扶桑電通株式会社
近年、顧客対応の効率化や品質向上に不可欠なCTIシステム(Computer Telephony Integration)の導入が進んでいます。
特にクラウド型CTIは、迅速な導入やコストメリットから、日本の中小企業を含む幅広い企業で注目されています。
しかし、電話とPCを連携させ、顧客の個人情報や通話履歴といった機密情報を扱うCTIシステムにおいて、情報セキュリティの確保は非常に重要です。
万が一、情報漏えいなどのセキュリティ事故が発生すれば、企業の信頼失墜や事業継続に大きな影響を及ぼしかねません。
そこで、この記事では、安全なCTI運用のために企業が認識すべきセキュリティリスク、そしてそれらに対処するための具体的な対策、特にシステムの選定時に確認すべきセキュリティ要件についてご紹介いたします。
CTIシステムとは、Computer Telephony Integrationの略で、コンピューター(PCやサーバー)と電話システムを連携させる技術およびシステムのことです。
電話の着信時に、顧客情報や過去の対応履歴をPC画面に自動でポップアップ表示させる機能などが代表的で、コールセンターやインサイドセールス部門の業務効率化に不可欠なシステムとなっています。
CTIシステムは、主にシステムの設置形態によって「クラウド型」と「オンプレミス型」に分けられます。
クラウド型とは、ベンダーが提供するサーバーやシステムをインターネット経由で利用する形態です。
初期費用を抑えられ、短期間での導入が可能な点がクラウド型のメリットです。
また、システムのメンテナンスやセキュリティ対策の多くはベンダー側が担うため、自社の運用負担を軽減できます。
サーバーやインフラ部分のセキュリティはベンダーが担当しますが、アカウント管理やアクセス制限といった設定・運用面の責任はユーザー企業側にあります。
オンプレミス型とは、自社の施設内に専用のサーバーや機器を設置・構築し、運用する形態です。
既存の社内システムとの連携が容易で、業務に合わせた柔軟なカスタマイズが可能な点がオンプレミス型のメリットです。
データを自社ネットワーク内で完結して管理できるため、セキュリティ要件が厳しい企業や業種で採用されるケースが多くあります。
システムの導入から運用、保守、そして全てのセキュリティ対策を自社で一貫して行うことになります。
このため、高度な専門知識と人的リソースが必要ですが、その分、強固なセキュリティ環境を構築できます。
オンプレミス型のCTIについては、以下の記事もご覧ください。
CTIシステムを導入することで、電話業務の効率化に留まらず、企業の競争力強化に直結する、さまざまなメリットが期待できます。
着信と同時に顧客情報がポップアップ表示されるため、オペレーターは瞬時に相手を特定できます。
この結果、「お名前と会員番号を教えてください」といった顧客に負担をかけるやり取りを省略でき、課題解決までの時間を短縮し、パーソナライズされたスムーズな応対が可能となります。
これがひいては、顧客満足度の向上につながります。
CTIシステムのIVR(自動音声応答)機能やACD(着信呼自動分配)機能により、電話を適切な担当者に自動で振り分けたり、通話前の一次対応を自動化したりできます。
また、アウトバウンド業務においては、クリックトゥコール(PC画面からワンクリックで発信)機能により、手動ダイヤルミスをなくし、業務効率化を実現できます。
全通話録音機能により、全ての通話内容をデータとして保存できます。
このデータをもとに、新人オペレーターのOJT(On-the-Job Training)を実施したり、ベテランの対応を分析して応対品質の標準化を図ったりすることも可能です。
また、管理者はリアルタイムモニタリング機能で通話状況を把握し、必要なタイミングでオペレーターをサポートできます。
CTIでは、通話履歴、応対時間、着信理由などのデータをデジタルで蓄積できます。
これらのデータを分析することで、「どの時間帯に」「どのような問い合わせが多いか」といった傾向を客観的に把握でき、人員配置の最適化や、製品・サービスの改善、効果的なマーケティング施策の立案に役立てることが可能です。
CTIシステムが顧客の氏名、電話番号、購買履歴といった機密情報を扱う以上、万全なセキュリティ対策は企業にとっての生命線となります。
特に、以下のチェックリストを参考に、CTIシステムのセキュリティ機能と、ベンダーの体制を確認しましょう。
情報漏えいを防ぐためには、通信とデータの暗号化が最も基本的な対策となります。
オペレーターのPCとCTIサーバー間、またはユーザーとクラウドCTIサービス間の通信経路が、SSL(Secure Sockets Layer)/TLS(Transport Layer Security)によって暗号化されているかを確認しましょう。
暗号化されていないと、通信内容(顧客情報やパスワードなど)が第三者に盗聴されるリスクが高まります。
通話録音データや顧客情報データベースなど、サーバーやストレージに保存されているデータ自体も暗号化する必要があります。
万が一、サーバーが物理的に盗難されたり、不正アクセスでデータファイルが持ち出されたりしても、内容を読み取れないように対策しましょう。
外部からのサイバー攻撃を防ぐための守りの仕組みも整える必要があります。
不正な通信を遮断し、許可された通信のみを通過させるために、ファイアウォールが必要です。
クラウド型の場合はベンダーのデータセンターで、オンプレミス型の場合は自社ネットワークで適切に設定・運用されているか確認しましょう。
IPS(Intrusion Prevention System)とは、ファイアウォールを通過した通信に対しても、その内容を検閲し、既知の攻撃パターン(シグネチャ)に合致する不正な通信を検知・即座に遮断するシステムのことです。
多層防御の観点から、CTIシステムのセキュリティを、より強固なものにします。
CTIシステムが障害などによって停止することなく、常に利用可能な状態を維持できるようにしたり、万が一、データが失われてしまったりした際に「データを復旧させる」ことも重要です。
システムが停止しないよう、サーバーやネットワーク機器を複数台用意し、片方に障害が発生しても自動で別の機器に切り替わる(冗長化)体制が必要です。
このようにして、システムの可用性(止まらないこと)を確保し、事業継続性を高めます。
顧客情報や通話録音などの重要データについて、定期的なバックアップが確実に行われているか、また障害発生時にどれだけの時間でデータを復旧できるか(RTO:目標復旧時間)を確認することも重要です。
ウイルス・マルウェア対策としては、CTIシステムにおけるウイルス対策ソフトウェアの導入状況の確認が重要です。
CTIシステムを構成するサーバーやクライアントPCにおいて、最新のウイルス対策ソフトウェアが導入され、定期的なスキャンが実施されているかを確認しましょう。
クラウド型の場合は、ベンダーが利用するインフラ環境での対策状況を確認します。
利用者のなりすましや不正なアクセスを排除するための対策も重要です。
IDとパスワードだけでなく、スマートフォンへの通知やワンタイムパスワードなど、複数の要素を組み合わせて認証を行う多要素認証(MFA)に対応しているか、また、社内ネットワークや特定のVPN接続元からのみアクセスを許可するIPアドレス制限が設定できるかをチェックしましょう。
オペレーター、管理者、開発者など、役割に応じてシステムへのアクセス権限を細かく設定できるかも確認します。
「必要な人間に、必要な情報への、最小限の権限のみ」を与える最小権限の原則を徹底することが、内部不正や誤操作による情報漏えいリスクの低減につながります。
パスワードの長さ、使用期限、過去のパスワードの再利用制限など、CTIシステムのセキュリティを保つための厳格なパスワードポリシーが設定・強制できる機能が必要です。
SSO(Single Sign-On)に対応していれば、複数のシステムで共通の認証基盤を利用でき、ユーザーはパスワードを複数覚える必要がなくなります。
このようにして、パスワードの使い回しや脆弱なパスワード設定のリスクを軽減できます。
万が一、不正が発生した際には早期発見できるよう、ログの取得と監視を行う必要があります。
不正行為があった際の追跡や、監査対応のために、「誰が」「いつ」「どのデータに」「どのような操作を行ったか」を記録する操作ログやアクセスログの管理や確認が不可欠です。
CTIシステムにおいて、操作ログ・アクセスログが詳細に取得できること、管理者が確認できることをチェックしましょう。
ログの保管期間が、自社のコンプライアンスや業界の基準を満たしているか(最低1年間など)を確認しましょう。
また、万が一のセキュリティインシデント発生時に、ベンダーがログを使った監査に協力してくれる体制(監査体制)かどうかもチェックする必要があります。
どんなに強固なシステムセキュリティを導入しても、最終的にシステムを操作するのは「人」です。
このため、ヒューマンエラーも情報漏えいの大きな原因となります。
従業員一人ひとりのセキュリティ意識を高め、ルールを徹底することが、CTIシステムの情報セキュリティを維持する上で欠かせません。
CTIシステムの運用、データの取り扱い、アクセス制限に関する明確なセキュリティポリシーを策定し、全従業員に周知・徹底しましょう。
特に、顧客情報の取り扱いに関するルールや、社外秘情報の定義などを明確化することが重要です。
セキュリティポリシーを策定するだけでなく、従業員がそれを遵守するための定期的な教育を実施す必要があります。
具体的には、以下の内容を盛り込むことで、インシデントの発生予防と早期対応能力の向上を図ります。
「CallKeeperDX」は、電話業務のDX化をオールインワンで推進するCTIソリューションです。
特に、高いセキュリティ要件を持つ企業様が、自社のセキュリティポリシーを活かしつつ強固な電話業務基盤を構築できる点で優れています。
また、既存の電話設備を活用しながら低コスト・短納期で導入可能で、通話録音、IVR(自動音声応答)、着信ポップアップといった多彩な機能を一台でご利用いただけます。
CallKeeperDXの特長として、オンプレミスでの提供となり、データの管理やネットワークセキュリティを自社の厳格な基準の下で実現したい企業様にも安心してご利用いただけます。
CallKeeperDXは、CRM(顧客管理システム)やSFA(営業支援システム)と連携し、着信時の顧客情報ポップアップ表示機能が可能です。
オペレーターは電話が鳴る前に顧客情報を把握できるため、よりスムーズでパーソナライズされた対応が可能となり、「CTIシステムのメリット」でお伝えした「顧客満足度の向上」を最大限に引き出すことができます。
CallKeeperDXは、多機能でありながら、現場のオペレーターや管理者が直感的に操作できるシンプルなUI(ユーザーインターフェース)を備えています。
このため、導入後の教育コストを抑えて現場の負担を軽減しつつ、スムーズに定着させることが可能です。
また、24時間365日対応のサポート体制で、万が一の障害発生時にも万全のサポートを受けられます。
CallKeeperDXのサービスページはこちら
CTIシステムは、企業の電話応対における効率化、応対品質の向上、そして顧客データという貴重な資産を築くために不可欠です。
しかし、これらのメリットを享受するためには、CTIシステムのセキュリティを確保することが大前提となります。
このため、導入時は、コストだけでなく、「通信の暗号化」「厳格なアクセス制御」「サービスの冗長化」といったセキュリティ要件が自社の基準を満たしているかを、確認することが重要です。
本記事でご紹介したチェックリストを参考に、高いセキュリティ基準を誇るCTIシステムを選び、安全で効率的な電話業務DXを実現してください。
扶桑電通株式会社 ビジネス推進本部
企画部 パッケージ推進課 チーフ
1982年生まれ 香川県出身。2010年扶桑電通株式会社入社。同社関西支店にて運送、製造業界を担当する営業としてお客様の業務課題の解決に向けたICTの導入を数多く経験。
その後2020年に現在のマーケティング職に異動し、お客様の電話を使った業務やカスタマーサポートのプロセスの最適化や効率化、利便性向上等電話業務全般に関わるコンサルティングに従事。日々お客様の電話業務にまつわる課題解決に取組んでいる。