Contents
導入
PipedriveのISO/IEC 27001およびISO/IEC 27701に関する公式発表を踏まえ、導入・契約時に必要な実務チェックと意思決定の指針を整理します。対象は中小企業のIT/セキュリティ担当、エンタープライズの調達・法務・セキュリティ担当、SaaS導入を主導するプロジェクトマネージャーです。証明書情報は時点依存のため、導入判断前に証明書PDFのスコープ・証明書番号・発行元照合を必ず行ってください。
対象読者と想定ユースケース
このセクションでは、この記事を誰がどう使うべきかを明確にします。想定読者ごとに優先すべきチェック項目が変わるため、事前に役割を定めて読み進めてください。
対象読者
ここでは主に3つの読者層を想定しています。各担当者が優先すべき観点を後続のチェックリストで整理しています。
- 中小企業のIT/セキュリティ担当:コスト対効果と最低限のコンプライアンスを重視します。
- エンタープライズの調達/法務/セキュリティ担当:監査権、詳細な運用証跡、データロケーションを重視します。
- プロジェクトマネージャー/導入担当:トライアルでの運用検証と早期リスク洗い出しを重視します。
想定ユースケース
導入段階、調達交渉、契約更新やRFP対応など、実務で使える場面を想定します。ユースケースごとに要求資料の優先度が変わります。
- 新規導入時の安全性評価とRFP作成
- 契約更新時の証明書・報告書の再確認
- 顧客向け監査対応時の証拠提出(DPA・証明書・報告書)
- トライアルで運用要件を満たすかの実地検証
要点サマリ:実務的結論
ここでは結論を先に示し、実務での初手と優先順位を明確にします。短時間で評価できるポイントを押さえてから詳細確認に進んでください。
初動の実務ステップ(要点)
以下は導入検討時の初動手順です。早期に差し戻しなく情報取得することが目的です。
- 公式セキュリティページで最新のISO/IEC 27001/ISO/IEC 27701証明書PDFを取得する。
- 証明書の証明書番号・発行日・有効期限・スコープ(サービス/拠点/除外)を確認する。
- DPA(Data Processing Addendum)とサブプロセッサ一覧を請求する。
- SOC2 Type II等の運用報告が必要なら、NDAの提示を含めて提供可否と納期を確認する。
- 必要に応じてトライアルで実運用を検証する(RBAC、データ削除、ログ等)。
重要資料の優先度
ここでは短期的に入手すべき資料を優先度順に示します。調達用途での効率化を重視しています。
- 優先度高:証明書PDF(スコープ確認)、標準DPA、サブプロセッサ一覧
- 優先度中:SOC2 Type II(NDA下)、脆弱性管理・ペネトレーション概要
- 優先度低:完全なテクニカルドキュメントや運用ログ(必要な場合のみ要求)
ISO/IEC 27001/ISO/IEC 27701の基礎(ISMSとPIMS)
この章では、認証が何を示すかを実務観点で簡潔に解説します。評価基準を理解することで、証明書の読み方が変わります。
ISO/IEC 27001の目的と仕組み
ISO/IEC 27001は情報セキュリティマネジメントシステムの国際規格です。組織がリスクを特定・評価し、管理策を導入・運用して継続的に改善する枠組みを求めます。
- 経営責任・方針の明確化とリスクマネジメントの実行
- 管理策の選定と適用状況を示すStatement of Applicability(SoA)の整備
- 内部監査、是正処置、マネジメントレビューによるPDCAサイクルの運用
取得・維持プロセスと監査サイクル
認証取得と維持のプロセスは実務での運用継続性を確認するためのフローを含みます。サーベイランス監査や再認証の周期を把握してください。
- ギャップ分析→リスク評価→管理策導入→文書化→審査(Stage 1/Stage 2)
- 維持は年次のサーベイランス監査、3年ごとの再認証が一般的
- サーベイランス合格は運用継続の証拠だが、変更後のリスクは都度確認が必要
ISO/IEC 27701(PIMS)とは
ISO/IEC 27701はISO/IEC 27001を拡張するプライバシー情報管理システム(PIMS)の規格です。個人データの管理に関する追加要件を定めます。
- データフローの可視化、データ主体権利の対応プロセス整備
- コントローラ/プロセッサ別の管理策明記
- GDPR等の準拠作業の補助的なエビデンスとして有効だが、法的適合を自動で保証するものではない
Pipedriveの認証状況と証明書確認手順
この章では、公式発表の扱い方と証明書を実務でどう検証するかを具体的に示します。ベンダーから受け取る資料は必ずメタ情報を確認してください。
公式発表の要旨
Pipedriveは公式にISO/IEC 27001のサーベイランス監査合格とISO/IEC 27701取得を公表しています。詳細は公式ニュースページで確認できます(公式ニュースの本文とPDFを参照してください)。
https://www.pipedrive.com/en/newsroom/pipedrive-passed-iso-27001-surveillance-audit-and-received-first-ever-iso-27701-certification-reinforcing-commitment-to-privacy-and-security-management
公式発表は出発点に過ぎないため、証明書PDFのスコープ確認と認証機関への照合は必須です。
証明書の読み方・検証フロー
以下は実務での照合手順です。証明書PDFのメタ情報と認証機関の登録照合を必ず実施してください。
- 証明書PDFを入手し、次の項目を抜き出す:認証規格、証明書番号、発行日、満期日、スコープ(組織名・サービス・拠点・除外事項)、認証機関名。
- スコープ照合:自社が利用する機能やリージョンがスコープに含まれているかを確認する。除外項目がないか注意する。
- 認証機関の登録照合:証明書記載の認証機関の公開データベースで証明書番号か組織名を検索する。代表的な認定機関/検索先例:
- UKAS(イギリス): https://www.ukas.com/
- ANAB(米国): https://anab.org/
-
JAS‑ANZ(豪州/NZ): https://www.jas-anz.org/
なお、認証機関自体のサイトに証明書照合ツールがある場合が多いのでまずは認証機関名で検索してください。 -
一致しない場合の対応:認証機関サイトで見つからないときは、ベンダーに照合用URLを要求するか、認証機関の問い合わせ窓口に直接照会する。
- 追加確認:SOC2等の報告書は公開されないことが多いため、提供形式(公開/NDA下)、報告期間、要約(Executive Summary)の提供可否と納期を明記して請求する。
SOC2についてはベンダーによって提供形態が異なります。実務では「NDA締結後、7〜15営業日以内にType II報告書(PDF)を提供できるか」を合意するのが一般的です。
ISO/IEC 27001とSOC2、ISO/IEC 27701の違いと実務での使い分け
証明書・報告書ごとの強みと弱みを理解すると、調達時の要求仕様が明確になります。ここでは実務的な観点で比較します。
実務観点の比較表
以下は実務で使い分ける際の主要ポイント比較です。要件に合わせて優先度を決めてください。
| 観点 | ISO/IEC 27001 | ISO/IEC 27701 | SOC2 Type II |
|---|---|---|---|
| 対象 | マネジメントシステム(組織レベル) | プライバシー管理の拡張 | 運用コントロールの有効性(期間評価) |
| 主用途 | 国際的な信頼性・調達基準 | 個人データ保護の補助証拠 | SaaSの運用面評価・米市場向け |
| 有効性の示し方 | 継続的な運用管理(監査) | GDPR等対応の補助 | 監査期間における運用の実効性 |
| 入手性 | 証明書PDF | 証明書PDF | 公開は限定的(NDA下が多い) |
この表を基に、自社の規制要件や顧客要求を優先順位に合わせて要求資料を決めてください。
顧客視点でのメリットと認証の限界(実務的評価)
認証は評価を助けますが万能ではありません。実務での期待値を整理します。
顧客にとっての具体的メリット
認証がもたらす現実的な利点を示します。これらは導入判断の定量化に役立ちます。
- 調達審査の工数削減:標準的な証明書で一次スクリーニングが可能です。
- コンプライアンス基盤の存在証明:法令対応や監査提出物の作成が容易になります。
- 運用プロセスの整備:インシデント対応や監査ログの整備状況が期待できます。
- 顧客向け説明資料の提供:第三者認証は説明責任の一部を果たします。
認証の限界と残存リスク
認証だけで全てのリスクが解消するわけではありません。残存リスクを管理する運用が重要です。
- 評価時点のスナップショットである点:以降の変更は認証に反映されない場合があります。
- スコープ外の機能や拠点:スコープ外は保証対象外のため別途確認が必要です。
- サプライチェーンリスク:サブプロセッサの管理が不十分だとリスクが伝播します。
- 技術的脆弱性や人的ミス:管理策で低減されるが完全排除は困難です。
これらを補うため、DPAや運用証跡、ペネトレーション結果の確認をセットで要求することを推奨します。
導入前チェックリストと営業・調達向けテンプレート
ここでは実務でそのまま使えるチェックリストとテンプレートを提示します。テンプレートは受領形式や回答期限を含めています。
導入前チェックリスト(必須項目・優先度順)
以下は導入可否判断で最低限確認すべき項目です。番号は優先度順です。
- 証明書の確認:最新のISO/IEC 27001/ISO/IEC 27701証明書PDF、証明書番号、発行日・有効期限、認証機関名。
- スコープの確認:対象サービス・拠点・特定機能の除外事項が自社利用に合致するか。
- DPA:国外転送、削除・返却手続き、データ主体対応の明記。
- SOC2報告:Type IIの有無、報告期間、受領条件(例:NDA下での提供)、想定納期。
- サブプロセッサ一覧:名称・役割・処理リージョン、通知手順と異議申立て方法。
- 技術的対策:通信・保管の暗号化、鍵管理、RBAC、MFA、SSO/SCIMの対応状況。
- ロギング/監視/バックアップ:ログ保持期間、監査ログの取得可否、RTO/RPOの目安。
- 脆弱性管理/ペネトレーション:実施頻度、外部テストの有無、要約レポートの提供可否。
- データ保管場所:保存リージョン、クラウド事業者名、リージョン間の移転ルール。
- インシデント対応:通知体制、通知タイムライン(例:72時間内初報)、契約上の通知義務。
- 契約条項:監査権、データ削除・移行支援、SLA、責任範囲の明確化。
営業/セキュリティ窓口宛 請求テンプレート(詳細版)
以下は実務で使える依頼文の例です。回答期限と受領形式、エスカレーション手順を明記しています。
件名: セキュリティ関連資料のご提供依頼(導入検討)
本文例(要件・条件を明記):
いつもお世話になります。貴社サービスの導入を検討しており、下記資料のご提供をお願いします。可能であれば10営業日以内にご回答ください。なお、SOC2等の機密報告書はNDA締結後の受領を想定しています。
要求資料(受領形式・納期):
- 最新のISO/IEC 27001およびISO/IEC 27701証明書(PDF、発行日・証明書番号を明記) — 受領形式: PDF(電子署名可)、希望納期: 5営業日
- SOC2 Type II報告書(該当期間のコピー、NDAの下で受領可) — 受領形式: セキュアポータルリンクまたはPDF、希望納期: 10〜15営業日(NDA締結後)
- 標準DPA(Data Processing Addendum) — 受領形式: PDF、希望納期: 5営業日
- 最新のサブプロセッサ一覧(名称・役割・処理リージョン) — 受領形式: 表形式(CSV/Excel可)、希望納期: 5営業日
- ペネトレーションテスト/脆弱性管理要約(Executive Summary) — 受領形式: PDF、希望納期: 10営業日
エスカレーション手順(暫定):
- 回答が遅延する場合は営業担当のマネージャーへ期限延長の連絡を依頼する。
- 重要資料(SOC2等)が提供不可の場合は理由と代替資料(要約、補償条項)を提示させる。
RFPで使える短縮チェック項目
RFPにコピペしやすい短縮版の項目です。まずはこれでスクリーニングしてください。
- 証明書名と有効期限、証明書番号
- SOC2 Type IIの有無と報告期間(NDA下)
- サブプロセッサ主要一覧と通知頻度
- 暗号化(転送/保管)の実装状況
- MFA・SSO対応の有無
- ログ保持期間と監査ログ取得可否
- データ復旧(RTO/RPO)の目安
- インシデント通知ポリシー(初報タイムライン)
トライアルでの実運用チェック(推奨)
トライアルで実際に操作して確認すべき項目です。現場での検証が最終判断を左右します。
- RBACを設定して最小権限が適切に動作するか確認する。
- データのエクスポート/完全削除フローを実地で試す。
- SSO/SCIM連携でユーザー管理が自動化できるか検証する。
- 監査ログを確認し、必要なイベントが記録されるか確認する。
- バックアップと復旧の手順をベンダーに示させ、復旧時間を検証する。
用語解説(SoA・PDCA・PIMS 等)
この章は、本文で使われた専門用語の短い定義集です。理解を共通化するために参照してください。
SoA(Statement of Applicability)
SoAはISO/IEC 27001で求められる管理策の一覧と適用状況を示す文書です。採用/不採用の理由や適用の範囲が記載されます。
PDCA(Plan-Do-Check-Act)
PDCAは継続的改善のフレームワークです。計画立案→実施→評価→改善のサイクルを回すことで管理システムを維持します。
PIMS(Privacy Information Management System)
PIMSは個人データ保護を目的とした管理システムで、ISO/IEC 27701がその規格です。データ主体権利対応やデータフロー管理が重点になります。
DPA(Data Processing Addendum)
DPAはデータ処理に関する契約補足で、データ処理者の義務、国外移転、削除要件、データ主体対応を定めます。法的な責任分配に重要です。
SOC2 Type II
SOC2 Type IIはAICPAの基準に基づく報告書で、一定期間における運用コントロールの有効性を評価します。多くの場合、詳細はNDA下で提供されます。
よくある質問(FAQ)
ここでは導入現場で頻出する質問と短答をまとめます。担当者の初動判断に役立ててください。
Q: まず何を要求すべきですか?
A: まずは証明書PDF(ISO/IEC 27001/27701)→DPA→サブプロセッサ一覧→SOC2 Type II(NDA下)の順で要求するのが効率的です。
Q: SOC2は必須ですか?
A: 必須かは顧客要件やデータセンシティビティ次第です。米国顧客比率が高い場合はSOC2の優先度が上がります。
Q: 証明書のスコープに自社機能が含まれていない場合は?
A: 除外機能は利用制限や代替証明、追加のセキュリティ担保(ペネトレーション要約や補償条項)を契約に盛り込むべきです。
Q: ベンダーがSOC2を提供できないと言う場合は?
A: 提供不可の理由と代替資料(監査要約、外部レビューレポート、補償措置)を求め、リスク評価の上で決定します。
まとめ(要点の箇条書き)
Pipedriveの公式発表は導入検討の好材料ですが、証明書は時点依存です。導入判断時は証明書PDFのスコープ・証明書番号・発行元照合を必須として、DPA・サブプロセッサ一覧・必要に応じてSOC2等の運用報告を取得してください。トライアルでの実運用検証(RBAC、削除、ログ、復旧)は最終判断に有効です。
- 公式発表は出発点。証明書PDFのメタ情報と認証機関での照合を必ず行う。
- 優先取得資料は証明書、DPA、サブプロセッサ一覧。SOC2はNDA下での要求が多い。
- トライアルで運用面(権限、削除、ログ、復旧)を実地検証すること。
- 認証は証拠の一つに過ぎないため、契約・運用証跡で残存リスクを補完する。