トピックス

EMOROCO CRM Lite

EMOROCO CRM Liteの個人情報保護法・ISMS対応ガイド — 顧客データを安全に管理する企業のための法令対応設計

こんにちは、CRMエバンジェリストの松原です。

「CRMを導入したいが、個人情報保護法の対応に不安がある」

「ISMS(情報セキュリティマネジメントシステム)認証を取得しているが、新しいツールを導入するたびに審査対応が発生する」

「Pマーク取得企業として、顧客データの取り扱いに厳格なルールがある」

顧客データを扱う以上、CRM導入は個人情報保護法・ISMS・Pマークといった法令・認証への対応が前提になります。

この記事では、EMOROCO CRM Liteが個人情報保護法・ISMSなどの要件にどう対応できるかを整理します。


個人情報保護法とCRMの関係

個人情報保護法は、事業者が個人情報を取得・利用・保管・第三者提供する際のルールを定めています。CRMは顧客の氏名・連絡先・取引履歴・場合によっては機微情報(病歴・思想等)を保管するため、法の適用範囲に直接関わります。

【CRM運用で特に注意すべき個人情報保護法の要件】

① 利用目的の明示
 → 顧客データを「何のために収集しているか」を
   明確にしておく必要がある

② 安全管理措置
 → 個人データの漏えい・滅失・毀損を防ぐための
   組織的・人的・物理的・技術的な対策

③ 第三者提供の制限
 → 同意なく個人データを第三者(外部システム等)に
   提供してはならない

④ 漏えい等の報告義務
 → 個人データの漏えいが発生した場合、
   個人情報保護委員会への報告と本人への通知が必要

EMOROCO CRM Liteは、これらの要件に対応するための技術的・運用的な仕組みを提供します。


EMOROCO CRM Liteの法令対応機能

①セキュリティロールによるアクセス制御(安全管理措置)

【セキュリティロールでできること】

・部署別・役職別・担当顧客別にデータアクセス権限を設定
・一般担当者は自分の担当顧客のみ閲覧・編集可能
・マネージャーはチーム全体を閲覧可能(編集は制限可)
・退職者のアカウントを即時無効化し、データアクセスを遮断

「誰が・どのデータに・どこまでアクセスできるか」を明確に制御することは、個人情報保護法が求める「人的安全管理措置」の中核です。

②監査ログによる操作履歴の記録

【監査ログで記録される内容】

・誰が、いつ、どのレコードを閲覧・編集・削除したか
・データのエクスポート履歴
・ログイン・ログアウトの履歴

万が一、不正アクセスや情報漏えいの疑いが発生した場合、監査ログが「いつ・誰が・何をしたか」を追跡する証拠になります。
ISMS・Pマークの内部監査でも、操作履歴の証跡があることは重要な評価項目です。

③セルフホスト対応(保管場所の完全な統制)

個人情報保護法の安全管理措置として「物理的安全管理措置」が求められる場合、データの保管場所を自社で完全に統制できることが重要になります。

EMOROCO CRM Liteはセルフホスト(オンプレミスまたは自社管理のAzure環境)に対応しているため、以下のような厳格な要件にも応えられます。

セルフホストで対応できる要件:
・データを完全に自社管理下のサーバーに保管したい
・社外のクラウドベンダーにデータを預けたくない
・ISMS認証で「自社で完全に管理できる環境」が
 求められている

詳細は「EMOROCO CRM LiteのセルフホストとAzure構成ガイド」をご参照ください。

④暗号化・通信のセキュリティ(技術的安全管理措置)

EMOROCO CRM LiteはMicrosoft Azureの標準的なセキュリティ機能を活用しており、データの保存時・通信時の暗号化に対応しています。

技術的な保護の仕組み:
・通信の暗号化(HTTPS/TLS)
・データベースの暗号化
・Azure Active Directoryによる認証統合
・Key Vaultによる接続情報・APIキーの安全な管理

⑤データのバックアップと復旧(可用性の確保)

個人データの「滅失・毀損」を防ぐ安全管理措置として、定期的なバックアップが求められます。
SaaS版ではアーカス・ジャパンが標準でバックアップを管理し、セルフホスト版では自社のバックアップポリシーに合わせた運用が可能です。


ISMS(ISO27001)審査でCRMが問われるポイント

ISMS認証を取得・維持している企業がCRMを導入する際、内部監査・更新審査で問われやすいポイントを整理します。

【ISMS審査でよく確認される項目】

① アクセス権限の管理
 → セキュリティロールの設定状況・
   最小権限の原則が守られているか

② ログの記録と保管
 → 監査ログがどの程度の期間保管され、
   確認できる体制になっているか

③ データの保管場所
 → クラウド(Azure)かセルフホストか、
   保管場所が明確に説明できるか

④ 委託先(ベンダー)管理
 → CRMベンダー(アーカス・ジャパン)との
   契約内容・委託先管理規程との整合性

⑤ インシデント対応
 → 漏えい等が発生した場合の対応フローが
   整備されているか

EMOROCO CRM Liteのセキュリティロール・監査ログ・セルフホスト対応は、これらの審査項目に対する具体的な説明材料になります。


Pマーク(プライバシーマーク)取得企業の場合

Pマークは個人情報保護法よりも厳格な「JIS Q 15001」に基づく認証です。
Pマーク取得企業がCRMを選定する際は、以下の点を特に確認することが推奨されます。

【Pマーク企業がCRM導入時に確認すべき点】

・個人情報を取り扱う従業者の範囲が
 明確に制限できるか(セキュリティロール)

・個人情報の取得・利用目的が
 システム上でも追跡できるか

・委託先(CRMベンダー)との契約に
 個人情報の取り扱いに関する条項が
 含まれているか

・データの保管期間・削除ルールが
 運用できるか(不要になった個人データの削除)

EMOROCO CRM Liteでは、不要になった顧客データの削除機能(個別削除・一括削除)も標準で提供しています。


中小企業の現実的な対応ステップ

大企業のような専任の情報セキュリティ部門がない中小企業でも、以下のステップで個人情報保護法・社内規程への対応を進められます。

STEP 1:セキュリティロールの設計(導入時)
 誰が・どのデータにアクセスできるかを最初に決める

STEP 2:利用目的の明文化(導入時)
 「このCRMで顧客データを何のために使うか」を
 社内文書として残す

STEP 3:監査ログの定期確認(運用開始後)
 月次で操作履歴を確認する習慣を作る

STEP 4:退職者・異動者のアクセス権限見直し(運用)
 退職・異動が発生したタイミングで
 即座にアクセス権限を更新する運用を徹底する

STEP 5:データ削除ルールの運用(継続)
 不要になった顧客データを定期的に削除する
 ルールを決めておく

まとめ——「使いやすさ」と「法令対応」は両立できる

CRM導入の検討で「使いやすさ」と「セキュリティ・法令対応」が対立する課題として扱われることがあります。
しかし、セキュリティロール・監査ログ・セルフホスト対応・データ削除機能を標準で備えたCRMであれば、この2つは両立できます。

顧客との関係を深めるためにCRMを使うことと、その顧客データを適切に守ることは、CRM4.0が前提とする一体の責任です。

導入を検討する際は、まず自社のセキュリティ要件(個人情報保護法・ISMS・Pマーク等)を整理し、その要件に対してEMOROCO CRM Liteのどの機能が対応するかを確認してください。

EMOROCO CRM Liteの30日間無料トライアルはこちら
セキュリティ・法令対応に関するご相談はお問い合わせください。
デジタル化・AI導入補助金2026 対応ツール番号:DL07-0022934
製品情報:https://www.emoroco.com/


関連記事

この記事を書いた人
松原 晋啓

アーカス・ジャパン代表取締役/CRMコンサルタント
詳細プロフィールはこちら
アクセンチュア等でSE、アーキテクト、コンサルタント、インフラジスティックスでエバンジェリスト(Microsoft MVP for Dynamics CRM(現 Microsoft MVP for Business Solutions))、マイクロソフトでソリューションスペシャリスト(Dynamics CRM製品担当)を経て、現在はCRMを専門に扱うサービスチームを率いて大小様々の企業のCRM導入や事業立上げを支援、その傍らでCRMエバンジェリストとしてイベントや記事寄稿を通じて"真の"CRMの理念の普及に努めている。
アクセンチュアでCRMを学び、マイクロソフトでCRM2.0(プラットフォーム型CRM)を提唱して世界的に広めてWWで表彰を受けたCRMの正統後継者にして現役最長のCRM専門家(CRM診断士/CRMドクター)
その後もCRM3.0(パーソナライズドCRM)、CRM4.0(クリエイティブCRM)を提唱するCRMの第一人者としてインタビューを受けたり、The Wall Street Journal、Newsweek、TIME、WORLDCOM、毎日新聞(週刊エコノミスト)、文化放送等、国内外で多くの賞を受賞し、「経済界」にて4年連続で関西財界を代表する企業として選出されている。
著書:バーサタイリスト - 35歳までに「1万人に1人」の実力者になる方法

インタビュー記事
取材や講演等の依頼は下記問合せよりご連絡ください。
TEL 06-6195-7501
フォームでのお問い合わせ

同じカテゴリの記事