SFA(営業支援システム)のセキュリティ対策で確認すべきポイント
SFA(営業支援システム)でセキュリティ対策が重要な理由
SFA(営業支援システム)では、顧客情報や商談情報など営業活動の中核となるデータを複数の利用者が扱うため、情報漏えいや不正アクセスを防ぐセキュリティ対策が重要です。
SFAには、見込み顧客、取引先、担当者、商談履歴、営業活動履歴、売上見込みなど、社外に漏れると営業機会や取引関係に影響する情報が集約されます。営業担当者が外出先やリモート環境から利用するケースも多いため、社内ネットワーク内だけで使うシステムよりも、不正ログインや端末紛失、退職者アカウントの放置といったリスクを想定する必要があります。
また、SFAは営業部門だけでなく、営業マネージャー、営業企画、経営層など複数の立場で利用されます。誰がどの顧客情報や商談情報にアクセスできるかを適切に管理できなければ、不要な閲覧や誤操作につながる可能性があります。
SFAを選ぶ際は、機能や料金だけでなく、自社の営業データを安全に扱えるか、社外利用時にも適切に認証できるか、障害時に営業活動への影響を抑えられるかを確認することが大切です。
SFA(営業支援システム)のセキュリティ項目は、認証・第三者評価、データ保護、アクセス制御・ログイン管理、障害対策に分けて見ると整理しやすくなります。まずは、どの分類が自社の営業活動や情報管理上のリスクに関係するかを把握すると、候補ごとの差を比較しやすくなります。
分類 | 主な項目 | 確認できること |
|---|
認証・第三者評価 | ISMS、Pマーク、TRUSTe、ISO/IEC 27017 | 情報管理体制、個人情報保護、プライバシー保護、クラウドサービスのセキュリティ管理体制などを第三者基準で確認できるか |
データ保護 | 通信の暗号化 | SFAにアクセスする際の通信内容を保護する仕組みがあるか |
アクセス制御・ログイン管理 | IP制限、二要素認証・二段階認証、シングルサインオン | 利用者や接続元を制御し、不正ログインを防ぐ仕組みを備えているか |
障害対策 | 冗長化 | システム障害時にも営業活動への影響を抑える構成があるか |
対応有無は、サービスを絞り込む際の入口として有効です。ただし、同じ項目でも適用範囲、利用できるプラン、設定単位、オプション費用はサービスごとに異なる場合があるため、候補ごとの条件を確認する必要があります。
認証・第三者評価では、サービ�ス提供会社の情報管理体制や個人情報保護への取り組みを確認できます。SFAでは顧客情報や商談情報を扱うため、社内の情報セキュリティ基準に合うかを判断する材料になります。
ISMSは、情報セキュリティ管理体制に関する認証です。営業データを扱うサービスとして、情報管理の仕組みが整備されているかを確認する際に役立ちます。
Pマークは、個人情報保護の体制に関する認証です。SFAで担当者名、連絡先、商談履歴など個人に関わる情報を管理する場合の確認対象になります。
TRUSTeは、プライバシー保護に関する第三者評価のひとつです。顧客情報の取り扱い方針やプライバシー管理の姿勢を確認する材料になります。
ISO/IEC 27017(クラウドサービスセキュリティ)
ISO/IEC 27017は、クラウドサービスの情報セキュリティ管理に関する規格です。クラウド型SFAを利用する場合、クラウド環境でのセキュリティ管理体制を確認する観点として有効です。
データ保護では、SFAに保存・送受信される営業情報を安全に扱えるかを見ます。特に社外からアクセスする運用では、通信経路での情報保護を確認しておく必要があります。
通信の暗号化は、利用者の端末とサービス間で送受信される情報を保護する仕組みです。顧客情報や商談情報を社外から確認する場合、不正な盗聴や改ざんのリスクを抑えるために重要です。
アクセス制御・ログイン管理では、SFAにアクセスできる利用者や接��続環境を適切に制御できるかを見ます。営業担当者、管理者、経営層など利用者ごとに扱う情報が異なるため、自社の権限設計に合うかを見極める必要があります。
IP制限は、特定のネットワークからのアクセスだけを許可する仕組みです。社内拠点やVPN経由に利用を限定したい場合、不正アクセスのリスクを抑える手段になります。
二要素認証・二段階認証は、IDとパスワードに加えて別の確認手段を求める認証方式です。外出先やリモート環境からSFAを利用する場合、アカウントの不正利用を防ぐうえで重視したい項目です。
シングルサインオンは、社内で利用する複数システムの認証を一元化する仕組みです。営業部門で複数の業務システムを利用している場合、SFAを含むアカウント管理や退職者対応を一元化できるかを確認する判断材料になります。
障害対策では、システム停止が営業活動に与える影響をどこまで抑えられるかを確認します。SFAを日々の案件管理や活動記録に使う場合、利用できない時間が長引くと営業現場の業務に支障が出る可能性があります。
冗長化は、サーバーやシステム構成を複数用意し、障害時にもサービスを継続しやすくする仕組みです。営業活動の停止リスクを抑えたい場合に確認したい項目です。
SFA(営業支援システム)のセキュリティ要件は、自社の営業データの重要度、利用者の範囲、社外アクセスの有無、社内のセキュリティ基準に合わせて整理することが大切です。
たとえば、外出先から営業担当者が頻繁に利用する企業では、二要素認証・二段階認証やIP制限を優先して確認する必要があります。一方で、顧客情報や商談履歴を全社的に共有する場合は、認証・第三者評価や通信の暗号化など、データ保護に関わる項目も重視したいところです。
自社の状況や利用シーン | 確認すべき観点 | 優先して見たい項目 |
|---|
営業担当者が外出先やリモート環境から利用する | 社外アクセス時の不正ログインを防げるか | 二要素認証・二段階認証、IP制限 |
顧客情報や商談履歴を多く登録する | 個人情報や営業情報を適切に保護できるか | Pマーク、ISMS、通信の暗号化 |
複数部門や管理職がSFAを利用する | 利用者ごとに安全なログイン管理ができるか | シングルサインオン、二要素認証・二段階認証 |
クラウド型SFAを全社で利用する | クラウドサービスとしての管理体制を確認できるか | ISO/IEC 27017、ISMS |
営業活動の停止を避けたい | 障害時の業務影響を抑えられるか | 冗長化 |
社内のセキュリティ審査を通す必要がある | 第三者認証や管理体制を説明できるか | ISMS、Pマーク、ISO/IEC 27017 |
SFA(営業支援システム)では、顧客情報や商談履歴を安全に扱えることに加え、営業担当者、管理者、経営層など利用者ごとに適切な制御をかけられるかが重要です。認証・アクセス制御・データ保護・障害対策の対応範囲はサービスやプランによって異なるため、自社の業務で誰が、どの営業情報に、どの環境からアクセスするのかを整理したうえで、必要な条件を満たせる候補を比較しましょう。
