MAツールのセキュリティ対策|コンプライアンスや注意点を解説

MAツール

Check!

  • MAツールは個人情報を扱うものであるため、セキュリティ対策を適切に行う必要がある
  • 個人情報保護法および特定電子メール法について理解しておくべきである
  • MAツール運用の際は、個人情報の利用目的やプライバシーポリシーの掲載を徹底する

MAツールは見込み客獲得の効率化に役立ちますが、個人情報を扱うものであるため、導入にあたっては適切なセキュリティ対策が必要になります。この記事では、MAツール運用に際して知っておきたいコンプライアンスや、注意点を解説します。

おすすめ記事

目次

開く

閉じる
  1. MAツールのセキュリティ対策とは
  2. MAツールに関連する法律
  3. MAツール導入時にチェックしたいセキュリティ認証
  4. MAツールのセキュリティに関する注意点
  5. まとめ

MAツールのセキュリティ対策とは

MAツールの導入にあたって、セキュリティ対策は大きな懸念事項のひとつです。とは言え、著名な大手ベンダーの提供するMAツールなら、セキュリティ対策は万全と考えて良いでしょう

しかし、MAツールを運用する際には、顧客の個人情報を取り扱うことから、細心の注意を払う必要があります。MAツールは、コンプライアンス違反にならないように自社の定めたルールを守り、法令を遵守して運用することが大切です

MAツールに関連する法律

MAツールは大切な顧客の個人情報を取り扱うため、導入にあたってはコンプライアンスを徹底する必要があります。ここからは、MAツール導入の際に知っておきたい法律である個人情報保護法と特定電子メール法について解説します。

\気になる項目をクリックで詳細へジャンプ/

MAツールに関連する法律

  1. 個人情報保護法
  2. 特定電子メール法

個人情報保護法

個人情報保護法とは、個人情報が豊かな経済社会や個人生活に貢献する物であるとして、企業や団体が個人情報を適切に活用する際のルールを定め、あわせて個人の権利と利益を保護する目的で定められた法律です

個人情報保護法に違反して罰則が適用された場合、1年以上の懲役または100万円以下の罰金が科せられます。個人情報保護法では、特定の個人を識別できる氏名や生年月日などの情報を個人情報として定義しています

個人情報保護法では、この個人情報をデータベース化して特定の個人が検索可能な状態で取り扱う事業者を、個人情報取扱事業者と定めました。MAツールを利用する企業は、顧客や取引先の個人情報をデータベース化するため、個人情報取扱事業者にあたります

参考:個人情報の保護に関する法律|e-Gov 法令検索

特定電子メール法

特定電子メール法は、広告や宣伝目的で短期間に大量送信される迷惑メールを規制するために施行された法律です。特定電子メール法は、インターネットのメールが広く普及するようになり、問題になった迷惑メール問題を解決するために定められました。

特定電子メール法にあるオプトイン規制と特定電子メールの記載必須項目は、MAツールを運用する際に非常に重要です。ここからは、特定電子メール法のオプトイン規制と記載必須項目の2項目について解説します。

参考:特定電子メールの送信の適正化等に関する法律|e-Gov 法令検索

オプトイン規制

オプトイン規制では、事前に同意が得られた場合にのみ広告・宣伝メールを送信できると定められています。ネットショッピングで会計をした際「お得なメール情報を受け取る」とチェックボックス付きで表示されますが、これがオプトイン規制にあたります。

特定電子メールに記載必須の項目

特定電子メール法では、迷惑メールが問題となった過去を反省し、特定電子メールに記載すべき必須項目が定められました。送信者がオプトインで同意を得てメールを送信した場合でも、以下を表示しなくてはいけません。

  1. 送信者の氏名または名称
  2. 受信拒否の通知を受けるための電子メールアドレスまたはURL
  3. メール受信拒否する際の通知先を記載し、その直前または直後に受信拒否の通知ができる旨を記載
  4. 送信者の住所
  5. 苦情・問合せなどを受け付けられる電話番号・電子メールアドレス・URL

MAツール導入時にチェックしたいセキュリティ認証

MAツール導入の際は、ベンダーのセキュリティ認証を確認しましょう。PマークやISMSクラウドセキュリティ認証の取得は、ベンダーの信頼性を図る1つの指標となります。ここからは、PマークとISMSクラウドセキュリティ認証について解説します。

\気になる項目をクリックで詳細へジャンプ/

MAツール導入時にチェックしたいセキュリティ認証

  1. Pマーク
  2. ISMSクラウドセキュリティ認証

Pマーク

Pマークとはプライバシーマークの略称で、「JIS Q 15001:2017個人応報保護マネジメント - 要求事項」に則って、個人情報を適切に取り扱う体制を整えている事業者が使用を許可されている認証マークです

Pマークは、個人情報に適切な保護措置を講じている企業以外は取得できません。このため、Pマーク取得済みの企業は、自主的に個人情報を守る対策を講じていると考えられ、MAツールを提供するベンダーの信頼性を図る指標となりえます

参考:概要と目的|一般財団法人 日本情報経済社会推進協会

ISMSクラウドセキュリティ認証

ISMSクラウドセキュリティ認証は、クラウドサービスを提供する企業が情報セキュリティを適切に実施していると証明する第三者認証です。クラウドサービスが普及するようになりましたが、クラウドサービスが登場する前に制定された認証制度がほとんどでした。

このため、新たにISMSクラウドセキュリティ認証の評価制度が設けられました。ISMSクラウドセキュリティ認証は、ISMS(ISO/IEC 27001)の認証を受けた者だけが取得できる第三者認証になります。

参考:情報セキュリティマネジメントシステム適合性評価制度|情報マネジメントシステム認定センター

MAツールのセキュリティに関する注意点

MAツールを導入運用するときは、個人情報を適切に取り扱い、コンプライアンスを遵守できるようにセキュリティ対策を実施しましょう。ここからは、MAツールを導入・運用する際に注意すべきポイントを5点解説します。

\気になる項目をクリックで詳細へジャンプ/

MAツールのセキュリティに関する注意点

  1. ベンダーのセキュリティ体制を確認する
  2. ID・パスワードは厳重に管理する
  3. 個人情報の利用目的を通知・公表する
  4. プライバシーポリシーを掲載する
  5. クッキーポリシーを制定する
  6. なりすましメール対策を行う

ベンダーのセキュリティ体制を確認する

MAツール導入の前に、ベンダーがどのようなセキュリティ対策を実施しているか確認しましょう。ベンダーが行っているデータセンターの保護やシステムの耐障害性・脆弱性・セキュリティ監査の有無などのセキュリティに関する情報を調査しましょう。

ID・パスワードは厳重に管理する

MAツールを利用する際は、IDとパスワードは厳重に管理しましょう。MAツールで起こるトラブルの原因は、システムの脆弱性などだけではありません。利用者が犯すミスやセキュリティ対策の怠慢などが原因で、個人情報が流出するケースもあります。

MAツールを運用する際は委託業者にIDとパスワードを漏らさない、パスワードに推測されやすい数字を使わない、定期的にパスワードを変更するなど、IDとパスワードの適切な管理を徹底しましょう。

個人情報の利用目的を通知・公表する

MAツールを利用する際は、個人情報の利用目的を通知・公表しましょう。MAツールを利用する事業者は、個人情報保護法において個人情報取扱事業者に該当し、個人情報を取り扱う際、その収集目的と利用目的をユーザーにわかりやすく説明する義務を負っています。

そして、個人情報の利用目的を通知・公表した後は、ユーザーに承諾してもらう必要があります。ユーザーに分かりやすく個人情報の利用目的を公表できるように、プライバシーポリシーの策定が必要です。

プライバシーポリシーを掲載する

MAツールを利用する際は、プライバシーポリシーを制定してホームページに掲載しましょう。個人情報の収集方法と利用目的、個人情報の管理に関して、個人情報の開示請求に関してなどを記載したプライバシーポリシーを定めてホームページで公表します。

上述のように、個人情報保護法では、個人情報取扱事業者は利用目的を公表する必要があります。プライバシーポリシーをホームページのわかりやすい位置に表示して、個人情報の取扱いに関してユーザーの承諾を得なくてはいけません

クッキーポリシーを制定する

MAツールを運用する際は、クッキーポリシーの制定も必要です。なぜなら、MAツールは、収集した個人情報とクッキーの関連付けを行い特定の人物を識別する仕組みで、クッキーを個人情報として利用するためです。

MAツールを利用する際は、クッキーを使用することに関する説明とクッキーの利用目的および保存期間に関しての説明、クッキーの削除方法や無効化する方法などをホームページ上のわかりやすい位置に掲載し、ユーザーに公表し承諾を得ましょう

なりすましメール対策を行う

MAツールを運用する際は、なりすましメール対策も行いましょう。悪意のある第三者が自社を偽装してなりすまし、メールを送信するという事態も起こるため、MAツールを利用する前に、なりすましメールを防止できる認証技術であるSPFとDKIMの設定をします。

SPFは、メール差出人の詐称を検知する認証方法です。DKIMは、電子著名の認証技術であり、メールの本文改ざんなどを検知できます。SPFとDKIMの違った役割を持つ2種類の認証技術を使い、なりすましメールの対策をしましょう。

まとめ

MAツールは、大手のベンダーが提供する製品であれば、セキュリティ対策が概ね万全と言えるでしょう。しかし、MAツールは顧客の大切な個人情報を取り扱うため、自社の定めたルールと法令を遵守して運用する必要があります

個人情報保護法では、特定の個人を識別できる個人情報をデータベース化している事業者は、法律に則って個人情報を取り扱わなくてはならないと定められています。MAツール運用の際には、特定電子メール法のルールにも従わなくてはいけません。

MAツールを導入する際は、ベンダーがPマークやISMSクラウドセキュリティ認証を取得しているかどうかをチェックしましょう。Pマークは、個人情報を適切に取り扱う体制を整備している企業が取得できる認証マークです。

ISMSクラウドセキュリティ認証は、クラウドサービスを適切に導入・運用していることを証明する認証マークです。MAツール運用の際は、自社で行っておくべき注意点もあります。

MAツールを導入する際には、製品を提供するベンダーのセキュリティ体制も確認しましょう。MAツールの運用の際は、厳重にIDとパスワードを管理し、個人情報の利用目的を公表する必要もあります

MAツールの運用前には、個人情報の取り扱いの指針であるプライバシーポリシーとクッキーポリシーを制定して、公表しましょう。MAツール利用開始前には、なりすましメール対策のためSPFとDKIMの設定も行いましょう。

この記事に興味を持った方におすすめ

あなたへのおすすめ記事

Share

掲載希望の方はこちら
top