Intercomが歩んできたセキュリティ資格の歴史 ― 信頼されるSaaSであり続けるための進化 ―

カスタマーサポート領域のSaaSは、顧客との会話データや個人情報を日常的に扱います。
そのため、機能の充実やUI改善と同じくらい、「どのようにデータを守っているか」「第三者の視点から見て信頼できる体制かどうか」は、導入判断に直結する重要な要素です。

一方で、以下のような悩みを抱えている担当者の方も多いのではないでしょうか。
・情シスや法務からセキュリティ要件を求められる
・AIを活用したいが、リスクやガバナンスの説明に自信が持てない
・ツール選定時に“安心材料”をどう説明すればよいかわからない

本記事では、Intercomがどのようにセキュリティ資格やガバナンス体制を強化してきたのかを時系列で整理しながら、SaaS／AIツールを選定する際に、どの観点で確認すべきかという視点もあわせて解説します。

エンタープライズ市場への第一歩

Intercomが最初に大きな節目として公表したのが、SOC 2 Type IIへの準拠です。
SOC 2は、情報セキュリティや可用性、機密性といった領域について、第三者監査人が内部統制の設計および運用を評価する米国の基準です。
特にType IIは、一定期間にわたって統制が継続的に適切に運用されているかを検証します。

この取得は、Intercomがスタートアップ的なフェーズを超え、大規模企業やグローバル企業と本格的に取引できる体制に入ったことを示す転換点でした。
エンタープライズ顧客にとって、SOC 2は「導入検討の土俵に上がるための前提条件」であることも多く、Intercomが市場を広げるうえで不可欠な基盤整備だったと言えます。

このような第三者認証の有無は、情シス・セキュリティ部門の承認プロセスを左右する重要なポイントになります。

「一度きり」ではなく「継続的な管理」へ

SOC 2取得後、Intercomは単発の監査対応にとどまらず、情報セキュリティを組織的・体系的に管理するフェーズへと進みます。
その中核となるのが、ISO/IEC 27001 です。

ISO 27001は、情報セキュリティマネジメントシステム（ISMS）を構築し、リスク評価・対策・監査・改善を継続的に回していくことを求める国際規格です。
これに加えて、クラウド環境における個人データ保護を扱うISO 27018、プライバシー管理を拡張する ISO 27701 などへの対応も進められていきました。

この段階でIntercomのセキュリティは、「ルールを守っている」状態から、変化を前提に管理し続ける仕組みを持つ組織へと進化しています。

SaaSを選定する際は、単発の認証取得だけでなく、「継続的に管理・改善する仕組み」があるかどうかも確認しておくと安心です。

利用規模の拡大に伴う構造的な見直し

ユーザー数と利用データが増える中で、Intercomはユーザーデータの保存構造やアクセス制御についても再設計を進めました。
データの分離、暗号化、権限管理の明確化など、エンタープライズ利用を前提としたアーキテクチャへの移行です。

これは「新しい資格を取得するため」の取り組みではなく、将来的な規制強化や顧客要件の高度化を見据えた土台づくりでした。
結果として、この取り組みが後年のAI関連認証や追加規格へのスムーズな対応にもつながっていきます。

セキュリティは“認証の数”だけでなく、実際のプロダクト設計や運用にどこまで組み込まれているかも重要な判断材料になります。

AI時代におけるガバナンスへの対応

AIエージェント「Fin」をはじめ、プロダクトの中核にAIが組み込まれていく中で、Intercomは新たな課題に直面します。
それは、AIそのものをどのように安全かつ責任ある形で運用しているかを、第三者の視点から説明できるかという点です。

この文脈で取得されたのが、ISO/IEC 42001 です。
ISO 42001は、AIシステムに特化した世界初のマネジメントシステム規格で、透明性、説明責任、リスク管理、人による統制といった要素を含みます。

Intercomがこの認証を取得したことは、「AIを使っている」だけでなく、「AIを適切に管理している」企業であることを示すメッセージとなりました。

AI活用が前提のツールを選定する際は、AIの精度だけでなく、その運用・管理体制まで説明できるかが、社内合意形成の鍵になります。

AIエージェントの安全性を外部から検証する段階へ

同年、Intercomはさらに踏み込み、AIUC-1 Certification を取得します。
AIUC-1は、AIエージェント特有の脅威や誤動作リスクを想定し、第三者による検証と継続的なテストを前提とした新しい認証です。

特筆すべきなのは、Intercomが単なる取得企業にとどまらず、この基準の策定にも関与している点です。
AIエージェントを提供する当事者として、どのような安全基準が現実的かを定義する側に回っていることは、同社の立ち位置を象徴しています。

「どの基準を満たしているか」だけでなく、「その基準づくりにどう関与しているか」も、ベンダーの姿勢を見極める一つの指標になります。

セキュリティ資格は「結果」であり、「姿勢」の表れ

Intercomのセキュリティ資格の歴史を振り返ると、それはチェックリスト的に認証を集めてきた道のりではありません。

事業の成長段階ごとに、以下を考え、その都度、必要な管理体制と第三者評価を積み上げてきた結果だと言えます。
・誰に使われるプロダクトなのか
・どのようなリスクを預かっているのか
・次に問われるのは何か

特にAI時代に入ってからのISO 42001やAIUC-1への対応は、「便利なAI」ではなく「信頼できるAI」を提供するという、Intercomのスタンスを明確に示しています。

SaaSやAIツールを検討する際は、「機能」や「価格」だけでなく、その裏側にあるセキュリティとガバナンスの考え方まで含めて比較することが、結果的に導入後のリスクを減らす近道になります。

自社のセキュリティ要件でIntercomが利用可能か相談する

https://eclect.co.jp/form/contact_fin