです。
データ主体の権利対応: 顧客からの開示請求、訂正請求、利用停止請求、削除請求に対応するプロセスを整備します。Salesforceのデータエクスポート機能と、レコード単位の削除プロセスを、これらの請求に対応できるよう設計しておく必要があります。
漏洩時の報告義務: 個人データの漏洩が発生した場合、速やかに個人情報保護委員会への報告と本人への通知を行う義務があります。「速やかに」の目安は、法令上は「概ね3〜5日以内」とされています。
GDPR対応(海外取引がある場合)
EU居住者の個人データを扱う場合、GDPRの要件を満たす必要があります。特に注意すべき点は以下の通りです。
- データ処理の法的根拠: 同意、契約履行、正当な利益等の法的根拠を文書化する
- データ移転の適法性: Salesforceのデータセンターが日本国外にある場合、十分性認定やSCC(標準契約条項)による適法な移転を確認する
- DPIA(データ保護影響評価): AI活用や大量の個人データ処理を行う場合、事前のDPIAが必要
業界固有の規制対応
| 業界 | 主な規制 | CRMへの影響 |
|---|---|---|
| 金融 | 金融商品取引法、犯罪収益移転防止法 | 顧客情報の厳格な管理、取引記録の長期保存 |
| 医療 | 医療法、個人情報保護法(要配慮個人情報) | 患者データの特別な保護、データアクセスの厳格な制限 |
| 人材 | 職業安定法、労働者派遣法 | 求職者・派遣スタッフの個人情報管理 |
インシデント対応体制とベンダーリスク管理
CRMセキュリティインシデント対応計画
セキュリティインシデントは「起きるかどうか」ではなく「起きたときにどう対応するか」の問題です。CRM固有のインシデント対応計画を策定しておく必要があります。
想定すべきインシデントシナリオ:
- 営業担当者の退職時の顧客データ持ち出し
- フィッシング攻撃によるSalesforceアカウントの乗っ取り
- APIを介した大量データの不正エクスポート
- サードパーティ連携ツール経由のデータ漏洩
- 内部関係者による意図的なデータ不正利用
インシデント対応フロー:
- 検知: Event Monitoringやアクセスログによる異常の検知
- 初動対応: 該当アカウントの即座の無効化、影響範囲の特定
- 証跡保全: ログの保全、フォレンジック調査の開始
- 報告: 経営層への報告、法令に基づく当局への報告
- 通知: 影響を受ける顧客への通知
- 復旧: 被害の修復、再発防止策の実施
- 振り返り: インシデント対応のレビューと計画の改善
ベンダーリスク管理
CRMエコシステムのセキュリティは、Salesforce本体だけでなく、連携する全てのサードパーティツールを含めて評価する必要があります。
ベンダー評価の5つの基準:
| 評価基準 | 確認項目 |
|---|---|
| セキュリティ認証 | ISO/IEC 27001、SOC 2 Type II等の取得状況 |
| データ保存場所 | データの保存先(国内/海外)、データレジデンシーの保証 |
| 暗号化 | 転送中(TLS 1.2以上)、保存時の暗号化方式 |
| 認証方式 | OAuth 2.0等の安全な認証方式、Salesforce Connected Appの設計 |
| インシデント対応 | 漏洩時の通知SLA、対応体制、過去のインシデント履歴 |
定期的な再評価: ベンダーのセキュリティ状況は変化するため、年1回以上の再評価を行います。契約更新時にセキュリティ評価を組み込むプロセスを整備することを推奨します。
CRM連携ツールの選定においては、セキュリティ要件を満たすベンダーを選択することが重要です。aileadは、ISO/IEC 27001:2022認証を取得し、全てのデータを日本国内のデータセンターで完結して管理しています。対話データの暗号化、OAuth 2.0ベースのSalesforce連携、厳格なアクセス制御を実装しており、CRM連携ツールとしてのセキュリティ要件を充足しています。セキュリティ要件の詳細については、お問い合わせください。
まとめ
CRMセキュリティは「IT部門の管理事項」ではなく、CISOが主導すべき経営課題です。Salesforceの共有責任モデルを正しく理解し、顧客側の責任範囲(データ分類、アクセス制御、暗号化判断)を明確にすることが出発点になります。
Shield等のセキュリティ投資はデータ分類の結果に基づいてリスクベースで判断し、日本の法規制(個人情報保護法)への対応を含めた包括的なコンプライアンスフレームワークを構築してください。インシデント対応計画の策定と、サードパーティ連携ツールのベンダーリスク管理も忘れてはならない重要テーマです。
関連記事
ailead編集部
株式会社ailead
aileadの公式編集部です。営業DX・AI活用に関する情報を発信しています。
