CRMの導入や乗り換えを検討する際、機能や価格と同じくらい重要になるのが「セキュリティ」です。顧客情報や商談履歴、売上データといった機密性の高い情報を扱う以上、万が一の情報漏えいや不正アクセスは、企業の信用や事業継続に大きな影響を与えかねません。特にクラウド型CRMを選定する場合、「本当に安全なのか」「自社のセキュリティ基準を満たせるのか」といった不安を抱く担当者も多いのではないでしょうか。
Zohoは、単なる業務効率化ツールではなく、企業データを安全に管理するためのセキュリティ設計が徹底されたプラットフォームです。ロールベースアクセス制御(RBAC)による権限管理、フィールドレベルでの暗号化、二段階認証やIP制限といった不正アクセス対策に加え、GDPRやISMSなど国際的な基準への準拠にも対応しています。中小企業から大企業まで、安心して利用できる体制が整えられています。
本記事では、「Zoho セキュリティ」をテーマに、Zohoが備える具体的なセキュリティ機能、管理者が押さえるべき設定ポイント、運用時の注意点までを体系的に解説します。CRM移行や新規導入を検討している方が、判断材料として活用できるよう、実務視点で整理しました。
なお、Zohoの機能全体や料金プランについては、別記事でも詳しく解説していますので、あわせてご確認ください。
Zohoのセキュリティ機能6選
早速ですが、Zohoのセキュリティ機能を6つ見ていきましょう。
Zohoは単に「安全対策を実施している」とうたうだけでなく、実務レベルで管理・運用しやすい設計になっている点が特徴です。
・ユーザー権限を細かくコントロールできる
・二要素認証(2FA)でログインを強化できる
・データを通信も保存も暗号化できる
・操作履歴を自動で残せる
・GDPRやISMSまで幅広く対応できる
・アプリケーション自体を堅牢に保てる
それぞれの機能について詳しく解説します。
ユーザー権限を細かくコントロールできる
ユーザーごとにアクセス範囲を制御できる点は、Zohoの大きな強みです。Zohoは役割ベースのアクセス制御(RBAC)に対応しており、管理者はレコード単位やフィールド単位で権限を細かく設定できます。
例えば、営業担当には閲覧のみを許可し、マネージャーには編集や削除まで許可する、といった柔軟な設定が可能です。さらに、部署や役職ごとにロールを分けることで、組織構造に沿った権限管理を実現できます。
加えて、IPアドレス制限やログイン可能時間の指定も可能です。これにより、社外からの不正アクセスや、業務時間外のログインリスクを抑制できます。設定は管理画面から直感的に操作できるため、専門的なセキュリティ知識がなくても安全な運用体制を構築できます。
二要素認証(2FA)でログインを強化できる
不正ログイン対策として欠かせないのが二要素認証(2FA)です。Zohoでは、ID・パスワードに加えて、認証アプリやSMSコードによる追加認証を設定できます。
特に、経理担当や管理者など機密情報にアクセスするユーザーのみに2FAを必須化する、といった柔軟なポリシー設定が可能です。全社員に一律で強制するのではなく、リスクレベルに応じて段階的に導入できるため、利便性を損なわずにセキュリティ強度を高められます。
多くのCRMでは追加費用となる場合がある2FA機能を、Zohoは標準機能として利用できる点も大きなメリットです。コストを抑えながら強固な認証基盤を構築できます。
データを通信も保存も暗号化できる
Zohoは、保存データと通信データの両方を強力な暗号化技術で保護しています。通信時にはSSL/TLSによる暗号化を行い、保存データはAES-256方式で保護されています。
万一、第三者による不正アクセスが発生した場合でも、暗号化によって情報の解読リスクを大幅に低減できます。特に個人情報や売上データなど、機密性の高い情報を扱う企業にとって重要な仕組みです。
さらに「フィールド暗号化」機能を利用すれば、カード番号や住所など特定の項目だけを個別に暗号化できます。これにより、業務上必要な情報は閲覧可能にしつつ、特定データのみ厳重に保護する、といった柔軟な対応が可能です。
暗号化処理はシステム側で自動的に行われるため、利用者が特別な操作をする必要はありません。
操作履歴を自動で残せる
Zohoでは、ユーザーの操作履歴を自動でログとして記録できます。レコードの追加、更新、削除といったアクションがすべて履歴に残り、管理画面から確認やCSV出力が可能です。
「誰が、いつ、どのデータを変更したのか」を明確に追跡できるため、誤操作の原因特定や内部不正の抑止に役立ちます。監査対応やコンプライアンス強化にも有効で、透明性の高い業務体制を構築できます。
さらに、ログを定期的にチェックすることで、不審な挙動や異常な操作を早期に発見できるため、インシデントの未然防止にもつながります。
GDPRやISMSまで幅広く対応できる
Zohoは国際的なセキュリティ規格や法令に幅広く対応しています。具体的には、GDPR(EU一般データ保護規則)、ISO27001、SOC2、ISO27018などに準拠しています。
これにより、国内外の顧客と取引を行う企業でも、コンプライアンス面での不安を軽減できます。特に海外展開を視野に入れている企業にとっては、国際規格への準拠は重要な選定基準となるでしょう。
複数の認証・規格に対応している点は、Zohoがセキュリティを経営レベルで重視している証ともいえます。企業のリスクマネジメント体制を支える基盤として活用できます。
アプリケーション自体を堅牢に保てる
Zohoは、アプリケーションレベルでの脆弱性対策も徹底しています。フォーム入力などは国際基準である「OWASP Top 10」に基づいて検証され、SQLインジェクションやクロスサイトスクリプティングといった代表的な攻撃手法への対策が講じられています。
さらに、外部専門機関によるペネトレーションテストを毎年実施しており、その取り組み内容はセキュリティホワイトペーパーとして公開されています。第三者評価を取り入れることで透明性を確保し、企業としての説明責任にも対応しやすい体制を整えています。
このような継続的な改善サイクルにより、新たな脅威や攻撃手法にも柔軟に対応できる体制が築かれています。単発の対策ではなく、長期的に安全性を維持する仕組みが整っている点が、Zohoの大きな強みです。
CRMにおけるセキュリティ対策とは?
CRMには、顧客の個人情報や商談データ、契約情報など、企業活動の中核を担う機密情報が集約されます。これらの情報を適切に保護することは、顧客からの信頼を維持するためだけでなく、事業の継続性を確保するうえでも不可欠です。
特に保護すべき情報としては、顧客の氏名・メールアドレス・電話番号といった個人情報が挙げられます。さらに、商談履歴や見積書、請求書などの売上データ、社内コメントや添付ファイルに含まれる契約書類や知的財産情報も重要です。こうしたデータは企業の競争力そのものであり、漏えいや改ざんが発生すれば重大な損害につながります。
そのため、CRMにおけるセキュリティ対策とは単なる「不正アクセス防止」にとどまりません。アクセス制御、認証強化、暗号化、ログ管理、バックアップ、コンプライアンス対応までを含めた包括的な設計が求められます。十分な対策が講じられていなければ、CRMは業務効率化ツールではなく、むしろリスクを拡大させる存在になりかねません。
セキュリティリスクの代表例
CRMに潜む代表的なリスクのひとつが、不正ログインやなりすましによる情報漏えいです。パスワード管理が甘い、二要素認証を導入していないといった状態では、外部からの侵入を許す可能性が高まります。個人情報が流出すれば、企業は法的責任や社会的信用の低下に直面します。
内部要因によるリスクも見逃せません。担当者の誤操作によるデータ削除や上書きは、商談機会の損失や顧客対応の遅延を引き起こします。また、退職者のアカウントを適切に無効化していない場合、内部からの不正利用につながる恐れもあります。
さらに、API連携の設定不備や外部サービスとの接続ミスが原因で、意図しないデータ公開が発生するケースもあります。マルウェア感染やフィッシング攻撃によって認証情報が奪われれば、データ改ざんやサービス停止といった深刻な被害に発展する可能性も否定できません。実際の運用では、これら複数のリスクが同時に発生することもあるため、単一の対策だけでは不十分です。
セキュリティ対策不足が招く深刻なリスク
セキュリティ対策が不十分な状態でCRMを運用すると、被害は一時的なトラブルにとどまりません。情報漏えいが発生すれば、顧客からの信頼を失い、契約解除や取引停止に発展する可能性があります。さらに、GDPRや個人情報保護法などの法令違反に該当すれば、制裁金や行政指導を受けるリスクもあります。
実際に、Salesforceでは大規模障害が発生した事例があります。2023年9月には内部の権限設定ミスが原因でユーザーがログインできない状況となり、復旧までに約4.5時間を要しました。この間、多くの企業で商談の進行や顧客対応が滞り、営業活動に直接的な影響が生じました。
このような事例が示す通り、CRMの停止や不具合は、単なるシステム障害ではなく「売上機会の損失」そのものに直結します。だからこそ、日常的なセキュリティ対策の実施と、権限設計やバックアップを含めた運用体制の整備が不可欠です。
CRMを安全に活用するためには、導入時の機能比較だけでなく、「どのようなセキュリティ設計で、どこまで自社でコントロールできるのか」という視点で検討することが重要です。
Zohoと他社のCRMのセキュリティ機能は何が違う?
CRM市場には、SalesforceやHubSpotをはじめ、多くの製品が存在します。それぞれ高度なセキュリティ対策を打ち出していますが、実際の運用フェーズで比較すると「どこまでが標準機能か」「設定のしやすさはどうか」といった点に違いが見えてきます。
多くのCRMでは、二要素認証や詳細な権限管理、監査ログ機能などが上位プラン限定、あるいは追加オプション扱いになるケースも少なくありません。高度なセキュリティを実現できる一方で、コストや設定難易度が導入のハードルになることがあります。
一方でZohoは、セキュリティ機能を標準装備しながら、比較的低コストで利用開始できる点が大きな特徴です。ここでは、他社と比較したときに注目すべき3つの違いを整理します。
設定を直感的に扱える
高機能なCRMの中には、細かな権限設計が可能である反面、設定画面が複雑で専門知識を前提としているものもあります。その場合、セキュリティを強化しようとするほど管理負担が増え、外部コンサルタントや追加サポート費用が必要になるケースもあります。
Zohoは、管理画面が分かりやすく設計されており、ロールベースのアクセス制御やフィールド単位の権限設定を標準機能として提供しています。直感的なUIで操作できるため、システム管理者だけでなく、現場の責任者レベルでも設定内容を把握しやすい構造です。
その結果、導入直後から安全な運用を始めやすく、設定ミスによるリスクも抑えられます。高度な機能を「使いこなせる設計」にしている点は、実務レベルでの大きな差といえるでしょう。
国際規格への対応範囲が広い
多くのCRMはGDPRやSOC2など、主要な国際基準に準拠しています。これらはグローバル展開を行う企業にとって重要な要素です。
Zohoは、これらの基準に加えてISO27001、SOC2、さらにクラウドサービスにおける個人情報保護規格であるISO27018にも対応しています。複数の国際規格をカバーしていることで、国内外の顧客との取引においても説明責任を果たしやすくなります。
国際認証の網羅性が高いということは、単なるマーケティング上のアピールではなく、第三者評価を受けたセキュリティ体制を持っていることの証明でもあります。リスクマネジメントやコンプライアンス対応を重視する企業にとっては、重要な比較ポイントです。
標準機能でできることが多い
CRMによっては、監査ログの保存、IPアドレス制限、二要素認証などが上位プラン限定、あるいは追加料金となる場合があります。その結果、「本来必要なセキュリティ機能を揃えると想定以上にコストがかかる」というケースも見られます。
Zohoでは、監査ログ、IP制限、ロール管理、二要素認証などの主要機能が標準機能として利用可能です。特にProfessionalプラン以上では、追加費用をかけずに実用的なセキュリティ対策を整えられます。
この違いは、短期的な費用だけでなく、中長期的な投資対効果にも影響します。追加コストを気にせずに必要な機能を活用できることは、継続的なセキュリティ強化と運用安定性につながります。
Zohoのセキュリティ運用で押さえるべき注意点
Zoho CRMは標準で強力なセキュリティ機能を備えていますが、機能を導入するだけでは十分とはいえません。実際のリスクは「設定漏れ」や「運用の形骸化」から生じるケースが多く、日々の管理体制こそが安全性を左右します。
安心して活用するためには、日常運用で意識すべきポイントを押さえることが重要です。特に重要なのは、権限管理の見直し、社員教育の徹底、そして外部連携の統制という3つの観点です。
権限設定は定期的に見直す
セキュリティ運用では、初期設定よりも「定期的な見直し」が重要です。組織は常に変化しており、異動や昇進、業務範囲の拡大などにより、適切な権限も変わります。現役ユーザーには役職や業務内容に応じた最小限の権限を付与し、不要なアクセスを許さない状態を維持することが基本です。
退職者のアカウントが放置されていると、不正利用や情報漏えいの温床になります。退職・休職・外部委託終了のタイミングで、速やかにアカウントを停止するフローを明確化しておきましょう。
さらに、ユーザーグループごとにパスワード強度、多要素認証、IP制限などのポリシーを分けることで、機密性の高い部署をより厳格に保護できます。四半期ごとのアカウント棚卸しや監査チェックをルール化しておくと、ヒューマンエラーの抑止にもつながります。
社員教育を徹底する
どれだけ高度なシステムを導入しても、最終的なリスク要因は「人」です。フィッシングメールへの対応ミスやパスワードの使い回しなど、人的ミスが原因となる事故は少なくありません。
強固なパスワードポリシーの徹底、二要素認証の義務化、怪しいリンクを開かないといった基本行動を、定期的な研修で繰り返し周知することが重要です。単発の研修で終わらせず、年次や半期ごとにアップデートされた事例を共有すると、実践的な対応力が高まります。
社員一人ひとりが「自分がセキュリティの担い手である」という意識を持つことで、組織全体の防御力は大きく向上します。技術的対策と人的対策を両輪で進めることが、安全なCRM運用の前提です。
連携アプリは承認フローを設ける
Zohoは外部サービスとのAPI連携が豊富で、業務効率を大きく高められます。しかし、利便性の裏には常にリスクが存在します。外部アプリが不適切なアクセス権を持っていれば、情報漏えいにつながる可能性も否定できません。
APIキーは定期的にローテーションし、不要になった連携は速やかに削除する体制を整えましょう。マーケットプレイス経由で導入するアプリについては、必ずシステム管理者がレビューし、承認フローを経てから利用を開始することが重要です。
外部サービスとの連携に利用する認証情報も、安全な場所に保管し、アクセス可能な担当者を限定します。こうした統制ルールを明文化しておくことで、利便性と安全性を両立できます。
セキュリティ対策が充実したZohoで安全かつ効率的な顧客管理を始めよう
Zoho CRMは、強固なセキュリティ機能と直感的な操作性、そして国際規格に裏付けられた信頼性を兼ね備えたCRMプラットフォームです。二要素認証や通信・保存データの暗号化、監査ログ機能といった重要なセキュリティ対策を標準で利用できるため、追加費用を抑えながら安全な運用を実現できます。
さらに、外部専門機関による監査や継続的な脆弱性検証を通じて、常に最新の脅威に対応できる体制を整えています。単なる「機能の多さ」ではなく、防御力・操作性・信頼性のバランスが取れている点が大きな強みです。
顧客情報を守ることは、企業の信頼を守ることに直結します。同時に、現場が使いにくいツールでは業務効率が下がってしまいます。Zohoはその両立を前提に設計されているため、安全性と生産性を同時に高めたい企業にとって有力な選択肢といえるでしょう。
他社製品と比較しながら検討することで、自社に最適な営業管理環境がより明確になります。導入を検討される際は、複数のCRMツールを比較した資料もあわせて活用し、自社の運用体制やリスク管理方針に合った選択を行いましょう。
Zohoのセキュリティに関するよくある質問
Q:Zohoは情報セキュリティ基準を厳守していますか。
はい。Zohoは、ISO標準に基づく情報セキュリティ管理システム(ISMS)を導入し、国際的な基準を満たしています。
具体的には、ISO 27001(情報セキュリティ)、ISO 27017(クラウドサービス向け管理策)、ISO 27018(クラウド上の個人情報保護)の認証を取得しています。これにより、第三者機関による審査を通じて、適切なセキュリティ管理体制が構築・運用されていることが証明されています。
クラウド環境で顧客データを扱う企業にとって、安心して利用できる体制が整っているといえるでしょう。
Q:データはどこに保管されていますか?アカウント作成時にデータ保存先を選べますか?
Zohoでは、アカウント登録時に選択した「国」に基づいて、データセンター(DC)が自動的に割り当てられます。登録フォームの国選択欄の下に、保存先となるデータセンターが表示されます。
また、ログイン後はブラウザーのURLからもデータの保管先を確認できます。URLのドメインによって、どのリージョンのデータセンターに保存されているかが分かります。
・「.zoho.com」の場合:アメリカ(US)のデータセンター
・「.zoho.eu」の場合:EU(ヨーロッパ)のデータセンター
・「.zoho.in」の場合:インド(IN)のデータセンター
・「.zoho.com.au」の場合:オーストラリア(AU)のデータセンター
・「*.zoho.jp」の場合:日本(JP)のデータセンター
このように、登録時の国選択に応じてデータ保存先が決まり、利用中もURLから簡単に確認できる仕組みになっています。
Q:Zohoの従業員は、私たちのデータにアクセスできますか?どの範囲までアクセス権がありますか?
Zohoでは、原則として顧客データへのアクセスは厳しく制限されています。通常の運用において、従業員が自由に顧客データへアクセスできる仕組みにはなっていません。
ただし、トラブルシューティングや重大な障害対応などの非常時に限り、サーバーへアクセスできる従業員が存在します。その場合でも、アクセス権を持つのはごく限られた担当者のみです。
さらに、以下のような統制が実施されています。
・アクセスは業務上必要な範囲に限定
・アクセス履歴は厳格にモニタリングおよび記録
・不正利用や情報漏えいを防ぐための内部統制を実施
このように、万が一アクセスが必要となる場合でも、データ暴露リスクを最小限に抑える体制が整えられています。
Q:Zohoクラウド商品に保管されているデータは暗号化されていますか?
はい。Zohoのクラウドサービスでは、データの転送時・保存時の両方で暗号化が実施されています。
保存中のデータは、業界標準であるAES-256方式を用いて暗号化されています。これにより、万が一物理的な侵害や不正アクセスが発生した場合でも、データの内容を解読されるリスクを大幅に低減できます。
また、公開ネットワークを介して送信されるデータは、TLS 1.2 / 1.3に加え、Perfect Forward Secrecy(PFS)を採用して暗号化されています。これにより、通信途中での盗聴や改ざん、不正な開示を防止しています。
このように、Zohoでは「保存データ」と「通信データ」の両面から暗号化対策を講じ、クラウド環境における情報保護を強化しています。
Q:暗号化鍵はどのように管理されていますか?顧客自身で鍵をアップロードできますか?
Zohoでは、暗号化鍵の管理に社内のキー管理サービス(KMS)を使用しています。
鍵は同社が所有・維持し、厳格な管理体制のもとで保護されています。
鍵へのアクセスは制限されており、運用上の統制と監視を通じて不正利用や漏えいのリスクを最小限に抑えています。
なお、顧客が独自の暗号化鍵をアップロードする機能(BYOK:Bring Your Own Key)には現在対応していません。
暗号化および鍵管理はZoho側で一元的に実施される仕組みとなっています。
Q:Zohoクラウドサービスのパスワードはどのように保管されていますか?
Zohoでは、ユーザーがサービスにログインする際に使用するパスワードを不可逆的な暗号化方式(ハッシュ化)で保管しています。
具体的には、per-user-salt(ユーザーごとに異なるソルト)を付与したうえで、bcryptハッシュアルゴリズムを用いて保存しています。
この方式により、仮にサインイン用データベースが外部に流出した場合でも、パスワードを元の文字列へ復元(リバースエンジニアリング)することは極めて困難です。
bcryptは計算コストを高められる設計となっているため、総当たり攻撃(ブルートフォース攻撃)に対しても高い耐性を持ち、パスワード情報の安全性を強固に保っています。
Q:Zohoクラウドサービスでは、データの分割(テナント分離)はどのように実施されていますか?
Zohoのクラウドサービスでは、各顧客に対して独立したクラウドスペース(テナント環境)を提供し、論理的にデータを分離しています。
複数の顧客データが同一のインフラ上に存在する場合でも、アプリケーションレイヤーおよびデータ管理フレームワークにより、顧客ごとのデータは厳密に区分されています。そのため、ある顧客のサービスデータが他の顧客からアクセス可能になることはありません。
この論理的分離(Logical Isolation)により、マルチテナント型クラウド環境でありながら、各顧客のデータは独立性と機密性を保った状態で管理されています。
Q:Zohoは、どのようにしてDDoS攻撃から保護していますか?
Zohoでは、分散型サービス拒否(DDoS)攻撃によるサービス停止を防ぐため、実績のある複数のDDoS対策プロバイダーの技術を活用しています。
トラフィックを常時監視し、不審な大量アクセスや異常な通信を検知した場合には、自動的にフィルタリングやトラフィック分散を実施します。これにより、悪意のある通信のみを遮断し、正規ユーザーへのサービス提供を継続できる体制を整えています。
外部の信頼性の高いセキュリティ基盤と組み合わせることで、サーバーへの過負荷や中断リスクを最小限に抑え、安定したクラウドサービス運用を実現しています。
Q:Zohoは、侵入テストとコードのスキャンを実施していますか?
Zohoでは、セキュリティ強化の一環として侵入テスト(ペネトレーションテスト)を自動および手動の両方で定期的に実施しています。
具体的には、認定された第三者機関によるスキャンツールに加え、社内で開発したコードスキャンツールも活用し、アプリケーションやインフラの脆弱性を継続的にチェックしています。
外部視点と内部視点の両面から検証を行うことで、新たな脅威や潜在的なリスクを早期に発見し、迅速な改善につなげる体制を整えています。
Q:貴社の商品の脆弱性を発見しました。どのように報告したらよいですか?
Zohoの製品に脆弱性を発見された場合は、迅速な修正対応のため、速やかに公式窓口へご連絡ください。
Zohoでは「責任ある情報開示ポリシー」を採用しており、セキュリティ研究者や利用者からの報告を正式に受け付けています。また、一定の条件を満たす報告に対して報奨金を支払うバグ報奨金プログラム(Bug Bounty Program)も実施しています。
詳細な報告方法や対象範囲については、公式バグバウンティページをご確認ください。
Q:Zohoには、インシデント対応プログラムがありますか?
はい、Zohoには専任のインシデント対応チームが設置されており、インシデントの検出・評価・フォレンジック調査・封じ込め(コンテインメント)・復旧(リカバリー)までを一貫して実施する体制が整えられています。
データ侵害に発展する可能性がある場合の対応方針は、Zohoの立場(データ管理者/データ処理者)によって異なります。
- Zohoがデータ管理者である場合
インシデントがデータ侵害につながると判断された場合、侵害を認識してから72時間以内に、影響を受ける顧客へ通知します。 - Zohoがデータ処理者である場合
インシデントがデータ侵害につながる場合、不当な遅延なく該当する各データ管理者へ通知します。
通知方法についても明確に定められています。
全体的なインシデントの場合は、公式ブログ・フォーラム・ソーシャルメディアを通じて公表されます。特定の個人ユーザーまたは組織に影響が及ぶ場合は、登録された主要メールアドレス宛に個別通知が行われます。
さらに、顧客からのリクエストに応じて、5~7営業日以内に詳細なレポートが提供されます。
このように、Zohoはインシデント発生時の対応体制と通知プロセスを明確に定義し、透明性を確保しています。
Q:セキュリティインシデントの間、Zohoはどのような責任を負っていますか?
はい。Zohoは、セキュリティインシデントが発生した場合、影響を受ける顧客に対して速やかに状況を通知し、顧客が取るべき適切な対応措置についても案内します。
あわせて、Zoho側ではインシデントに対する是正措置を実施し、事象の追跡・管理を行いながら、完全に収束するまで対応を継続します。
必要に応じて、該当インシデントに関する証跡や関連エビデンスを顧客へ提供します。また、顧客からの要請があった場合には、インシデントの根本原因解析(RCA:Root Cause Analysis)も提供されます。
このように、Zohoは単に通知を行うだけでなく、是正対応・証跡提供・原因分析までを含めた包括的な責任を担う体制を整えています。
Q:ZohoはPCI DSSを遵守していますか?
はい。Zohoの一部サービスは、クレジットカード情報を取り扱う基準であるPCI DSS(Payment Card Industry Data Security Standard)に準拠しています。
具体的には、Zoho Finance Plusに含まれる以下の製品がPCI DSS準拠の対象です。
- Zoho Books
- Zoho Invoice
- Zoho Inventory
- Zoho Subscriptions
- Zoho Expense
- Zoho Checkout
- Zoho Commerce
また、顧客がZohoのサブスクリプションを購入する際に利用するPaymentsサービスもPCI DSSに準拠しています。
なお、これら以外のZohoサービスについては、顧客のクレジットカード情報を送信・保存することはありません。そのため、カード情報を直接扱わないサービスでは、PCI DSSの適用対象外となります。
Q:Zohoの顧客として、自分のデータを保護するために追加できるセキュリティオプションは何ですか?
Zohoでは、標準のセキュリティ対策に加えて、顧客側で設定・強化できるオプションも複数用意されています。主な機能は以下の通りです。
多要素認証(MFA)
ログイン時にパスワードに加えて認証アプリやSMSコードなどを要求することで、不正ログインのリスクを大幅に低減できます。
設定可能なパスワードポリシー
パスワードの最小文字数、複雑性、有効期限などを管理者が定義できます。強力なパスワード運用を組織全体で徹底できます。
IPアドレス制限
特定のIPアドレスからのみアクセスを許可する設定が可能です。社内ネットワークやVPN経由のみログインを許可することで、外部からの不正アクセスを防止できます。
役割ベースのアクセス管理(RBAC)
ユーザーの役職や業務内容に応じて、閲覧・編集・削除などの権限を細かく制御できます。不要なデータアクセスを防ぐことで内部リスクも抑えられます。
カスタム項目の暗号化
特定のフィールド(例:個人情報や機密データ)を個別に暗号化できます。重要情報をピンポイントで保護することが可能です。
監査ログ(入出力・操作監査)
ユーザーの操作履歴を記録し、「誰が・いつ・何をしたか」を追跡できます。内部統制やコンプライアンス対応にも有効です。
これらの機能を適切に組み合わせることで、システム面と運用面の両方からセキュリティを強化できます。
Q:顧客がZohoのサービスを中止した場合、どれくらいデータは保持されますか?
Zohoでは、ユーザーがサービスを利用している期間中は、アカウント内のデータが保持されます。
ユーザーアカウントを正式に終了した場合、データは6か月ごとに実施される次回のクリーンアップ処理のタイミングで、アクティブなデータベースから削除されます。
その後、アクティブデータベースから削除されたデータは、さらに3か月後にバックアップからも削除されます。
つまり、アカウント終了後すぐに完全削除されるわけではなく、
- 定期クリーンアップでアクティブDBから削除
- その後約3か月でバックアップからも削除
という段階的な削除プロセスが取られています。
Q:Zohoの事業継続性および障害復旧プラン(BCP/DR)はどのような内容ですか?
Zohoでは、サポート体制やインフラ管理を含む主要オペレーションに対して、明確な事業継続計画(BCP)を策定しています。
インフラ面では冗長構成を採用しており、プライマリデータセンター(DC)のデータをセカンダリDCへ常時複製しています。万が一プライマリDCに障害や不具合が発生した場合でも、セカンダリDCが速やかに役割を引き継ぎ、サービスを継続できる設計です。
この仕組みにより、ダウンタイム(ロスタイム)を最小限、または実質ゼロに抑えることを目指しています。
結果として、システム障害や自然災害などの予期せぬ事態が発生した場合でも、業務への影響を抑えながら安定したサービス提供を継続できる体制が整えられています。
Q:Zohoのデータバックアップポリシーとは?
Zohoでは、顧客データの安全性を確保するために、定期的かつ多層的なバックアップ体制を整えています。
具体的には、完全バックアップを週1回、増分バックアップを毎日実施しています。これにより、万が一の障害やデータ破損が発生した場合でも、直近の状態に近い形で復元が可能です。
バックアップデータは元データと同じデータセンター内に保存され、保存時には暗号化が施されます。また、バックアップの復元テストおよび検証も毎週実施しており、実際に復旧できる状態を継続的に確認しています。
バックアップデータの保持期間は3か月間です。顧客からのリクエストがあれば、この期間内であればバックアップからデータを復元し、再利用できるよう対応します。
Q:顧客データにアクセスする際に、どのような管理策を実施していますか?
Zohoでは、顧客データへのアクセスに対して厳格な管理体制を敷いています。
まず、技術的アクセス管理と社内ポリシーにより、従業員が恣意的にユーザーデータへアクセスすることを禁止しています。アクセス権は「最小権限の原則」と「役割ベースのアクセス制御(RBAC)」に基づき付与され、業務上必要な範囲に限定されています。
実稼働環境へのアクセスは、通常の業務ネットワークとは分離されたセキュリティ強化端末および専用ネットワーク経由でのみ実施されます。また、アクセス管理は中央ディレクトリで一元管理されており、以下の多層的な認証方式を組み合わせています。
・強力なパスワードポリシー
・二段階認証(2FA)
・パスフレーズで保護されたSSH鍵
これらの対策により、内部不正や情報漏えいのリスクを最小限に抑え、顧客データの安全性を確保しています。
Q:SLA可用性保証とは何ですか?
ZohoのSLA(Service Level Agreement:サービス品質保証)における可用性保証は、月間稼働率99.9%を基準としています。
これは、1か月単位で見た場合に、サービスがほぼ常時利用可能であることを意味します。万が一の障害発生時にも影響を最小限に抑えるため、Zohoでは複数レイヤーで冗長化を実装しています。
具体的には、インフラストラクチャー、ネットワーク、ISP(インターネットサービスプロバイダ)など、さまざまなレベルで冗長構成を採用しています。さらに、プライマリデータセンターのデータは常にセカンダリデータセンターへ複製されており、障害時にはセカンダリ側からサービスを継続提供できる体制を整えています。
通常時は、セカンダリデータセンターから読み込み専用(Read-Only)バージョンのZohoアプリが提供されており、緊急時の切り替えがスムーズに行える設計です。
このような多層的な冗長化とバックアップ体制により、高い可用性と事業継続性を実現しています。
Q:リスク評価プロセスとは?リスク評価を実施する頻度は?
Zohoでは、情報セキュリティに関するリスク評価ポリシーと手順を定めています。
リスク評価プロセスでは、まず潜在的なリスクを特定(認識)し、その影響度や発生可能性を分析したうえで、適切な管理策を講じてリスクを緩和します。単にリスクを洗い出すだけでなく、具体的な対策までを含めた体系的な運用を行っている点が特徴です。
評価の実施頻度については、以下のような運用がなされています。
- 環境に重大な変更が発生した場合(新機能の追加、インフラ変更など)は、その都度リスク評価を実施
- 全体的なリスクレビューは年1回実施し、評価内容をアップデート
このように、定期的なレビューと変更時の都度評価を組み合わせることで、継続的なリスク管理体制を維持しています。
Q:従業員の身元調査ポリシーとは?
Zohoでは、情報セキュリティ体制の一環として、全従業員に対して身元調査(バックグラウンドチェック)を実施しています。
調査は、信頼性の高い外部専門機関に委託し、客観的かつ公正なプロセスで行われます。主な確認項目は以下のとおりです。
- 犯罪歴の有無
- 過去の雇用歴(職歴)
- 学歴の確認
これらの調査が完了するまでは、ユーザーデータや本番環境に影響を与える可能性のある業務は担当させません。
このように、技術的なセキュリティ対策だけでなく、人的リスクに対する管理体制も整備することで、顧客データを多層的に保護する仕組みを構築しています。
Q:Zohoは、自社の基準への準拠を示すために、どのような認証を受けていますか?
Zohoは、情報セキュリティおよびプライバシー保護の取り組みを客観的に示すため、以下の国際認証を取得しています。
- ISO/IEC 27001(情報セキュリティマネジメントシステム)
- ISO/IEC 27017(クラウドサービスに関するセキュリティ管理策)
- ISO/IEC 27018(クラウドにおける個人情報保護)
さらに、セキュリティ・機密性・処理の完全性・可用性・プライバシーの観点において、SOC 2 Type IIにも準拠しています。
これらのISOおよびSOC監査は、重要かつ不可欠な管理策を対象として毎年実施されており、継続的なコンプライアンス維持と改善が行われています。
Q:法執行を目的としたデータの共有はありますか?
Zohoは顧客のプライバシー保護を最重要事項としています。
法執行機関からデータ開示の要請があった場合には、まずその要請が有効かつ拘束力のある法的手続きに基づいているかを厳格に審査します。行き過ぎた要求や不適切な要請については、異議を申し立てる姿勢を取っています。
また、法律で禁止されている場合を除き、顧客データを開示する前に当該顧客へ通知し、開示に対する法的保護を求める機会を提供します。
このように、法令遵守と顧客プライバシー保護の両立を図る運用体制を整えています。
ZOHOの導入ならArchRise
ZOHOは高いセキュリティ性能と柔軟なカスタマイズ性を備えたCRM/業務管理プラットフォームですが、最大限に活用するためには、適切な設計と初期設定が欠かせません。
ArchRiseでは、現状業務のヒアリングから要件定義、権限設計、ワークフロー構築、外部ツール連携、運用マニュアル整備まで一貫してサポートします。単なるツール導入ではなく、「自社に最適化されたZOHO環境」を構築することで、業務効率とセキュリティを両立させます。
SalesforceやHubSpotからの移行支援、既存CRMの見直しにも対応可能です。導入設計から定着化支援まで、安心してご相談ください。
まとめ
ZOHOは、RBACによる細かな権限管理、二要素認証、AES-256暗号化、監査ログ、国際規格への準拠など、エンタープライズ水準のセキュリティ機能を標準で備えています。
しかし、強固な機能があっても、適切な権限設計や社員教育、運用ルールが整っていなければ、その効果は十分に発揮されません。
導入時の設計と、継続的な運用体制の構築こそが、セキュリティと業務効率を両立させる鍵です。
ZOHOを安全かつ効果的に活用したい企業は、専門的な導入支援を受けながら、自社に最適な環境を構築していきましょう。