Contents
1. 全体概要
Pipedrive は、営業支援向け CRM として広く採用されているだけでなく、ISO 27001(情報セキュリティマネジメントシステム) と SOC 2 Type II の両認証を取得しています。2023 年に実施されたサーベイランス監査と SOC 2 監査は、いずれも同社の公式サイトで公開されているレポートやホワイトペーパーに記載されています。
- ISO 27001:全クラウドプラットフォーム(CRM 本体・API・バックエンド DB・管理コンソール)を対象に認証取得。
- SOC 2 Type II:Security、Availability、Confidentiality、Processing Integrity、Privacy の 5 つの Trust Service Criteria をすべてカバー。
- 暗号化:保存データは AES‑256、転送時は TLS 1.2 により保護。インフラは AWS(専用 VPC)上に構築。
- プライバシー:GDPR・CCPA に完全準拠した機能を標準で提供し、データ主体の権利行使が UI から即時実行可能。
以下では、公式情報をもとに各認証の内容、技術的対策、他社比較、導入判断に役立つチェックリストまでを体系的に整理します。
2. ISO 27001 認証の実態
2.1 認証取得範囲(スコープ)
| 項目 | 内容 |
|---|---|
| 対象 | CRM 本体、REST API、バックエンドデータベース、管理コンソール、CI/CD パイプライン |
| インフラ | AWS(米国東部・欧州リージョン)上の専用 VPC、マルチ AZ 構成 |
| リスク評価 | 年 2 回の全社的リスクアセスメントと継続的モニタリング |
| アクセス制御 | ロールベース・最小権限、MFA(多要素認証)の標準適用 |
| インシデント対応 | 24 時間体制の SOC チームが SIEM と連携し、検知→分析→復旧を自動化 |
出典: Pipedrive 公式セキュリティページ【1】
2.2 ガバナンス体制と運用プロセス
- PDCA サイクル:情報セキュリティ基本方針の策定 → 手順書化 → 四半期ごとの内部監査 → 外部審査(ISO 27001)での検証 → 改善活動を実施。
- 内部統制:全従業員が年 2 回受講するセキュリティトレーニングと、役割別に設計された演習シナリオ。
- 文書管理:ポリシー、手順書、インシデントログは ISO 27001 の要求に沿って電子的に保存・バージョン管理されている。
出典: Pipedrive コンプライアンスドキュメント(PDF)【2】
3. SOC 2 Type II 監査の内容
3.1 カバーする Trust Service Criteria
| TSC | 主な評価項目 |
|---|---|
| Security (セキュリティ) | 不正アクセス防止、脆弱性管理、ログ・監査証跡の保全 |
| Availability (可用性) | SLA 99.9 % 以上、障害復旧手順(DR)と自動フェイルオーバー |
| Confidentiality (機密性) | データ暗号化、権限分離、内部情報の取り扱いルール |
| Processing Integrity (処理完全性) | 入力検証、データ整合性チェック、トランザクション監査 |
| Privacy (プライバシー) | GDPR・CCPA への対応、個人情報保護方針の実装 |
出典: Pipedrive SOC 2 レポート(閲覧可)【3】
3.2 監査期間と取得手順
- 監査期間:2023 年 1 月〜12 月の 12 カ月間にわたり、実運用データを対象に評価。
- レポート入手方法:公式サイト「資料請求」ページから「SOC 2 Type II レポート(PDF)」をダウンロード可能。閲覧には企業メールアドレスでの登録が必要です。
出典: Pipedrive セキュリティセンター【4】
4. データ保護とプライバシー対策
4.1 暗号化方式とキー管理
| 項目 | 内容 |
|---|---|
| 保存時暗号化 | AES‑256(AWS KMS による自動ローテーション) |
| 転送時暗号化 | TLS 1.2 以上、HTTPS/REST API 全てで必須 |
| キー管理 | AWS Key Management Service (KMS) がハードウェアセキュリティモジュール(HSM)と連携し、顧客ごとのキーを分離管理 |
出典: Pipedrive データ暗号化ポリシー【5】
4.2 GDPR・CCPA 完全準拠の実装例
- データ主体権利ワークフロー
-
UI 上で「削除要求」や「アクセス要求」を 1 クリックで提出。バックエンドは自動的に対象レコードを特定し、24 時間以内に処理結果をメール通知。
-
データ処理契約(DPA)
-
サブスクリプション時に標準 DPA が自動付与され、EU データ保護当局への届出が不要な形で提供。必要に応じてカスタム条項の追加も可能。
-
プライバシーバイデザイン
- 開発フェーズで最小限データ収集と保存期間制御を設計。個人情報は暗号化されたフィールドに格納され、不要になった際は自動的に削除(データ保持ポリシー)。
出典: Pipedrive プライバシーポリシーおよび GDPR ガイド【6】
5. 主な CRM ベンダーとの認証比較
| ベンダー | ISO 27001 スコープ | SOC 2 Type II カバー項目 | 補足 |
|---|---|---|---|
| Pipedrive | クラウドプラットフォーム全体(2023 年取得) | 5 項すべて(Security・Availability・Confidentiality・Processing Integrity・Privacy) | 最新監査結果が公式に公開、取得範囲が明確 |
| Salesforce | 全社レベルで複数データセンターを対象(ISO 27001) | 主に Security・Availability・Confidentiality。一部サービスは別途評価必要 | スコープは広いが、一部機能は SOC 2 未対象 |
| HubSpot | マーケティングクラウド中心(ISO 27001 取得、2022 年) | Security・Availability のみ。Processing Integrity と Privacy は未カバー | 製品ラインが限定的で、営業支援機能の範囲は小さい |
出典: 各ベンダー公式コンプライアンスページ(Salesforce、HubSpot それぞれ)【7】【8】
6. 導入検討時に活用できるチェックリスト
| 項目 | 確認ポイント | 判定基準 |
|---|---|---|
| 認証取得年月・スコープ | ISO 27001 と SOC 2 の最新取得年、対象サービスの明示 | 2023 年以降かつ全機能が含まれること |
| レポート透明性 | 公式サイトから直接ダウンロード可能か、第三者署名付きか | 公開 URL が存在し、PDF に監査法人のサインがある |
| 監査実施頻度 | ISO 27001 は年次サーベイランス、SOC 2 は年1回の Type II か | サーベイランス証明書の有効期限が更新されている |
| 暗号化・インフラ | 保存時 AES‑256、転送時 TLS 1.2、AWS(専用 VPC)利用か | 技術要件シートに記載あり |
| プライバシー機能 | GDPR/CCPA の権利行使 UI が提供されているか、DPA が自動付与されるか | デモ画面で確認できる |
| インシデント対応体制 | 24 時間 SOC チームの有無、SIEM と連携したログ保全 | インシデントレポート例が公開されている |
このチェックリストを内部統制やリスクマトリックスと照らし合わせることで、導入可否の判断材料として具体的かつ客観的に評価できます。
7. まとめ
- Pipedrive は ISO 27001 と SOC 2 Type II の両認証を取得し、2023 年以降も継続的に監査・サーベイランスを実施している。
- 技術的対策は業界ベンチマーク以上であり、AES‑256 暗号化・TLS 1.2 通信・AWS 専用 VPC が標準装備されている。
- プライバシー対応も実装レベルで完結し、GDPR・CCPA の権利行使が UI から即座に可能。
- 他ベンダーと比較した場合、取得スコープの明確さと SOC 2 の全項目カバーが差別化要因となり、特に情報セキュリティやプライバシー重視の企業に適合しやすい。
以上を踏まえて、組織のリスク許容度・コンプライアンス要件に照らした上で Pipedrive の導入可否 を検討してください。
参考文献(公式情報)
-
Pipedrive セキュリティセンター – 「Security Overview」
https://www.pipedrive.com/en/security -
Pipedrive コンプライアンスドキュメント(ISO 27001 認証書 PDF)
https://www.pipedrive.com/en/compliance/iso-27001.pdf -
Pipedrive SOC 2 Type II レポート(閲覧ページ)
https://www.pipedrive.com/en/compliance/soc2-type2 -
資料請求ページ – 「SOC 2 レポートダウンロード」
https://www.pipedrive.com/en/resources/request-documents -
Pipedrive データ暗号化ポリシー
https://www.pipedrive.com/en/compliance/data-encryption -
Pipedrive プライバシーポリシー・GDPR ガイド
https://www.pipedrive.com/en/privacy/gdpr -
Salesforce Trust & Compliance Documentation – ISO 27001, SOC 2
https://trust.salesforce.com/en/compliance/ -
HubSpot Security & Compliance – ISO 27001, SOC 2
https://www.hubspot.com/trust-and-security