- #セキュリティ対策
- #セキュリティガバナンス
- #情報セキュリティ
- #DX
- #EMOROCO CRM Lite
- #Creative CRM
- #アーカス・ジャパン
- #CRM4.0
- #法人心理学
- #企業心理学
- #CRMドクター
- #CRM・xRM
- #EMOROCO
- #人工知能・機械学習(AI・ML)
- #顧客・販売戦略(SFA)
- #カスタマーサービス・コールセンター(CS)
- #マーケティング・オートメーション(MA)
- #カスタマーエクスペリエンス(顧客体験)
- #AI
- #フィールドサービス(FS)
- #CRM
EMOROCO CRM Liteの個人情報保護法・ISMS対応ガイド — 顧客データを安全に管理する企業のための法令対応設計
こんにちは、CRMエバンジェリストの松原です。
「CRMを導入したいが、個人情報保護法の対応に不安がある」
「ISMS(情報セキュリティマネジメントシステム)認証を取得しているが、新しいツールを導入するたびに審査対応が発生する」
「Pマーク取得企業として、顧客データの取り扱いに厳格なルールがある」
顧客データを扱う以上、CRM導入は個人情報保護法・ISMS・Pマークといった法令・認証への対応が前提になります。
この記事では、EMOROCO CRM Liteが個人情報保護法・ISMSなどの要件にどう対応できるかを整理します。
個人情報保護法とCRMの関係
個人情報保護法は、事業者が個人情報を取得・利用・保管・第三者提供する際のルールを定めています。CRMは顧客の氏名・連絡先・取引履歴・場合によっては機微情報(病歴・思想等)を保管するため、法の適用範囲に直接関わります。
① 利用目的の明示
→ 顧客データを「何のために収集しているか」を
明確にしておく必要がある
② 安全管理措置
→ 個人データの漏えい・滅失・毀損を防ぐための
組織的・人的・物理的・技術的な対策
③ 第三者提供の制限
→ 同意なく個人データを第三者(外部システム等)に
提供してはならない
④ 漏えい等の報告義務
→ 個人データの漏えいが発生した場合、
個人情報保護委員会への報告と本人への通知が必要
EMOROCO CRM Liteは、これらの要件に対応するための技術的・運用的な仕組みを提供します。
EMOROCO CRM Liteの法令対応機能
①セキュリティロールによるアクセス制御(安全管理措置)
・部署別・役職別・担当顧客別にデータアクセス権限を設定
・一般担当者は自分の担当顧客のみ閲覧・編集可能
・マネージャーはチーム全体を閲覧可能(編集は制限可)
・退職者のアカウントを即時無効化し、データアクセスを遮断
「誰が・どのデータに・どこまでアクセスできるか」を明確に制御することは、個人情報保護法が求める「人的安全管理措置」の中核です。
②監査ログによる操作履歴の記録
・誰が、いつ、どのレコードを閲覧・編集・削除したか
・データのエクスポート履歴
・ログイン・ログアウトの履歴
万が一、不正アクセスや情報漏えいの疑いが発生した場合、監査ログが「いつ・誰が・何をしたか」を追跡する証拠になります。
ISMS・Pマークの内部監査でも、操作履歴の証跡があることは重要な評価項目です。
③セルフホスト対応(保管場所の完全な統制)
個人情報保護法の安全管理措置として「物理的安全管理措置」が求められる場合、データの保管場所を自社で完全に統制できることが重要になります。
EMOROCO CRM Liteはセルフホスト(オンプレミスまたは自社管理のAzure環境)に対応しているため、以下のような厳格な要件にも応えられます。
・データを完全に自社管理下のサーバーに保管したい
・社外のクラウドベンダーにデータを預けたくない
・ISMS認証で「自社で完全に管理できる環境」が
求められている
詳細は「EMOROCO CRM LiteのセルフホストとAzure構成ガイド」をご参照ください。
④暗号化・通信のセキュリティ(技術的安全管理措置)
EMOROCO CRM LiteはMicrosoft Azureの標準的なセキュリティ機能を活用しており、データの保存時・通信時の暗号化に対応しています。
・通信の暗号化(HTTPS/TLS)
・データベースの暗号化
・Azure Active Directoryによる認証統合
・Key Vaultによる接続情報・APIキーの安全な管理
⑤データのバックアップと復旧(可用性の確保)
個人データの「滅失・毀損」を防ぐ安全管理措置として、定期的なバックアップが求められます。
SaaS版ではアーカス・ジャパンが標準でバックアップを管理し、セルフホスト版では自社のバックアップポリシーに合わせた運用が可能です。
ISMS(ISO27001)審査でCRMが問われるポイント
ISMS認証を取得・維持している企業がCRMを導入する際、内部監査・更新審査で問われやすいポイントを整理します。
① アクセス権限の管理
→ セキュリティロールの設定状況・
最小権限の原則が守られているか
② ログの記録と保管
→ 監査ログがどの程度の期間保管され、
確認できる体制になっているか
③ データの保管場所
→ クラウド(Azure)かセルフホストか、
保管場所が明確に説明できるか
④ 委託先(ベンダー)管理
→ CRMベンダー(アーカス・ジャパン)との
契約内容・委託先管理規程との整合性
⑤ インシデント対応
→ 漏えい等が発生した場合の対応フローが
整備されているか
EMOROCO CRM Liteのセキュリティロール・監査ログ・セルフホスト対応は、これらの審査項目に対する具体的な説明材料になります。
Pマーク(プライバシーマーク)取得企業の場合
Pマークは個人情報保護法よりも厳格な「JIS Q 15001」に基づく認証です。
Pマーク取得企業がCRMを選定する際は、以下の点を特に確認することが推奨されます。
・個人情報を取り扱う従業者の範囲が
明確に制限できるか(セキュリティロール)
・個人情報の取得・利用目的が
システム上でも追跡できるか
・委託先(CRMベンダー)との契約に
個人情報の取り扱いに関する条項が
含まれているか
・データの保管期間・削除ルールが
運用できるか(不要になった個人データの削除)
EMOROCO CRM Liteでは、不要になった顧客データの削除機能(個別削除・一括削除)も標準で提供しています。
中小企業の現実的な対応ステップ
大企業のような専任の情報セキュリティ部門がない中小企業でも、以下のステップで個人情報保護法・社内規程への対応を進められます。
誰が・どのデータにアクセスできるかを最初に決める
STEP 2:利用目的の明文化(導入時)
「このCRMで顧客データを何のために使うか」を
社内文書として残す
STEP 3:監査ログの定期確認(運用開始後)
月次で操作履歴を確認する習慣を作る
STEP 4:退職者・異動者のアクセス権限見直し(運用)
退職・異動が発生したタイミングで
即座にアクセス権限を更新する運用を徹底する
STEP 5:データ削除ルールの運用(継続)
不要になった顧客データを定期的に削除する
ルールを決めておく
まとめ——「使いやすさ」と「法令対応」は両立できる
CRM導入の検討で「使いやすさ」と「セキュリティ・法令対応」が対立する課題として扱われることがあります。
しかし、セキュリティロール・監査ログ・セルフホスト対応・データ削除機能を標準で備えたCRMであれば、この2つは両立できます。
顧客との関係を深めるためにCRMを使うことと、その顧客データを適切に守ることは、CRM4.0が前提とする一体の責任です。
導入を検討する際は、まず自社のセキュリティ要件(個人情報保護法・ISMS・Pマーク等)を整理し、その要件に対してEMOROCO CRM Liteのどの機能が対応するかを確認してください。
EMOROCO CRM Liteの30日間無料トライアルはこちら
セキュリティ・法令対応に関するご相談はお問い合わせください。
デジタル化・AI導入補助金2026 対応ツール番号:DL07-0022934
製品情報:https://www.emoroco.com/
関連記事



