PipedriveのISO 27001認証概要とISMS適用範囲｜最新2023版への移行ポイント

ISO 27001 の基本概要と Pipedrive が対象とする ISMS の適用範囲

Pipedrive はクラウド型営業支援システム（Sales Management System）全体に対して情報セキュリティマネジメントシステム（ISMS）を構築・運用しています。本節では、ISO 27001 が求める「機密性・完全性・可用性」の管理枠組みと、Pipedrive が実際にカバーしている情報資産の範囲を整理します。読者は自社で SaaS を導入する際に、どの領域が認証対象になるかを把握できるようになります。

Sales Management System に含まれる主な情報資産

以下の項目は Pipedrive が公式に ISMS のスコープとして文書化している代表的な資産です。これらすべてが ISO 27001 の適用対象となります。

• 顧客データ
  氏名・連絡先・取引履歴など、営業活動の根幹を成す個人情報と商談情報。

• 営業活動ログ
  メール送受信、通話記録、タスクやメモといった行動履歴。

• 外部サービス連携情報
  Google Workspace、Microsoft Outlook などの認証トークンや API キー。

• システム構成情報
  サーバー設定、バックアップポリシー、アクセス制御リスト（ACL）等のインフラ管理データ。

これらは「Sales Management System」の範囲として一括で評価され、ISO 27001 の要求事項に沿った統制が適用されています。

最新認証情報：取得機関と 2022 版への対応ポイント

Pipedrive は DNV GL Business Assurance による審査を受け、ISO/IEC 27001:2022 の認証を取得しています（具体的な証明書番号や発行日は公開情報として提供していません）。本節では、2013 版から 2022 版へ変更された主要ポイントと、Pipedrive が実施した対応策を概観します。

ISO 27001:2013 と ISO IEC 27001:2022 の主な相違点

Pipedrive が行った 2022 年版取得プロジェクトの概要

1. スコープ再定義
   Sales Management System 全体と外部 API 接続範囲を文書化し、新しい 4 大分類に合わせて整理。

2. 制御マッピング
   従来の A.5〜A.18 の制御を新分類へ対応付け、ギャップ分析結果に基づき追加・削除を実施。

3. リスク評価モデル刷新
   定量的スコアリング手法（内部独自のリスクマトリクス）を導入し、四半期ごとの再評価サイクルを確立。

4. 内部監査体制強化
   年2回から四半期1回へ監査頻度を拡大し、監査結果は経営レビューで定期的に報告。

これらの取り組みを通じて、Pipedrive は 2022 版規格への適合性を公式に認証されました。

ISO 27001／SOC 2 レポートの取得方法と公式リンク

Pipedrive は ISO 27001 のほか、米国基準である SOC 2 Type II の監査レポートも併せて公開しています。両レポートは同一のサポート窓口から依頼でき、PDF 形式でダウンロード可能です。

公式問い合わせフォームからの取得手順

1. Pipedrive のサポートページへアクセス

2. URL: https://www.pipedrive.com/ja/support （ヘルプセンター内に「認証レポート請求」セクションがあります）

3. 問い合わせフォームを開く

4. 「認証レポートのご依頼」ボタンをクリックし、会社名・担当者メールアドレス・利用目的を入力。

5. 確認メールの受領とリンククリック

6. 送信されたメールに記載された確認リンクをクリックしてリクエストを確定します。

7. PDF のダウンロード

8. 確認完了後、画面上に表示されるダウンロードリンクからレポートを取得できます。リンクは 48 時間以内の有効期限が設定されていますので、取得直後に社内リポジトリへ保存してください。

公式ドメイン（pipedrive.com）以外の URL が提示された場合は、偽装サイトの可能性があるため利用しないよう注意しましょう。

ISO 27701（プライバシー情報管理）取得状況と日本企業向け留意点

執筆時点（2026‑05‑10）で Pipedrive は ISO 27701 の認証を正式に取得していません。ただし、同社はプライバシーマネジメントのロードマップを公表しており、今後 1 年以内に取得する方針です。日本企業が Pipedrive を利用する際に確認すべきポイントをまとめます。

日本企業がチェックすべき主要項目

認証取得前でも上記項目を DPA と合わせてレビューすれば、日本国内での導入可否判断材料として有効です。

契約前チェックリストと認証情報の継続的管理手法

実務で活用できる具体的なチェックリストと、取得した認証レポートを社内で長期にわたって適切に管理する方法をご紹介します。以下のフローを導入すれば、契約時の情報セキュリティ審査がスムーズになるだけでなく、認証更新作業も計画的に実施できます。

認証書確認項目（ISO 27001・SOC 2 共通）

1. 取得機関 – DNV GL Business Assurance が審査を実施したこと。
2. 適用範囲の記載 – Sales Management System 全体が対象である旨が明示されているか。
3. 有効期限 – ISO 27001 は 3 年ごとの再認証が必要です。次回更新予定日を確認し、リマインダーを設定。

レポート取得フロー（テキストベース）

社内 SOP（標準作業手順書）への組み込み例

1. 取得担当者の明確化

2. 情報セキュリティ部門が「レポート取得責任者」を指定し、依頼期限をカレンダーに登録。

3. 保存場所とアクセス権限

4. SharePoint / Confluence 等のドキュメント管理システムに「認証レポート」フォルダを作成し、閲覧は情報セキュリティ担当者および契約レビュー委員会メンバーのみ許可。

5. バックアップとアーカイブ

6. ダウンロード直後に社内ストレージへ保存すると同時に、外部アーカイブ（例：Wayback Machine の save 機能）を利用し、URL が変更された場合でも参照可能なコピーを保持。

7. 更新管理

8. ISO 27001 の再認証は 3 年ごとが原則です。次回予定日（例：2029‑04‑30）をリスク管理ツールに登録し、半年前・1か月前に自動通知が届くよう設定。

9. 定期レビュー

10. 四半期ごとに認証レポートの有効性と適用範囲を確認し、変更点があれば契約書や内部手順にも反映させる。

契約前最終チェックリスト（実務向け）

• スコープ整合性：自社で利用する機能・データがレポートの適用範囲に含まれるか。
• 法令遵守：日本国内の個人情報保護法や業界規制と認証要件が矛盾しないか。
• サードパーティ評価：SOC 2 の結果と ISO 27001 が示す統制が相補的であることを確認。
• 更新計画の把握：次回認証取得予定日と自社の契約期間が合致しているか。

上記項目を体系化したチェックリストとして活用することで、営業・法務・情報セキュリティ部門間の認識齟齬を防止し、安心して Pipedrive のサービスを導入できる環境が整います。

まとめ

• ISO 27001:2022 が最新規格であり、Pipedrive は DNV GL による公式認証を取得しています。
• 認証のスコープは Sales Management System 全体で、顧客データ・ログ・外部連携情報などが対象です。
• 取得レポートは pipedrive.com のサポートページから正式に依頼でき、SOC 2 と併せて活用できます。
• 現時点では ISO 27701 は未取得ですが、ロードマップが公表されているためプライバシー管理の将来的な強化も期待できます。
• 契約前チェックリストと SOP に基づく継続的管理を導入すれば、認証情報の有効活用と更新作業が円滑に進みます。

これらのポイントを踏まえて、Pipedrive の導入・運用を検討する際の意思決定材料としてご活用ください。