セキュリティチェックで止まらないSaaS提案の準備

この記事で整理すること

SaaS提案では、機能や価格に合意していても、セキュリティ確認で案件が止まることがあります。営業担当から見ると、契約直前にチェックシートが出てきたように見えます。しかし顧客側から見ると、セキュリティ確認は買うために必要な検証タスクです。ここを後工程に残すほど、受注直前の停滞リスクは高まります。

この記事では、SaaS導入時に避けられないセキュリティ確認を、営業がどの段階で論点化し、どこまで答え、どこから専門部門へ渡すべきかを整理します。AE、プリセールス、CS、情シス、法務の責任分界を明確にし、顧客の購買プロセスを前に進める準備を扱います。

IPA の情報セキュリティ10大脅威 2026 では、組織向け脅威としてランサム攻撃、サプライチェーン攻撃、AIの利用をめぐるサイバーリスクが上位に並んでいます。顧客企業がSaaS導入時に確認を厳しくするのは自然です。営業はこれを面倒な手続きではなく、意思決定を支える材料として扱う必要があります。

セキュリティ確認は受注直前の作業ではない

セキュリティ確認が受注直前に出てくる組織では、商談初期に導入プロセスを確認していないことが多くあります。担当者とは機能や効果の話をしている。予算感も合っている。提案書も評価されている。しかし、情シスや法務の確認が始まっていない。この状態で契約直前まで進むと、最後に大きな差し戻しが起きます。

顧客の担当者も、必ずしもセキュリティ確認の詳細を把握しているわけではありません。過去の導入では情シスがどのタイミングで入ったのか、チェックシートがあるのか、契約前にDPAや利用規約の確認が必要なのかを知らない場合もあります。営業が早めに確認しなければ、顧客側でも後回しになります。

営業は、初回商談または提案前の段階で「導入時に情報システム部門や法務部門の確認はありますか」「過去のSaaS導入ではどのような確認が必要でしたか」「セキュリティチェックシートはありますか」と聞くべきです。これだけで、終盤の不確実性は下がります。

よくある失敗はチェックシートを受けてから動くこと

よくある失敗は、顧客からチェックシートが届いてから社内に回すことです。項目数が多く、回答に時間がかかり、開発や情シスや法務に確認が必要になる。営業は急ぎますが、専門部門から見ると突然の依頼です。結果として回答が遅れ、顧客の稟議や契約スケジュールに影響します。

もう一つの失敗は、営業が曖昧に回答してしまうことです。正確に答えられない項目に対して「おそらく対応しています」「一般的には問題ありません」と返すと、後で信頼を失います。セキュリティ確認では、分からないことを無理に答えるより、確認範囲と回答責任を明確にする方が安全です。

営業が持つべき姿勢は、即答することではなく、顧客の確認プロセスを前に進めることです。標準資料で答えられる項目、専門部門の確認が必要な項目、個別契約で調整する項目を分けます。この分解ができると、チェックシート対応は案件を止める作業ではなく、購買を進める作業になります。

初回から確認すべきセキュリティ論点

初回から確認すべき論点は、大きく五つあります。第一に、扱うデータです。個人情報、顧客情報、営業機密、ファイル、音声、議事録、ログなど、どのデータをSaaSに入れるのかを確認します。第二に、保存場所とアクセス権です。誰がアクセスでき、どの範囲で権限管理できるのかが論点になります。

第三に、外部連携です。CRM、SFA、MA、チャット、メール、カレンダー、ID管理、データウェアハウスなどと連携する場合、接続方式や権限範囲が確認されます。第四に、契約と責任範囲です。利用規約、DPA、SLA、サポート範囲、障害時の連絡方法が見られます。

第五に、AI機能です。生成AIを含むSaaSでは、入力データが学習に使われるのか、出力結果の責任はどうなるのか、ログは保存されるのか、管理者が利用制限できるのかが確認されやすくなっています。AI機能を売りにするほど、情報管理の説明は重要になります。

営業が答える項目と専門部門へ渡す項目

営業が答えられる項目は、標準資料に基づく範囲です。利用機能、標準的な権限管理、一般的なデータの流れ、公開済みの認証取得状況、サポート窓口、契約手続きなどです。これらはFAQ化し、営業がすぐに出せるようにしておくべきです。

専門部門へ渡すべき項目は、技術的または法務的な判断を伴うものです。詳細な暗号化方式、脆弱性診断、ログ保管、委託先管理、インシデント対応、個別契約条項、データ処理契約、AI学習利用の制御などです。営業が独断で答えると危険な領域です。

重要なのは、渡し方です。専門部門に「急ぎでお願いします」と丸投げするのではなく、顧客名、案件規模、回答期限、顧客が気にしている背景、該当項目、過去回答の有無を添えて依頼します。これにより、社内の回答品質と速度が上がります。

AI機能を含むSaaSで確認されやすい項目

AI機能を含むSaaSでは、顧客の関心は機能の便利さだけではありません。入力データがモデル学習に使われるのか。顧客ごとのデータが分離されているのか。管理者がAI機能を無効化できるのか。出力内容を人間が確認できるのか。誤出力が業務判断に使われるリスクをどう扱うのか。こうした点が確認されます。

営業は、AI機能を説明するときに「自動化できます」とだけ言うべきではありません。どの業務を補助し、どこから人間が確認し、どの情報は入力しないのかを説明する必要があります。顧客は、便利さとリスクの両方を見ています。

提案資料には、AI機能の利用範囲、データ利用方針、管理者設定、禁止事項、推奨運用を入れるとよいです。特に営業AIや議事録AIでは、録音同意、文字起こしデータ、顧客情報の取り扱いが論点になります。機能価値と同じくらい、運用ルールの説明が重要です。

提案資料とFAQに入れるべき情報

セキュリティ確認を前に進めるには、毎回個別に回答するのではなく、標準資料を整備します。提案資料には、データの流れ、アクセス権、認証、ログ、外部連携、サポート、AI利用方針の概要を入れます。詳細資料として、セキュリティFAQ、チェックシート回答例、利用規約、DPA、管理者向け設定資料を用意します。

営業向けには、顧客から聞かれやすい質問と回答範囲を整理します。「この質問は営業が回答」「この質問はプリセールスへ」「この質問は法務へ」と分けます。境界が明確だと、営業は安心して顧客に向き合えます。

CSや導入支援も巻き込むべきです。導入後に顧客が設定する権限、ログ、運用ルールは、商談中の説明とつながっています。営業が約束した運用がCSで実現できなければ、受注後に問題になります。商談中から導入後の責任者を意識して説明することが必要です。

営業、プリセールス、法務の責任分界

AEは、顧客の確認プロセスを把握し、必要資料を早めに出し、回答期限を管理します。プリセールスは、技術的な質問に答え、顧客のシステム環境や連携要件を確認します。法務は、契約条項、DPA、責任範囲、個別条件を確認します。

営業マネージャーは、セキュリティ確認が案件ステージに反映されているかを見ます。提案済みだがセキュリティ未着手の案件を高確度にしない。契約予定日が近いのに法務確認が未完了ならリスクとして扱う。Forecast にセキュリティ確認状況を入れることが重要です。

RevOpsは、セキュリティ確認の状態をデータ化します。チェックシート受領日、回答期限、専門部門依頼日、未解決項目、法務確認状況など、必要最小限の項目を設計します。これにより、どの案件が終盤で止まりそうかを早めに見つけられます。

明日から使えるチェックリスト

まず、直近のSaaS提案案件を三件選び、セキュリティ確認の状況を確認します。情シスや法務が関与するか。チェックシートはあるか。AI機能や外部連携は論点になりそうか。未確認なら、次回商談で聞く質問を決めます。

次に、営業が即答できる標準FAQを作ります。データの扱い、権限管理、外部連携、AI利用、サポート、契約資料の所在を一枚にまとめます。専門部門に渡す項目も同時に分けます。

最後に、案件レビューでセキュリティ確認状況を見ます。提案済み、見積済み、契約前という営業側ステージだけでなく、顧客が買うための検証が終わっているかを確認します。SaaS営業にとってセキュリティ確認は障害ではありません。顧客が安心して買うための重要な商談設計です。

主な出典

• IPA: 情報セキュリティ10大脅威 2026

編集・監修について

この記事は営業実務ラボ編集部が企画、執筆、編集しています。制作過程で生成AIを構成案作成、草案整理、表現確認に利用する場合がありますが、公開前に編集部が事実関係、出典、表現を確認しています。外部専門家による個別監修が入る場合は、記事内で監修者名または監修有無を明記します。