> 診断
SFA / CRM 購買段階: 比較

情シスのためのSFA/CRM活用|連携・権限・セキュリティの確認点

SFA/CRMを情シス視点で評価するための判断軸を中立に整理。連携方式・権限設計・セキュリティ・運用負荷の観点とベンダーへの質問、買わない条件までを示す判断基準書です。

Buyers Code 編集部 (2026年7月5日 更新)

この記事の要点(TL;DR)

  • 情シスが見るべきはSFA/CRMの機能の豊富さではなく『連携・権限・運用負荷』の3点。顧客情報という機微データがどこに置かれ、誰が見られるかを要件として先に固定する。
  • 連携は『対応の有無』ではなく『認証方式・項目粒度・権限の自動連動』で評価する。手動での権限管理は退職・異動時の剥奪漏れを生みやすい。
  • 既存の基幹システムとの連携要件が固まっていない、利用部門・人数が少ない段階では、複雑な連携を急がず段階的に要件を広げる判断もありうる。
目次

SFA/CRMは「営業・マーケが便利になるツール」として比較されがちですが、情シスの評価軸はそこではありません。顧客情報・商談情報には取引先や個人の機微情報が含まれるため、情シスが見るべきは「連携・権限・運用負荷」の3点です。この記事は、情シスが要件形成段階で確認すべき観点を、製品名を出さず型で整理します。要件の立て方の基本は【情報収集・要件検討】SFA / CRM 選びで最初にやるべきは「自社の要件を立てる」ことに整理しています。

SFA/CRMは情シスにとって何の道具か?なぜ評価軸は「機能の豊富さ」ではないのか

営業・マーケ部門は入力のしやすさや分析機能を評価します。情シスの責務はその先にあります。顧客データは取引先や個人が特定できる機微情報であり、保存場所・閲覧権限・連携方式を誤ると組織全体のリスクになります。

つまり評価の順序は「便利かどうか」より先に「どこに置かれ、誰が見られ、他システムとどうつながるか」です。営業部門が選定を進めた後で情シスが止める、という手戻りを避けるため、要件形成段階から3点を固定します。営業側の判断軸は営業マネージャーのためのSFA/CRM活用に整理しています。

判断軸:情シス視点で見る4つの軸

判断軸何を見るかなぜ情シスに効くか
連携方式認証基盤・基幹システム・MAツールとの連携方式と項目粒度認証や権限が自動連動しないと運用負荷と漏れが残る
権限設計誰がどの顧客・案件を閲覧・編集できるか、付与/剥奪の方式機微情報の閲覧範囲の制御が中心論点
セキュリティ保存場所・暗号化・アクセスログの取得可否監査・インシデント対応の根拠になる
運用負荷障害対応・サポート体制・アップデート頻度情シスの継続的な工数を左右する

連携:対応の有無ではなく「型」で見る

連携は「対応している/していない」では足りません。確認するのは型です。

  • 認証規格の型(自社の認証基盤に正式対応しているか)と多要素認証の可否
  • 権限グループが認証基盤と自動同期するか(手動付与だと剥奪漏れが起きる)
  • 基幹システム・MAツールへの書き込み項目の粒度と方式

権限:誰がどの顧客・案件を見られるか

顧客・商談情報は、本人以外に見せたくない情報を含みます。確認点は次の通りです。

  • 案件単位・部門単位・組織全体のどの粒度で閲覧範囲を制御できるか
  • 出力(ダウンロード・外部共有)に制限をかけられるか
  • 退職者・異動者の権限を速やかに剥奪できるか

組織導入インパクト:3つの立場でどう変わるか

  • 営業・マーケ(現場):連携が整えばリードや案件情報がスムーズに引き継がれるが、権限設計が粗いと閲覧範囲の懸念が現場の抵抗を生む。
  • マネジメント:他システムとの連携により全体像を把握しやすくなるが、運用負荷を情シスが吸収できないと期待した連携が実現しない。
  • 情シス/IT:保存場所・権限・監査ログの管理責任を負う。専任か兼任かで運用工数の見積もりが変わる。

導入インパクトの大きさは機能ではなく、情シスがどこまで運用に関与できるかにかかっています。経営視点での投資判断は経営者のためのSFA/CRM活用で扱っています。

どう運用するか?連携・権限管理への落とし込み

要件を決めただけでは運用は回りません。情シス主導で導入から運用に落とすときの順序は次のとおりです。

  1. 要件の事前固定 — 保存場所・権限設計・連携方式を、営業部門が製品を選ぶ前に要件として文書化する。
  2. 認証基盤との連携設計 — 権限グループを認証基盤と自動同期させ、手動付与・剥奪の運用工数を減らす。
  3. 監査ログの定期確認 — 誰がどの顧客・案件にアクセスしたかを定期的に棚卸しする運用を組み込む。
  4. 契約更新時の再確認 — 保存場所やデータ処理方針の変更がないか、契約更新のタイミングで毎回確認する。

失敗パターン:If-Then で避ける3つの落とし穴

  1. If 「連携対応」の表記だけで要件を満たすと判断する Then 実際の項目粒度や認証方式が自社の基盤と合わず、稼働後に手戻りが発生する。→ 認証規格・項目粒度を文面とデモで具体的に確認する
  2. If 権限管理を手動運用に頼る Then 退職・異動時の剥奪漏れが積み重なり、機微情報へのアクセスがコントロールできなくなる。→ 認証基盤との自動連携を要件に含める
  3. If 学習利用や削除証跡の扱いを口頭で済ませる Then 「学習に使わない」「削除した」が契約文面になく、後から覆せない。→ 書面で固定し、監査に耐える証跡の提示方法を確認する

ベンダーへの質問リスト:情シス用途で確認する

  • データの保存場所はどこですか。自社専用に分離されますか。
  • 認証は自社の基盤の型に正式対応していますか。多要素認証は使えますか。
  • 権限の付与・剥奪は認証基盤と自動連動しますか。閲覧範囲はどの粒度で制御できますか。
  • 顧客・商談データをモデルの学習・改善に使いますか。無効化できますか。
  • 解約時にデータはどう削除され、削除の証跡はどう示されますか。
  • 障害発生時のサポート体制・SLAはどの水準ですか。

質問の記入例には、自社や顧客の実データ・実名を使わないでください。

いつ買わないべき?現状で足りる条件

  • If 利用部門・人数が少なく、権限設計が複雑にならない Then 簡易な権限管理で当面は支障がない。
  • If 他システムとの連携要件がまだ固まっていない Then まず要件を整理してから複雑な連携機能を求めるべき。
  • If 自社の認証・権限ポリシーが固まっていない Then 先に情シス主導でデータポリシーを整える方が投資効果は高い。
  • If 既存の顧客管理で情報漏洩や監査上の懸念が発生していない Then 導入を急ぐ必要はない。

逆に、複数部門でのデータ共有が増え権限管理が属人化している、他システムとの連携ニーズが顕在化している場合は、要件を明確にしたうえで導入検討の価値が高まります。稟議の通し方など最終判断の観点はSFA/CRM導入の意思決定に整理しています。

関連記事

出典・参照

  1. 各ベンダー公式情報(具体値は一次ソースで検証) — 本文は具体数値を断定せず、一次ソースでの確認を前提に記述
  2. 各製品のセキュリティ・データ処理に関する公開資料(保存場所・保持期間・認証規格は取得時点で各社一次情報を確認) — 認証規格や削除方式は型として記載し、製品名は出さない
判断軸ベンダーへの質問失敗パターン

よくある質問

情シスとして最初に確認すべき項目は何ですか?
データの保存場所(国内/国外・自社テナント分離の有無)、アクセス権限の設計、他システムとの連携方式の3点です。顧客情報・商談情報は機微データを含むため、機能の豊富さより先にこの3点を要件として固定することをおすすめします。
『他システムとの連携対応』とあれば要件は満たせますか?
表記だけでは判断できません。対応する認証規格の型、連携できる項目の粒度、権限グループが認証基盤と自動同期するかは製品ごとに幅があります。自社の基幹システムの型に正式対応しているか、権限の付与・剥奪が自動で連動するかをデモと文面で確認してください。
運用負荷を抑えるにはどこを見ればよいですか?
権限管理と障害対応の仕組みです。手動での権限付与・剥奪は運用工数がかさみ、退職・異動時の対応漏れも起きやすくなります。認証基盤との自動連携や、障害時のサポート体制・SLAの有無を確認し、運用を情シス側にどこまで持ち込まずに済むかを見極めてください。

関連する判断基準

> SFA / CRMの判断基準・検証済みベンダー一覧へ

Buyers Code 編集部

監修: 渡邊悠介(株式会社Hibito)

B2Bの買い手の側に立ち、公開一次情報をもとに、あなたの状況での最善を示す判断基準を編集しています。 網羅して逃げるのではなく、状況ごとに「何を選ぶべきか」を断言し、その根拠とお金の流れを開示します。 私たちの立場とお金の流れはこちら