MAツールはセキュリティで選ぶべき！関連する法律についても解説

MAツールにおけるセキュリティに関する概要

MAツールのセキュリティは、「ツール自体が脆弱だとリスクが高まる」、「コンプライアンス違反に注意が必要」の2点について理解する必要があります。MAツールでは顧客情報を管理したり、メールアドレスを使用したりします。これらの重要なデータは、MAツールを提供するベンダー側のサーバーに預ける必要があり、セキュリティには十分配慮しなければなりません。ここではMAツールのセキュリティーの概要について詳しく解説します。

ツール自体が脆弱だとリスクが高まる

MAツールのセキュリティは、ツール自体が脆弱だとリスクが高まります。ただし、その安全性はベンダーが講じる対策に依存するため、ユーザー側では安全性を確保しきれないというのが正直なところです。

しかし、検討するMAツールの導入企業数や実績が豊富であれば、セキュリティに関するリスクはある程度低いと考えてよいでしょう。導入前にはセキュリティに関する対策内容について問い合わせるなど、事前に確認できる点はチェックしてみてください。

コンプライアンス違反に注意が必要

コンプライアンスには、「企業が法令を遵守して活動を行う」と「社会的なルールに従って企業活動を行う」の2つの意味があります。MAツールを利用する際は、このコンプライアンスへの違反に注意が必要です。

MAツールでは個人情報などを扱うため、取り扱い次第では法令や社会的ルールに違反するケースがあります。MAツールの導入後に「コンプライアンスの基準に達していなかった」といったことがないよう、MAツールに関連するコンプライアンスの内容については十分に理解しておきましょう。

MAツールに関連するコンプライアンスの内容

MAツールのコンプライアンスには、「個人情報保護法」と「特定電子メール法」の2つの法律が関連します。これらの法律に対するコンプライアンスが遵守できていなければ、大きなトラブルへと発展する可能性も否定できません。ここではMAツールを運用する際に注意すべきコンプライアンスについて解説します。

個人情報保護法とはどんな法律？

個人情報保護法とは、主に個人情報を取り扱う民間事業者の遵守すべき義務等をまとめた法律です。個人情報とは特定の個人を識別できる内容を指し、次のようなものが該当します。

• 氏名
• 性別
• 生年月日
• 個人の身体
• 財産
• 職種
• 肩書など

これらの情報はいずれも個人情報であり、適切な管理が求められます。MAツールによって取得する個人情報は「利用目的の通知と公表」と「プライバシーポリシーへの掲載」の2点について対策する必要があるため、詳しい内容を確認しておきましょう。

個人情報の利用目的の通知と公表

MAツールによって個人情報を取得する際は、利用目的の通知と公表が必要です。通知と公表のいずれも実施しないまま個人情報を利用することは、コンプライアンス違反に該当します。

営業やマーケティング活動を目的としたメール配信などを行う場合は、情報提供に承諾する旨をあらかじめ通知したり、Webサイトに情報の利用目的を具体的に掲載したりしなければなりません。ただし、利用目的などを限定し過ぎると、取得した情報を活用できなくなる可能性もあるため、記載内容には十分に注意しましょう。

プライバシーポリシーへの掲載

Web上の行動を解析する機能を利用する場合、サイトを訪問したユーザーのデータを一時的に記録するクッキーに関して、次の2点をプライバシーポリシーに掲載しましょう。

• クッキーの取得によって収集した行動履歴と個人情報を関連付けるケースがある
• サービス向上や広告配信、宣伝活動を目的に取得したクッキーを利用するケースがある

MAツールでは、収集した個人情報とクッキーとを関連付けて特定の個人を識別するため、クッキーも個人情報の1つとして扱います。自社サイトに記載している「プライバシーポリシー」を見直し、Webサイトの利用案内ページなどに「クッキーの取り扱いに関して」といった条項を設け、分かりやすい場所に必ず記載しておきましょう。

特定電子メール法とはどんな法律？

特定電子メール法とは、短時間で無差別かつ大量に送信する「迷惑メール」の規制を目的とし、良好なインターネット環境を保つために施行された法律です。MAツールを利用してメールを送付する場合、この特定電子メール法についても注意しなければなりません。

セミナー案内やフォローアップ、一斉配信といったメールに関する施策は、特定電子メール法の規制を受けます。「気がつかない間にコンプライアンス違反をしていた」といった事態を防ぐためにも、「オプトインに関する規制」と「特定電子メールに関する記載」の2点について説明します。

オプトインに関する規制

オプトインに関する規制についても注意が必要です。オプトインとは、活動などに対して「参加する」、「加入する」といった意味を持ちます。

特定電子メールを送信できるのは、原則としてあらかじめ配信の許諾を得た相手に限られます。ただし、名刺やインターネットなど通じてメールアドレスを公表する相手は、オプトインの規制に該当しません。

MAツールに登録するメールの配信リストは、基本的にオプトインを得た方だけを登録するようにしましょう。また、メール内に「どんな人を対象にしているのか」を明記したうえで配信するほうが無難です。

特定電子メールに関する記載

特定電子メールを配信するときは、以下の記載などが義務付けられています。

• 送信者の氏名または名称
• 送信者の住所
• メール等で受信拒否ができる旨
• メールの受信拒否の方法、通知先のメールアドレス
• 苦情や問い合わせをする際の連絡先

受信者がメールの配信解除を申し出た場合、すぐに配信リストから外し、今後メールが配信されないようにしなければなりません。メール配信は、顧客との信頼関係を築くための重要な施策の1つです。受信者にとって負担とならず、さらにコンプライアンスを遵守したメール配信を行いましょう。

MAツールのセキュリティ面における4つの注意点を紹介

MAツールのセキュリティ面における注意点には「ログインIDやパスワードの管理」、「SPF・DKIM・DMARCの設定」、「セキュリティの高いMAツールを選ぶ」、「情報セキュリティーに関する認定の確認」が挙げられます。ここでは、ベンダー側ではなくユーザー側で注意すべき4点について、その内容を詳しく確認していきましょう。

1.ログインIDやパスワードの管理

MAツールのログインに必要な「ID」や「パスワード」は、ユーザー側で厳重に管理しなければなりません。どれだけMAツールのセキュリティが高い状態でも、ログインIDやパスワードが外部に漏れて悪用されれば、顧客情報などの漏えいにもつながります。

定期的なパスワード変更や委託先との秘密保持契約などによって、ログインIDやパスワードを漏らさないための対策が必要です。また、パスワードに使う文字や数字なども、簡単に特定されないものにするといった工夫をしましょう。

2.SPF・DKIM・DMARCの設定

「SPF」や「DKIM」、「DMARC」の設定によるなりすましメール対策も必要です。これらはいずれも送信ドメイン認証技術のことで、人では判別ができないなりすましメールを識別し、未然に被害を防ぎます。それぞれの簡単な概要は次のとおりです。

• SPF：IPアドレスベースの認証技術。差出⼈のドメイン詐称を検知する。
• DKIM：電⼦署名ベースの認証技術。メール本⽂の改ざんを検知する。
• DMARC：PFやDKIMの認証結果では判断できなかったメールを排除する。

MAツールによるメール配信は、受信側のセキュリティによってはなりすましメールと判定され、受信されないケースがあります。

3.セキュリティの高いMAツールを選ぶ

MAツールはクラウドによる提供される製品が多く、それゆえにインターネットを通じたサイバー攻撃を受けるリスクを否定できません。

よってMAツールを選定する際は、セキュリティに関する情報を公開しているベンダーを選びましょう。セキュリティに関する情報には次のような点が挙げられます。

• システムの耐障害性
• システムの可用性
• データセンターの保護状態
• セキュリティ監査の有無
• 脆弱性に関する評価
• 侵入テスト関するレポート

これらの項目について各MAツールを比較することで、セキュリティの高いMAツールを選ぶ基準の1つとなります。

4.情報セキュリティーに関する認定の確認

情報セキュリティーに関する認定の取得有無も1つの基準となります。例えば、次のような認定取得がされているかを確認してみてください。

• プライバシーマーク：事業者の個人情報の取扱いが適切であるかを評価する制度
• ISMS：情報セキュリティの目標を達成するための仕組みで、国際規格に準拠し、認証機関に認められれば 取得できる
• ISMSクラウドセキュリティ認証：クラウドサービスに特化したセキュリティ対策（ISO/IEC 27017）がとられていることを示す

最近ではクラウドセキュリティプロバイダーである「Skyhigh」の評価を受ける企業が多くなっています。

MAツールはセキュリティの高さで選ぼう

MAツールは、セキュリティやプライバシー保護などのさまざまな観点からの対策が必要です。もしもMAツールの導入によってコンプライアンス違反が生じれば、社会や顧客からの信用を失うほか、問題解決に対する多大なコストが発生する可能性があります。

特にコンプライアンスの遵守の面では、個人情報保護法や特定電子メール法との関わりが深いため十分に注意しましょう。そして、MAツールを正しく運用するためには、ユーザー側のセキュリティに対する意識向上も重要です。

セキュリティの高いMAツールを選び、ユーザー側もコンプライアンスを守ったうえで、MAツールの運用を行いましょう。