「退職した元営業担当者が、まだ HubSpot にアクセスできる状態になっていた」「インターンが全コンタクトをエクスポートして外部に持ち出した」「あるワークフローが誤って全顧客にメールを送った」——これらは実際に起きた HubSpot のインシデント事例だ。CRM に蓄積された顧客データは組織の最重要資産であり、適切な権限設計・監査ログの整備・GDPR/個人情報保護への対応・インシデント対応手順なしに本番運用すべきではない。本章ではガバナンス設計の全体像を体系的に解説する。
HubSpot の権限管理は「何ができるか(ロール)」「どのチームのデータか(チーム)」「どの範囲のレコードか(データスコープ)」の3層で設計する。この3つを組み合わせることで「東日本営業チームのメンバーは、自分が担当するコンタクトと会社のみ閲覧・編集でき、全件エクスポートはできない」という細かい制御が実現できる。
権限設計の大原則は「その人の業務に必要な最小限の権限だけを与える」だ。「とりあえず Admin にしておく」「エクスポートできないと不便だから全員にエクスポート権限を与える」という設計は、セキュリティインシデントの温床になる。
| よくある過剰権限のパターン | リスク | 正しい対処 |
|---|---|---|
| 全員を Admin にする | 誰でもワークフローを変更・削除できる。誤操作で全顧客にメールが送信されるリスク | Admin は2〜3名に限定。一般ユーザーには適切なカスタムロールを設定する |
| 全員に全件エクスポート権限 | 退職者・内部不正者が全顧客データを外部に持ち出せる。GDPR 違反になる場合もある | エクスポート権限はマネージャー以上に限定。一般ユーザーは自分の担当のみ |
| 退職者アカウントの放置 | 退職した元担当者がいつでも CRM にアクセスできる状態が続く | 退職日に即日アカウント無効化・所有者の再割り当てをプロセス化する |
| API キーを共有・複数システムで使い回し | 1つのシステムが侵害されると、そのキーを使う全システムが危険にさらされる | システムごとに専用のプライベートアプリトークンを発行し、最小スコープを設定する |
HubSpot の「チーム(Teams)」機能を使うと、どのチームに所属するユーザーがどのレコードを操作できるかを細かく制御できる。「東日本営業チームは東日本エリアのコンタクト・会社・取引のみ閲覧・編集できる」という設計が実現する。
| 機能 / オブジェクト | 営業担当 | 営業MG | マーケター | CSM | CS MG | RevOps | 経営陣 |
|---|---|---|---|---|---|---|---|
| コンタクト 閲覧 | ○自担当 | ◎チーム | ◎全件 | ○自担当 | ◎チーム | ◎全件 | △閲覧 |
| コンタクト 編集 | ○自担当 | ◎チーム | ◎全件 | ○自担当 | ◎チーム | ◎全件 | ✗ |
| コンタクト エクスポート | ✗ | ○自チーム | ○自セグメント | ✗ | ○自チーム | ◎全件 | ✗ |
| 取引(Deal)閲覧 | ○自担当 | ◎チーム | △閲覧 | △閲覧 | △閲覧 | ◎全件 | △閲覧 |
| ワークフロー 作成・編集 | ✗ | ✗ | △閲覧のみ | ✗ | ✗ | ◎全件 | ✗ |
| レポート・ダッシュボード | △指定のみ | ◎チーム用 | ◎作成可 | △指定のみ | ◎CS用 | ◎全件 | △閲覧 |
| ユーザー・権限設定 | ✗ | ✗ | ✗ | ✗ | ✗ | ◎Admin | ✗ |
組織変更・人事異動・退職・新入社員・外部パートナーの追加と終了——これらのたびに権限が最適な状態かを確認する必要がある。四半期に1回「全ユーザーの権限リスト」をエクスポートして、現在の役職と権限が一致しているかをレビューすることをケイデンスに組み込む。HubSpot の「設定 → ユーザーと権限 → ユーザー」からエクスポートできる。
HubSpot には GDPR・個人情報保護法への対応を支援する機能が組み込まれている。ただし、機能が存在することと法的に準拠していることは別だ。機能を正しく設定・運用して初めてコンプライアンスが成立する。以下はHubSpot で対応すべき主要なチェックリストだ。
Enterprise プランでは「誰が・いつ・何をしたか」のすべての操作ログが監査ログとして記録される。「ワークフローをいつ誰が変更したか」「誰がデータをエクスポートしたか」「誰がユーザーを追加・削除したか」が後から確認できる。コンプライアンス対応・インシデント原因調査・不正検知に不可欠な機能だ。
| API トークンのスコープ設定ルール | 設定例 |
|---|---|
| 読み取り専用システム(分析・BI ツール) | crm.objects.contacts.read / crm.objects.deals.read のみ。Write スコープは絶対に付与しない |
| CRM 更新システム(外部エンリッチメント) | crm.objects.contacts.write のみ。Delete・Settings スコープは付与しない |
| フル連携システム(Salesforce 双方向同期) | 必要なオブジェクトの read/write のみ。全オブジェクトへのアクセスは付与しない |
| トークンのローテーション | 90日ごとにトークンを再発行し、古いトークンを無効化する。退職者が関係するシステムのトークンは即日ローテーション |
パスワード漏洩の大半は「パスワードが正しく設定されていても、そのパスワードが別のサービスの漏洩から流用される」クレデンシャルスタッフィング攻撃だ。HubSpot の「設定 → セキュリティ → 多要素認証」で全ユーザーへの MFA 強制をオンにすることが、最もコストパフォーマンスの高いセキュリティ対策だ。MFA が強制されていれば、パスワードが漏洩しても不正アクセスの大半を防げる。
「とりあえず Admin」「全員にエクスポート権限」は典型的な過剰権限パターン。ロール・チーム・データスコープの3層で設計し、一般ユーザーは「自分の担当のみ閲覧・編集・エクスポート不可」から始める。四半期ごとの権限レビューをプロセスに組み込む。
設定画面から全ユーザーに MFA を強制するだけで、クレデンシャルスタッフィング攻撃の大半を防げる。コストゼロで最大の効果が得られる対策。導入していない場合は今すぐ有効化する。Super Admin は特に最優先で MFA を設定する。
HubSpot の GDPR 機能を有効にするだけでは法的準拠は成立しない。削除要求への対応手順・同意記録の管理・DWH との連携時のデータ削除プロセスを文書化し、実際に機能する体制を整える。年1回の法務レビューを推奨。
旧 API キーは廃止。プライベートアプリトーク