Salesforce Privacy Centerとは?Agentforceで個人情報対応・GDPR/CCPA運用をどう自動化するか
個人情報対応やプライバシー管理は、法務や情シスだけで完結しにくい業務です。顧客データはSalesforceの取引先、取引先責任者、ケース、活動履歴、添付ファイル、外部連携先に広がり、GDPRやCCPAのような規制対応では「どこに何の個人情報があるか」「どの保持ルールを当てるか」「削除依頼にどう対応するか」を説明できなければなりません。
Salesforce Privacy Centerは、こうした個人情報対応をSalesforce上で管理するための機能群です。2026年6月23日にSalesforceは、Agentforce in Privacy Centerの一般提供を発表し、Privacy Center上でAIエージェントがリスク検知、優先順位付け、是正案作成を支援できると説明しました。
結論として、Agentforce in Privacy Centerは、プライバシー対応を「監査前にスプレッドシートで慌てて確認する運用」から、「日常的にリスクを検知し、対応候補を作り、人が承認して証跡を残す運用」へ移すための機能です。ただし、AIエージェントに任せてよいのは主に検知、分類、優先順位付け、是正案の下書きです。顧客対応、削除実行、保持ルールの最終判断、監査証跡の確定は人の承認点を残すべきです。
本記事のポイント
- Agentforce in Privacy Centerは、個人情報対応をスプレッドシート管理からリスク検知、優先順位付け、是正案作成へ移す動きです。
- GDPRやCCPAのような規制対応では、保持ルール、PII所在、削除依頼、例外承認を分けて設計する必要があります。
- AIエージェントに任せる範囲は検知と下書きまでに絞り、最終判断、顧客対応、監査証跡の確定は人が残す方が安全です。
この記事で扱うテーマ
関連キーワード
- Salesforce Privacy Center とは
- Agentforce Privacy Center
- Agentforce in Privacy Center
- Salesforce 個人情報管理
- Salesforce GDPR 対応
- Salesforce CCPA 対応
- Privacy Center AI 自動化
- Salesforce プライバシー管理
このページで答える質問
- Salesforce Privacy Centerとは何ですか?
- Agentforce in Privacy Centerで何を自動化できますか?
- GDPRやCCPA対応でAIエージェントに任せてよい範囲はどこまでですか?
- Privacy Centerを導入する前に確認すべき運用項目は何ですか?
Salesforce Privacy Centerとは何か
Salesforce Privacy Centerとは、Salesforce内の顧客データについて、個人情報の分類、保持ルール、削除や匿名化、規制対応の運用を支援するための機能群です。単に「個人情報を守る設定」ではなく、データライフサイクル全体を管理するための運用基盤として見る方が実務に合います。
個人情報対応で難しいのは、規制名を知っていることではありません。実際には、どのオブジェクトや項目にPIIがあり、どの保持期間を適用し、削除依頼やRight to be Forgottenのような権利行使へどう対応し、実行結果をどこに残すかを決める必要があります。
Salesforceを営業、CS、マーケティングの共通基盤として使っている会社では、プライバシー管理はCRM運用の一部です。顧客対応履歴、商談メモ、問い合わせ内容、添付ファイル、外部連携先が増えるほど、個人情報の所在は見えにくくなります。CRM全体のAI活用は Agentforce 360、画面外からの接続面は Salesforce Headless 360 とあわせて見ると、Privacy Centerの位置づけを理解しやすくなります。
| 論点 | Privacy Centerで見たいこと | 実務上の意味 |
|---|---|---|
| 個人情報の所在 | どのオブジェクトや項目にPIIがあるか | 削除、匿名化、保持ルールの対象を決める |
| 保持ルール | 規制や社内方針ごとの保持期間 | 残しすぎ、消しすぎの両方を避ける |
| 権利行使対応 | 削除依頼、開示請求、RTBFなど | 顧客からの依頼に期限内で対応する |
| 是正作業 | リスクの優先順位と対応案 | 対応漏れを減らし、担当者の判断を助ける |
| 証跡 | 誰が何を確認し、何を実行したか | 監査や社内レビューで説明できる状態にする |
Agentforce in Privacy Centerで何が変わるか
Salesforceの発表では、Agentforce in Privacy Centerは、Salesforce tenant metadata、data privacy policies、system contextを見ながら、GDPRなどの規制フレームワークに照らしてリスクを検知し、重要度を付け、是正案作成を支援すると説明されています。Privacy Center顧客向けに一般提供され、追加費用なしで有効化できるとも案内されています。
ここで重要なのは、AIエージェントが「法務判断を代替する」わけではない点です。価値が出るのは、手作業で探していたリスク候補を早く見つけ、どこから対応すべきかを並べ、担当者が確認できる形で是正案を作る部分です。
| 機能 | AIエージェントが支援しやすいこと | 人が残すべき判断 |
|---|---|---|
| リスク検知 | PII露出やポリシー違反の候補を抽出する | 本当に違反か、業務上の例外かを判断する |
| 優先順位付け | 規制や事業影響を踏まえて対応順を並べる | 顧客影響、契約条件、社内リスク許容度を加味する |
| 是正案作成 | 保持ルール、再分類、削除対応の候補を出す | 実行可否、通知要否、承認者を確定する |
| 運用ナビゲーション | 設定や確認手順の迷いを減らす | 最終的な社内ルールとの整合を確認する |
言い換えると、Agentforce in Privacy Centerは、コンプライアンス担当者の作業をなくす機能ではなく、担当者が判断に集中できるように下調べ、候補整理、対応案作成を前倒しする機能です。この見方を外すと、「AIが自動で規制対応してくれる」という過剰期待になりやすくなります。
GDPRやCCPA対応で見るべき運用設計
GDPRやCCPAのような規制対応では、規制名ごとのチェックリストを作るだけでは運用に乗りません。CRM内の実データ、社内の保持方針、顧客からの依頼、外部連携の実態に落とす必要があります。
まず確認すべきなのは、どの顧客データが正本なのかです。Salesforceが正本なら、削除や匿名化の判断はSalesforceだけでなく、MA、サポートツール、データウェアハウス、スプレッドシート出力にも波及します。ここを切り分けずにPrivacy Centerだけを設定すると、CRM上は整っていても周辺ツールに古いデータが残ることがあります。
- 対象データを決める: 取引先責任者、リード、ケース、活動履歴、添付ファイル、外部連携先を棚卸しする。
- 規制と社内方針を分ける: GDPR、CCPA、業界規制、契約条件、社内保持方針を混ぜずに整理する。
- 保持ルールを定義する: 何年残すか、どの条件で匿名化するか、例外承認は誰が持つかを決める。
- 削除依頼の流れを固定する: 受付、本人確認、対象データ抽出、実行、顧客通知、証跡保存を分ける。
- 監査証跡を残す: AIが検知した候補、人が承認した内容、実行結果、差し戻し理由を追えるようにする。
特にRTBFや削除依頼では、早く消すことだけが正解ではありません。契約、会計、法的保全、監査上の保持義務が残るケースもあります。AIエージェントには「候補抽出」と「判断材料の整理」を任せ、削除実行は承認フローに載せる方が安全です。
導入前に確認したい5つのチェック項目
Privacy CenterやAgentforceを検討するときは、機能の有無より先に、運用責任とデータ境界を確認する必要があります。特にSalesforceを複数部門で使っている会社では、法務、情シス、営業、CS、マーケティングの役割分担が曖昧なまま導入すると、検知されたリスクが放置されやすくなります。
| 確認項目 | 見る理由 | 最低限の決め方 |
|---|---|---|
| データ正本 | 削除や保持の対象がぶれないようにするため | Salesforce、MA、DWH、Sheetsの役割を分ける |
| PII分類 | どの項目が個人情報かをAI任せにしないため | 標準項目、カスタム項目、自由記述欄を棚卸しする |
| 承認フロー | AIの是正案をそのまま実行しないため | 検知、一次確認、実行承認、記録担当を分ける |
| 例外管理 | 法務保持や契約上の保持義務を扱うため | 削除不可、保留、部分匿名化の条件を決める |
| 監査ログ | 後から説明できる状態にするため | 検知理由、承認者、実行日、差し戻し理由を残す |
このチェックは、AIエージェント ガバナンス や AI監査証跡設計 と同じ考え方です。AI機能を有効化する前に、権限、承認、ログ、例外処理を固定しておくほど、本番運用での手戻りを減らせます。
どの会社に向くか
Agentforce in Privacy Centerが向くのは、Salesforce上に顧客データが集まり、個人情報対応の確認作業がすでに重くなっている会社です。特に、複数部門がSalesforceを使い、顧客情報がカスタム項目や自由記述欄にも広がっている場合は、手作業だけでリスクを見つけ続けるのが難しくなります。
一方で、Salesforceの入力項目が整理されていない、重複データが多い、削除依頼の社内フローが決まっていない会社では、Privacy Centerの前にCRMデータ管理を直す方が効果的です。AIエージェントは、壊れたデータ管理を自動で治すものではありません。検知や候補作成はできますが、正本データや責任者が曖昧なままだと、対応判断が止まります。
| 会社の状態 | 導入判断 | 先にやること |
|---|---|---|
| Salesforceが顧客データの正本になっている | 検討価値が高い | PII分類と保持ルールを整理する |
| GDPR/CCPAなど海外規制対応が必要 | 優先度が上がる | 対象地域、規制、権利行使対応を棚卸しする |
| 削除依頼や監査前確認が手作業中心 | 効果が出やすい | 現在の作業手順を可視化する |
| CRMデータが重複し、項目定義も曖昧 | 先に整備が必要 | 名寄せ、項目整理、入力ルールを見直す |
Salesforceに限らず、Google WorkspaceやHubSpotなど複数SaaSに顧客データが分散している会社では、Google Workspace AIガバナンスチェックリスト のような横断的なデータ管理観点も必要になります。Salesforce内だけを整えても、DriveやSheetsに同じ個人情報が残っていれば、実務上のリスクは残ります。
参照元
本記事は、Salesforce Blogの2026年6月23日付記事「Automate Manual Compliance Processes with Agentforce in Privacy Center」と、SalesforceのPrivacy Center公開情報をもとに、CRM運用、個人情報管理、AIエージェント統制の観点で整理しています。
よくある質問
Salesforce Privacy Centerとは何ですか?
Salesforce上の顧客データについて、個人情報の所在、保持ルール、削除や匿名化、規制対応の運用を管理するための機能群です。単なるセキュリティ設定ではなく、データライフサイクルを扱う運用基盤として見る方が実務的です。
Agentforce in Privacy Centerでは何ができますか?
Salesforceの発表では、AIエージェントがメタデータ、プライバシーポリシー、規制フレームワークをもとに、リスク検知、優先順位付け、是正案作成を支援すると説明されています。判断そのものを無人化する機能ではありません。
GDPRやCCPA対応をAIに任せてもよいですか?
検知、分類、候補整理、是正案の下書きは任せやすい領域です。一方で、削除実行、顧客通知、例外承認、法務判断、監査証跡の確定は人の承認を残すべきです。
Privacy Centerを使えばスプレッドシート管理は不要になりますか?
最終的には減らせますが、最初は現状のスプレッドシートや手作業を棚卸しし、どの作業をPrivacy Centerへ移すかを決める必要があります。いきなり全作業を移すより、削除依頼、保持ルール、PII分類など対象を分ける方が安全です。
Salesforceのデータが整理されていない会社でも効果はありますか?
効果は限定的です。重複データ、曖昧なカスタム項目、古い自由記述欄が多い場合は、Privacy Center導入前にCRMデータの正本、項目定義、入力ルールを整える方が先です。
関連ページと関連記事
SalesforceのAI活用、権限設計、監査証跡まであわせて確認すると、Privacy Centerの導入判断がしやすくなります。
- Agentforce 360とは?:SalesforceがAI CRMへ進む全体像を確認できます。
- Salesforce Headless 360とは?:AIエージェントがSalesforceを呼び出す接続面を整理できます。
- AIエージェント ガバナンスとは?:権限、監査ログ、承認フローの設計を深掘りできます。
- AI監査証跡の残し方:誰が何をしたかを説明できる記録設計を確認できます。
- Google Workspace AIガバナンスチェックリスト:Salesforce外に広がる顧客データ管理の観点を補えます。
Salesforceの個人情報対応を整理したい場合
Privacy CenterやAgentforceを検討する前に、Salesforce内のPII分類、削除依頼フロー、保持ルール、承認点、Google Workspaceや周辺SaaSとのデータ境界を整理しておくと、導入後の手戻りを減らせます。
