機密性の高い顧客との会話を処理する場合、セキュリティは単なるチェックボックスではありません。それはあなたとあなたの顧客との間の信頼の基盤です。1回のデータ侵害で、長年の関係構築が無駄になる可能性があります。
堅牢なセキュリティおよびコンプライアンス機能を備えたカスタマーサービスプラットフォームを選択することが重要です。Zendeskはエンタープライズグレードのソリューションとしての地位を確立していますが、それはあなたのセキュリティ体制にとって実際に何を意味するのでしょうか?Zendeskが提供するもの、優れている点、および決定を下す前に知っておくべきことを分析してみましょう。
Zendeskのセキュリティに対するアプローチとは?
Zendeskは責任共有モデルに基づいて運営されています。彼らはプラットフォームのセキュリティ、インフラストラクチャの保護、およびコンプライアンス認証を処理します。あなたはユーザーアクセス、データ分類、およびアカウント内のセキュリティ設定の構成を処理します。
この分業はSaaS(Software as a Service)では標準的ですが、Zendeskは第三者による検証の取得に多大な投資を行ってきました。彼らのトラストセンターは、セキュリティドキュメント、認証、およびコンプライアンスリソースの中心的なハブとして機能します。11万社以上の企業がZendeskを使用しており、Fortune 100およびFortune 500の組織も含まれており、大規模な実世界の検証を提供しています。
同社は「プライバシー・バイ・デザイン」を重視しており、セキュリティに関する考慮事項は後付けとして追加されるのではなく、最初から機能に組み込まれています。これは、暗号化のデフォルト、アクセス制御、およびデータ処理の慣行に現れています。
Zendeskのセキュリティ認証とコンプライアンスフレームワーク
Zendeskは、カスタマーサービス業界で最も包括的な認証ポートフォリオの1つを維持しています。彼らが達成したことは次のとおりです。
コアセキュリティ認証
| 認証 | 意味 |
|---|---|
| SOC 2 Type II | セキュリティコントロールを検証する年次監査。NDA(秘密保持契約)に基づいてレポートを入手可能 |
| ISO 27001:2022 | 情報セキュリティマネジメントシステム認証 |
| ISO 27018:2019 | クラウドプライバシー保護規格 |
| ISO 27701:2019 | プライバシー情報管理認証 |
| ISO 27017:2015 | クラウド固有のセキュリティコントロール |
| ISO 42001 | AI管理システム(Zendeskは最初に認証されたCXプロバイダーの1つ) |
| FedRAMP LI-SaaS | 低インパクトの政府機関での使用が許可されています |
| Cyber Essentials Plus | 英国政府が支援するサイバーセキュリティ検証 |
| CSA STAR AI Levels 1 & 2 | このクラウドセキュリティおよびAIガバナンスの認識を最初に達成した業界 |
業界および地域のコンプライアンス
セキュリティ認証に加えて、Zendeskは主要な規制フレームワークをサポートしています。
- HIPAA(医療保険の携行性と責任に関する法律): 医療機関向けのビジネスアソシエイト契約を通じて利用可能
- PCI-DSS(ペイメントカード業界データセキュリティ基準): 自動編集ツールによるクレジットカードデータ保護
- GDPR(一般データ保護規則): 拘束力のある企業規則が承認されました(Zendeskはアイルランドのデータ保護委員によって承認された2番目の企業でした)
- CCPA/CPRA(カリフォルニア州消費者プライバシー法/カリフォルニア州プライバシー権利法): カリフォルニア州のプライバシー法コンプライアンス
- HDS(ヘルスデータホスティング): フランスのヘルスデータホスティング認証
- 地域の法律: オーストラリアのプライバシー法、ブラジルのLGPD、カナダのPIPEDA、シンガポールのPDPA、英国のGDPR
この幅広さは、複数の管轄区域で事業を展開している場合に重要です。地域ごとに別々のプラットフォームは必要ありません。
Zendeskのデータ保護および暗号化機能
標準セキュリティ(すべてのプランに含まれています)
すべてのZendeskプランには、基本的なセキュリティ対策が含まれています。
- 保存時の暗号化: AWSインフラストラクチャを介したAES-256暗号化
- 転送中の暗号化: すべての通信にTLS 1.2+
- ロールベースのアクセス制御: さまざまなユーザータイプに対するきめ細かい権限
- 二要素認証: SMSまたは認証アプリのサポート
- シングルサインオン: SAMLおよびOIDC統合
- IP制限: 特定のアドレス範囲へのアクセスを制限
- 構成可能なパスワードポリシー: 低、中、または高のセキュリティレベル
Advanced Data Privacy and Protection(ADPP)アドオン
より厳格な要件を持つ組織向けに、ZendeskはADPPアドオンを月額1エージェントあたり50ドル(年払い)で提供しています。これにより、以下が利用可能になります。
- BYOK暗号化: AWS KMS、Azure Key Vault、またはGoogle Cloudを介して独自のキーを持ち込む
- アクセスログ: 誰がいつ、どこからどのデータを表示したかを追跡(90日間の保持)
- 高度なデータ保持: 条件付き削除スケジュールによるカスタムポリシー
- AI搭載の編集: PII削除のための自動検出と提案
- データマスキング: 機密フィールドに対するロールベースの可視性制御
- クレジットカードの自動編集: PCIコンプライアンスの自動化
出典:Zendeskの価格
機密性の高い個人情報を処理する場合、規制対象の業界で事業を展開している場合、またはコンプライアンスレポートの監査証跡が必要な場合は、ADPPアドオンを検討する価値があります。Zendeskのデータプライバシーと保護機能の詳細をご覧ください。
医療機関向けのZendesk HIPAAコンプライアンス
医療機関は、HIPAAの下で特定の要件があります。Zendeskは、ProfessionalおよびEnterpriseプランで利用可能なAdvanced Complianceアドオンを通じて、これらをサポートしています。
HIPAA対応アカウントの要件
- プラン要件: Suite ProfessionalまたはEnterprise(またはAdvanced Complianceアドオン)
- ビジネスアソシエイト契約: zendesk.com/company/business-associate-agreementでDocuSignを介してBAAを実行
- セキュリティ構成: PHI保護のために推奨される設定を有効にする
BAAに基づく対象サービス
| サービス | HIPAAの対象範囲 |
|---|---|
| Support(チケット) | 対象 |
| Guide(ヘルプセンター) | 対象 |
| Chatおよびメッセージング | 対象 |
| Talk(音声) | 対象(テキストを除く) |
| Explore(分析) | 対象 |
対象外
- Early Access Programs(EAP)
- Zendesk Marketplaceアプリによって構築されたもの
- サードパーティの統合
- Sunshine Conversationsスタンドアロン
出典:Zendesk Advanced Complianceドキュメント
医療機関にいる場合は、実装前に、特定のユースケースと統合がBAAの対象範囲内にあることを確認してください。
ZendeskにおけるAIガバナンスとデータプライバシー
Zendeskは、AI搭載のカスタマーサービス機能を拡張するにつれて、AIセキュリティに対する包括的なアプローチを開発しました。彼らのマルチLLMアーキテクチャは、複数のプロバイダー(OpenAI、Microsoft Azure、Amazon Bedrock、Google Cloud Platform)を使用して、ベンダーロックインを回避し、さまざまなユースケースに最適化します。
主要なAIデータ保護原則
- ゼロデータ保持: OpenAIエンドポイントはゼロ保持を使用します
- 顧客データでのトレーニングなし: あなたのデータは、サードパーティのLLMモデルをトレーニングするために使用されることはありません
- アカウント固有のモデル: あなたのアカウントのデータのみでトレーニングされた機械学習モデル
- RAGテクニック: Retrieval Augmented Generationにより、AIの応答がナレッジベースのコンテンツに基づいていることが保証されます
Zendeskは、AI管理システムのISO 42001認証を取得し、この基準を満たす最初のCXプロバイダーの1つになりました。この認証は、設計と開発から展開と監視までのAIプラクティスを対象としています。
Zendesk管理者向けのセキュリティのベストプラクティス
業界の推奨事項とZendesk自身のガイダンスに基づいて、Zendesk環境を保護するための段階的なアプローチを次に示します。
フェーズ1:基礎評価(1〜2か月目)
- 現在のユーザーロールと権限を監査する
- Zendeskと統合システム間のデータフローをマッピングする
- すべてのサードパーティアプリと統合を文書化する
- 要件に対するコンプライアンスギャップを特定する
フェーズ2:コア強化(2〜4か月目)
- すべてのユーザーに対して多要素認証を有効にする
- 最小特権の原則でロールベースのアクセスを構成する
- 該当する場合はIP制限を設定する
- 安全なパスワードポリシーを実装する
- 包括的な監査ログを有効にする
フェーズ3:高度なコンプライアンス(4〜8か月目)
- 構成変更の自動監視を展開する
- SIEMシステムがある場合は統合する
- リアルタイムのコンプライアンスダッシュボードを設定する
- インシデント対応手順を確立する
フェーズ4:継続的な改善(8か月目以降)
- 定期的な侵入テストをスケジュールする
- 四半期ごとのコンプライアンスギャップ分析を実施する
- 継続的なセキュリティ意識向上トレーニングを提供する
- セキュリティポリシーを確認および更新する
業界の専門家は、プラットフォーム予算の15〜20%をセキュリティインフラストラクチャとコンプライアンス管理に特に割り当てることを推奨しています。
eesel AIがZendeskのセキュリティフレームワークを補完する方法
eesel AIでは、すでに導入されているセキュリティフレームワーク内で動作するようにプラットフォームを構築しました。eesel AIをカスタマーサービスのAIチームメイトとしてチームに招待すると、Zendeskの保護を補完するいくつかのセキュリティ上の利点が得られます。
データ分離は私たちのアプローチの基本です。あなたのデータはあなたのボットのみに役立ち、私たちのモデルをトレーニングしたり、他の顧客と共有したりするために使用されることはありません。SOC 2 Type II認証済みのインフラストラクチャを維持し、特定の地理的要件を持つ組織向けにEUデータ所在地を提供しています。
私たちのチームメイトモデルは、eesel AIが処理するものと、いつ人間にエスカレートするかを制御できることを意味します。これらのルールは、複雑な構成ではなく、わかりやすい英語で定義します。たとえば、「請求に関する紛争は常に人間にエスカレートする」または「VIP顧客の場合は、アカウントマネージャーをCCに入れる」などです。
システムへの無制限のアクセスを必要とする一部のAIソリューションとは異なり、eesel AIは既存のZendesk権限と統合し、すでに確立しているセキュリティ境界を尊重します。私たちは、チケットを自律的に処理するAIエージェント、レビューのために返信を作成するAIコパイロット、またはチケットをルーティングおよびタグ付けするAIトリアージシステムとして動作できます。すべてセキュリティ体制を維持しながら。
AIソリューションを評価しているチームにとって、これは自動化とセキュリティのどちらかを選択する必要がないことを意味します。両方を持つことができます。
適切なZendeskセキュリティ構成の選択
セキュリティのニーズは、業界、規模、および規制環境によって異なります。実用的な内訳を次に示します。
次の場合、標準のZendeskセキュリティで十分です。
- 厳格な規制要件のない中小企業である
- 基本的な暗号化とアクセス制御が必要である
- 顧客データがそれほど機密性が高くない
次の場合、Advanced Complianceアドオンを検討してください。
- 医療機関にいて、HIPAAコンプライアンスが必要である
- ビジネスアソシエイト契約が必要である
- 規制遵守のために特定のセキュリティ構成が必要である
次の場合、ADPPアドオンを検討してください。
- 大量のPIIまたは機密データを処理する
- コンプライアンスのためにBYOK暗号化が必要である
- 詳細なアクセス監査証跡が必要である
- さまざまなプライバシー法を持つ複数の管轄区域で事業を展開している
総コストの考慮事項
| プラン | 基本価格 | ADPP付き | Advanced Compliance付き |
|---|---|---|---|
| Suite Professional | 月額1エージェントあたり115ドル | 月額1エージェントあたり165ドル | 含まれています |
| Suite Enterprise | 月額1エージェントあたり169ドル | 月額1エージェントあたり219ドル | 含まれています |
年間請求は、月額料金と比較して約20%節約できます。
出典:Zendeskの価格
安全なカスタマーサービスの開始
Zendeskは、広範な認証とコンプライアンスオプションを備えた包括的なセキュリティ基盤を構築しました。ほとんどの組織にとって、標準のセキュリティ機能で十分な保護が提供されます。医療や金融などの規制対象の業界にいる場合は、Advanced ComplianceおよびADPPアドオンが重要なギャップを埋めます。
重要なのは、実際の要件を適切な構成に一致させることです。必要がない場合は、エンタープライズグレードのコンプライアンスにお金を払わないでください。ただし、機密性の高い顧客データを処理する場合は、セキュリティをケチらないでください。
安全なZendesk環境にAI機能を追加したい場合は、既存のセキュリティ境界を尊重するAIチームメイトとしてeesel AIがどのように機能するかをご覧ください。eesel AIを無料でお試しいただくか、デモを予約して、自動化と並行してセキュリティをどのように処理するかをご覧ください。
よくある質問
この記事を共有
Article by
Stevia Putri
Stevia Putri is a marketing generalist at eesel AI, where she helps turn powerful AI tools into stories that resonate. She’s driven by curiosity, clarity, and the human side of technology.
