電話代行サービスは、代表電話の一次受付を外部化できる一方で、氏名・連絡先・取引内容など個人情報や機密情報が会話の中に含まれやすい業務です。さらに近年は、在宅オペレーター運用やクラウドPBX連携、通話録音・文字起こしなどが普及し、守るべき対象が「通話」から「データ」へ広がっています。
ここではBtoBの発注側が押さえるべき、“最新”のセキュリティ要件(チェック観点)を体系的に整理します。
最新の脅威と、電話代行で起きやすいリスク
電話代行で特に問題になりやすいのは次の3つです。
- ソーシャルエンジニアリング:なりすましで担当者情報・内部情報を引き出される
- 情報の二次利用・持ち出し:オペレーター端末、メモ、録音データの取り扱い不備
- 委託先起点の事故:再委託や運用差により、発注側の想定外の経路で漏えいする
つまり「オフィスの物理警備」だけでなく、権限・ログ・暗号化・委託先管理をセットで設計する必要があります。
委託先管理の最新ポイント
個人情報保護の観点では、委託先に任せて終わりではなく、委託元としての監督が重要です。個人情報保護委員会のガイドライン(通則編)も、適正な取扱い確保のための具体的指針として位置づけられています。
1
契約で必ず決めるべき項目
- 取扱範囲:どの情報を、どの目的で、どのシステムに入れるか
- 再委託:可否、条件、事前承認、再委託先への同等義務
- 安全管理措置:技術・組織・人的・物理の最低要件
- 事故時対応:検知〜一次報告の期限、調査協力、再発防止の提出
監査・レビュー(TPRM)の実務
- 年1回など定期で、権限棚卸し・ログ確認・教育記録の提出を求める
- 仕様変更(録音開始、在宅化、CRM連携追加)時は再評価する
※個人情報保護委員会では、いわゆる「3年ごと見直し」に関する検討も進められており、委託先管理は強化方向で見ておくのが安全です。2
技術対策の必須要件(“最新”の見取り図)
認証・権限:ゼロトラスト前提で設計
- MFA必須、特権IDの分離、最小権限(Least Privilege)
- 端末・IP・場所の条件付きアクセス(不審アクセスを遮断)
- 共有ID禁止、操作ログの保存(監査性)
通話録音・文字起こし:暗号化とアクセス制御が最優先
通話録音を使う場合、保存データの暗号化とアクセス制御はセットです。3
加えて、以下を要件化すると事故が減ります。
- 参照権限(誰が聴けるか)とエクスポート制限
- 保管期間と自動削除(“溜め続けない”)
- 重要情報のマスキング/閲覧時のウォーターマーク
端末・作業環境:在宅運用を前提に固める
在宅オペレーターを含む運用では、BCP面の利点がある一方、セキュリティが最大課題になりやすいと整理されています。4
発注側は「在宅可否」ではなく、次を確認するのが現実的です。
- 会社管理端末(MDM/EDR)・私物端末禁止
- VDI/画面転送、コピー&ペースト制御、印刷禁止
- 作業スペースのルール(覗き見防止、メモ廃棄、録音機器禁止)
認証・第三者評価の見方(“取っているか”より“何を担保するか”)
ISMS(ISO/IEC 27001)をどう評価するか
ISMSは情報資産を守る枠組みですが、規格改訂対応も重要です。ISO/IEC 27001:2022への移行期限が2025年10月31日と案内されており、既存取得企業でも移行対応が論点になります。5
提案・RFPでは「取得有無」だけでなく、適用範囲(拠点/部門/業務)と「2022版への移行状況」を確認すると精度が上がります。
追加で確認したいもの
- 個人情報系(例:Pマーク)
- 監査報告(SOC系など)や外部監査の有無
※ただし、認証は万能ではないため、運用(権限/ログ/教育/削除)の実態確認が本丸です。
発注側チェックリスト(最低限これだけ)
- MFA必須、権限棚卸し、操作ログ保存
- 録音/文字起こしの暗号化・保管期間・削除が明確
- 再委託ルールと委託先監督(定期レビュー)が契約で担保
- 在宅運用の場合、端末管理(MDM/EDR)と作業環境ルールがある
- 事故時の一次報告SLAと連絡経路が決まっている
まとめ
電話代行サービスのセキュリティ対策は、「委託先管理」×「通話データ保護」×「在宅/クラウド前提の運用統制」で考えるのが最新のセオリーです。
認証の有無だけで判断せず、権限・ログ・暗号化・削除・再委託・監査までを要件化できれば、電話対応を外部化しながらも、情報リスクを定量管理できる体制に近づけます。