営業リストは、企業にとって売上に直結する重要な情報資産です。しかし、その管理体制がどこまで整備されているかと問われると、明確に答えられる営業組織は多くないのではないでしょうか。
IPA(独立行政法人情報処理推進機構)が公開した「企業における営業秘密管理に関する実態調査2024」によれば、過去5年以内に営業秘密の漏えいを認識している企業の割合は35.5%に達し、2020年度調査の5.2%から約7倍に急増しました。漏えいルートとしては、サイバー攻撃(36.6%)に次いで、現職従業員のルール不徹底(32.6%)、金銭目的の不正(31.5%)、誤操作・誤認(25.4%)と、内部起因が上位を占めています。営業リストも例外ではなく、外部攻撃と内部リスクの両面から守る体制が求められる時代に入っています。
この記事では、営業リストのセキュリティ対策を「管理体制の構築」「日常の運用ルール」「ツール選定」の3つの軸で整理し、情報漏えいリスクを実務的に低減するための具体策を解説します。
営業リストが抱えるセキュリティリスクの全体像
外部からの脅威とは何か
営業リストに対する外部からの脅威は、大きく分けてサイバー攻撃とソーシャルエンジニアリング(人間の心理的な隙を突いて情報を搾取する手法)の2種類あります。
サイバー攻撃の代表例は、フィッシングメールを起点とした社内ネットワークへの侵入でしょう。営業担当者が取引先を装ったメールの添付ファイルを開き、マルウェアに感染。感染端末から社内の共有フォルダに保存されていた営業リストが外部に流出する、というシナリオは、IPA調査でも漏えいルートの首位(36.6%)を占めるパターンです。
ソーシャルエンジニアリングの典型例としては、「御社の営業部の方からリストを共有いただく約束になっていた」と偽り、別部署の担当者からデータを騙し取るケースなどが挙げられます。技術的な対策だけでは防げないため、従業員のリテラシー教育と組み合わせた多層防御が欠かせません。
内部から発生するリスク
IPA調査が示す通り、営業秘密の漏えいルートの上位には内部起因が並んでいます。営業リストに関して特に注意すべき内部リスクは3つあります。
1つ目は、退職者による持ち出しです。営業担当者が退職時にUSBメモリやクラウドストレージ経由で顧客リストをコピーし、転職先で活用するケースです。IPA調査でも退職者ルートは漏えいの主要経路として継続的に報告されています。
2つ目は、現職従業員のルール不徹底です。「個人のメールアドレスにリストを転送して自宅で作業した」「許可なくクラウドストレージにアップロードした」など、悪意はないものの、結果的にセキュリティホールを生み出す行為の事を指します。
3つ目は、アクセス権限の過剰付与です。営業リストに全社員がアクセスできる状態になっていると、関係のない部署の従業員がデータを閲覧・ダウンロードできてしまいます。アクセス範囲が広いほど、情報漏えいの経路は増加するでしょう。
法人の公開情報と個人情報では守るべき範囲が異なる
営業リストのセキュリティ対策を考える際に見落としがちな視点が、「リストに含まれるデータの種類」によって守るべき範囲が変わるという点です。
法人の代表電話番号、所在地、商号、法人番号などは、個人情報保護法が定める「個人情報」に該当しません。国税庁の法人番号公表サイトで公開されている情報と同等のデータであれば、法的に求められる安全管理措置の水準は相対的に低くなります。
一方、担当者の氏名、個人の携帯電話番号、個人名が含まれるメールアドレスなどが記載されたリストは、個人情報保護法の規制対象です。組織的・人的・物理的・技術的な安全管理措置が法律で義務付けられており、違反した場合は個人情報保護委員会からの勧告や命令、さらには罰則の対象にもなりえます。
つまり、セキュリティ対策の設計にあたっては、「自社が扱う営業リストに個人情報が含まれているか否か」を最初に確認し、それに応じた対策レベルを設定する必要があるのです。
営業リストのセキュリティ管理体制を構築する
アクセス権限の設計と最小権限の原則
営業リストへのアクセス権限は、「必要な人だけが、必要な範囲のデータにアクセスできる」状態を目指して設計してください。情報セキュリティの基本原則である「最小権限の原則(Principle of Least Privilege)」を営業リストの管理にも適用する考え方です。
具体的には、リストの閲覧・編集・ダウンロードの各権限を分離し、役割に応じて付与します。たとえば、営業マネージャーにはリスト作成・編集・ダウンロード権限を付与し、営業担当者には自分が担当するセグメントの閲覧権限のみを付与します。経理や総務など営業以外の部門にはリストへのアクセス権限を付与しません。
CRMやSFAを導入している場合は、ツール側のアクセス制御機能を活用することで、比較的容易に権限設計が実現できるでしょう。Excelで営業リストを管理している場合は、共有フォルダのアクセス制限やファイルのパスワード保護が最低限の対策になります。
営業リストの保管場所を一元化する
営業リストが複数の場所に分散して保管されている状態は、セキュリティ上の大きなリスクです。担当者AのPC上のデスクトップ、担当者Bの個人用クラウドストレージ、共有フォルダの中の複数のバージョンなど、保管場所が散らばるほど、管理の目が行き届かなくなり、どこから漏えいが発生したかの追跡も困難になります。
対策は、営業リストの正本を保管する場所を1箇所に定め、それ以外の場所への保存を禁止するルールの設定することです。CRM上に一元管理するのが最も堅牢ですが、Excel運用の場合でも「共有フォルダの指定ディレクトリのみに保存し、ローカルPCへのコピーは原則禁止」というルールを敷くだけで、リスクは大幅に低減されます。
操作ログの取得と定期的な監査
誰が、いつ、どの営業リストにアクセスし、何をしたか(閲覧・編集・ダウンロード・削除)を記録するログの取得は、不正の早期発見と事後調査のために不可欠です。
CRM/SFAツールの多くはログ機能を標準搭載しており、設定を有効にするだけで自動的に記録が蓄積されます。月次で「誰がどのリストをダウンロードしたか」を確認する監査プロセスを設けておくと、不審なアクセスの早期検知につながるでしょう。
日常の運用で実践すべきセキュリティルール
退職時の情報管理フロー
営業担当者の退職は、営業リスト漏えいのリスクが最も高まるタイミングです。退職が決定した時点から、以下のフローを漏れなく実行する体制を整えてください。
退職が決定した段階で、営業データへのアクセス権限を「閲覧のみ」に変更し、ダウンロード権限を停止する運用を徹底しましょう。退職日当日はアカウントを無効化することで、社内システムへログインできない状態にします。貸与PCやスマートフォンについては退職日にデバイスごと回収し、データ消去の確認を行うとともに、入社時および退職時に秘密保持誓約書を取得して、退職後の情報利用に関する義務を明文化しておくようにすると安心です。
退職後に情報持ち出しが発覚した場合、秘密保持誓約書があれば損害賠償請求や不正競争防止法に基づく法的措置をとるための前提条件が整います。
パスワード管理とファイル暗号化
営業リストをExcelで管理している場合、ファイルにパスワードを設定するだけでもリスクは低減されます。ただし、全社共通のパスワードを長期間変更せずに使い回している場合は、退職者がパスワードを知ったままになるリスクがあります。パスワードは定期的に変更し、退職者が出たタイミングでは必ず変更してください。
より高度な対策としては、ファイルの暗号化やIRM(Information Rights Management=情報の閲覧・編集・印刷・転送などの権限をファイル単位で制御する技術)の導入が有効です。暗号化されたファイルは、仮にUSBメモリやクラウドストレージにコピーされても、復号キーがなければ内容を読み取れないため、持ち出しリスクを根本から低減可能です。
テレワーク環境でのリスト取り扱い
テレワークの定着により、自宅やカフェなど社外環境から営業リストにアクセスする場面が増えました。IPA調査でもクラウドを利用した秘密情報の共有割合は50.4%に達しており、社外からのアクセスを前提としたセキュリティ設計が求められています。
VPN(仮想プライベートネットワーク)経由のアクセスを必須とする、公衆Wi-Fiからの接続を禁止する、リモートデスクトップで操作しローカルPCへのデータダウンロードを禁止するなど、こうした技術的対策に加え、「カフェや公共スペースでは営業リストを含む画面を開かない」「画面にのぞき見防止フィルターを装着する」といった物理的な対策も併せて周知してください。
リスト作成ツールの選定とセキュリティ
ツール選定時に確認すべきセキュリティ観点
営業リスト作成ツールを選定する際には、「どのようなデータを」「どこに保管し」「誰がアクセスできるか」の3点をセキュリティの視点から確認してください。
データの種類としては、法人の公開情報のみを扱うツールと、担当者レベルの個人情報を含むツールでは、リスクの水準が根本的に異なります。法人の公開情報のみであれば、仮にデータが外部に流出した場合でも、個人情報保護法上の漏えい報告義務は直接的には発生しません。一方、個人情報を含むリストが流出した場合は、個人情報保護委員会への報告義務や本人への通知義務が課されるため、対応コストは桁違いに大きくなります。
データの保管場所については、クラウド型のツールであればデータはサービス提供者側のサーバーに保管されるため、自社サーバーのセキュリティ管理負荷は軽減されます。ただし、サービス提供者のセキュリティ体制(データの暗号化、バックアップ、アクセスログの管理など)を事前に確認しておく必要があるでしょう。
「ダウンロード型」運用のセキュリティ上の利点
営業リスト作成ツールの中には、リストをExcel/CSV形式でダウンロードして使う「ダウンロード型」と、ツール上でリストを管理・運用する「プラットフォーム型」があります。
セキュリティの観点から見ると、ダウンロード型には「ツール上に営業リストが常時保管されない」という利点があります。必要なときにリストをダウンロードし、ダウンロード後はツール上からデータが残らない設計であれば、ツール提供者側でのデータ漏えいリスクは構造的に低くなるでしょう。
UrizoEXはこのダウンロード型に分類されるクラウド型ツールです。法人番号公表サイト等の公的データを基盤に構築された企業データベースから、会社名・住所・電話番号・法人番号・WebサイトURLなどの基本法人情報をExcel/CSV形式で取得する仕組みであり、担当者レベルの個人情報は含まれていません。扱うデータが法人の公開情報に限定されている点と、ダウンロード後のデータ管理は自社のセキュリティポリシーに委ねられる設計は、コンプライアンスを重視する企業にとって判断しやすいポイントでしょう。
セキュリティインシデント発生時の対応フロー
事前に準備しておくべきこと
営業リストの漏えいが発生した場合に備え、「インシデント対応フロー」を事前に策定しておくことが重要です。具体的には、第一報の連絡先(情報セキュリティ担当者、経営層)、初動対応の手順(漏えい範囲の特定、被害拡大の防止)、社外への報告判断基準(個人情報保護委員会への報告が必要かどうか)を文書化し、関係者に周知しておいてください。
2022年4月の改正個人情報保護法により、個人データの漏えいが発生した場合(または発生のおそれがある場合)は、個人情報保護委員会への報告と本人への通知が義務化されました。営業リストに個人情報が含まれるかどうかによって、報告義務の有無が変わるため、リストのデータ内容を日頃から把握しておくことが前提条件になります。
漏えい発覚後の初動
漏えいが疑われる事象を検知した場合は、被害拡大の防止を最優先にしましょう。具体的には、漏えいが疑われるアカウントの即時停止、該当リストへのアクセスの一時遮断、漏えい経路の特定(ログの分析)を実行します。事実関係の調査と並行して、弁護士への相談、必要に応じて個人情報保護委員会や警察への報告を検討するのが、IPA調査でも多くの企業が採用している対応手順です。
営業リストのセキュリティでお悩みならUrizoEXへ
営業リストのセキュリティ対策は、「アクセス権限の設計」「保管場所の一元化」「退職時の情報管理」「ツール選定」の4つを軸に組み立てるのが実務的なアプローチです。扱うデータが法人の公開情報のみか、個人情報を含むかによって対策レベルが変わるため、まず自社のリストの内容を確認することが出発点になります。
「UrizoEX」は、法人番号公表サイト等の公的データを基盤に正規化された企業データベースから営業リストを作成できるクラウド型ツールです。担当者レベルの個人情報は含まれておらず、データの収集元が公的情報であるため、セキュリティリスクとコンプライアンス負荷の両面でリスクが低い設計です。必要なときにリストをダウンロードする運用のため、ツール側に営業リストが常時保管されるリスクもありません。
Urizoシリーズ累計で80,000社以上の導入実績があり、1件あたり3.3円〜の低コストで法人情報を取得可能で、初期費用なし・契約期間の縛りなしで、月額1,100円(税込)のライトプランから始められます。
まずは無料プランでデータの内容と品質をご確認いただき、自社のセキュリティポリシーに合うかどうかをご判断ください。
なお、営業リストの購入・利用に関わる法律問題の詳細については、「営業リストの購入は違法なのか?法律問題とリスク対策を徹底解説」もあわせてご覧ください。
