社内でのID・パスワードの管理を徹底する
MAツールを運用する際に注意が必要といえば、社内におけるIDやパスワードの管理が挙げられます。
完璧に設計されているMAツールであっても、運用に不備があれば大切な顧客の情報が漏洩するといった問題が発生します。
これは必ずしもMAツールに限られる問題ではないですが、MAのように情報を一元管理するようなツールについては特に注意が必要です。
しかし、注意という意識レベルに働き掛けるやり方だと、注意が散漫になった時に容易に問題が起こります。
MAツールの運用に本当に必要なのはID、パスワードの徹底的な管理です。
徹底的な管理は、例えばIDの命名規則やパスワードの文字数、定期的な変更といった扱い方全般に及びます。
IDが推測される情報に基づいて作られたものだと、簡単にパスワードも推測されて不正アクセスの発生に繋がります。
外部から遮断されている閉じた環境であれば、その心配は格段に小さなものとなるでしょうが、一般的にネットワークに繋がるMAツールにそれを期待するのは困難です。
不正アクセスを防ぐために大切なこと
そこで重要になってくるのが運用のルール作りと、ルールを守らせる啓発です。
MAツールの設計が完璧でセキュリティが強固なほど、人は安全だと思い込んで油断が生じ、やがてIDやパスワードが外部に漏れることになります。
現状ではIDもパスワードも漏れていなくても、既に漏洩寸前という状況にある現場は少なくないと思われます。
気がついていないだけで実はリスクが最高レベルに達している、そういう現場は目に見える状態になっていないだけで、必ず存在しています。
大切なのは危機感を持つこと、自分が関わっている現場がそのような状況に陥っている可能性があると想像力を働かせることです。
完璧なものほど綻びが生じやすい、こう考えるとIDやパスワードの取り扱い、管理を徹底する重要性が少し分かってくるはずです。
セキュリティ対策のレベルが高ければ安心できるわけではない
MAツールそのものの設計に不備がありセキュリティが脆弱なケースは論外ですが、設計が万全でセキュリティ対策のレベルが高くても、人的なミスであっさり牙城は崩れてしまいます。
逆に、設計やセキュリティ対策が不十分でも、IDやパスワードの管理が徹底して行われていれば、それで当面のあいだ安全が守られるということはあります。
IDとパスワードは2つでセットですが、MAツールにアクセスして一定の権限を得るキーになるわけです。
つまりそれが外部、外部でなくても社内に漏洩するような事態が発生すれば、大問題に発展するのは容易に想像がつきます。
だからこそキーの役割を持つ情報は無関係な人には教えない、誰かに見られたりしないように徹底的に扱う意識が求められます。
パスワード変更もパスワードの文字数も対策の1つに過ぎない
定期的なパスワードの変更も、短くて推測されやすいパスワードをしないことも、情報漏洩を防ぐ対策の1つに過ぎないです。
IDは僅かな情報から推測されるもの、パスワードは総当りをすればいずれは正解が見つけられてしまう、その危機感の意識が重要となります。
漏洩がいずれか一方だとしても、それはホッと胸をなでおろして済むことではありませんし、本来であれば脂汗をかいて胃に穴が開くかのような痛みを覚えるべきものです。
そこまで重大な情報漏洩に繋がる、ギリギリの一歩手前の状況を発生させたことになるので、仮にもしIDだけであっても漏洩は軽視できず、再発防止に徹底して取り組む必要があります。
重要な情報にアクセスできるキーの一部を漏らすだけでもかなり危機的ですが、漏れていなくても定期的に変えるべきです。
確かに完璧なセキュリティ対策は存在しませんし、管理の不備で情報漏洩が発生するシステムは、設計の方に見直すところがあるといえるでしょう。
ただ、設計が完璧でもやはり小さなミスが情報漏洩の切っ掛けになることはあるので、設計と運用の両面で対策に取り組み続けることが不可欠です。
IDだけなら見られても大丈夫、その油断がうっかりでは済まされない問題を生じ大きくするので、IDやパスワードの扱い方を振り返ってみて、問題がなかったか確認をおすすめします。
委託業者が出入りする企業の場合
委託業者が出入りする企業においては、机などに置いてある書類が見られてしまうことがありますから、こういうものを含めて徹底的に管理する体制の確立が重要です。
IDをネットワーク経由で利用するツールでやり取りしない、紙に書いて残さないなどの管理が欠かせないです。
IDのみでも平文でのやり取りは避けるべきですし、文字列が覚えられないからと紙にメモをして放置するのは論外です。
これがパスワードもセットとなれば最悪ですし、うっかり外部に漏れて顧客情報の漏洩に至っても不思議ではないでしょう。
IDやパスワードに一体どれほどの価値と重要性があるのか、まずはそこから理解を深めて管理に活かすことが大事です。
IDもパスワードも社員番号、誕生日といった情報を含まないルールがまず必要になります。
文字列は一定以上の長さで最低文字数を決めておくこと、大文字と小文字が混在する英数字に記号も交える、そういったパスワード作りのルールがあると少し安心です。
ただし、覚えにくいパスワードを強制すると、人は覚えられずに紙に書き出すなどしてしまうので、覚えられる範囲に留めるのが無難でしょう。
近年は覚えやすく忘れない単語を複数組み合わせたり、それを逆に並べた文字列をパスワードに用いるといったやり方があります。
いずれにしても、ログイン情報の漏洩は重大な問題と認識すること、その事態を避ける為にはどのような管理をするのが良いか考えて実践をする2点が肝心です。
顧客情報にアクセスする権限がある人でも、他の人のログイン情報を使ってログインするのもNGです。
反対に、権限がある人の依頼を受けて権限を持たない人がアクセスするのも、あってはいけないことです。
このような事態の発生は信じられないことですが、しかし全くないとも言い切れないのが怖いところです。
どんな事態も発生する時は発生する、そのような意識でIDやパスワードを扱ったり、管理を行う必要がありそうです。
物事に絶対はありませんが、考え得る範囲で可能な限り顧客情報の漏洩が発生するリスクを減らし、遠ざけることがポイントになります。
関連する法律を確認する
MAツールの運用では顧客情報を取り扱う都合上、セキュリティ的にも関連する法律の確認と法律に則った運用が必要です。
特に関連性が高くて軽視できないのは個人情報保護法、そして特定電子メール法の2つです。
個人情報保護法
前者の個人情報保護法は、正式名称を個人情報の保護に関する法律といって、企業や団体などの民間事業者に対し義務づけられている法律です。
この法律は個人から預かる個人情報の扱い方を取り決めるもので、個人が安心して企業や団体に情報を預けられるようにするのが目的です。
個人情報を取り扱う全ての事業者が対象の法律ですから、個人に関する情報を扱う事業者は、MAツールを運用する際に個人情報保護法の内容の再確認をしましょう。
個人情報保護法が個人情報と定義しているのは、氏名や性別に生年月日、職種や肩書といった個人の特定、識別に繋がるものです。
例え断片的であってもいい加減な扱いはNGですし、身体的な特徴といった情報であっても、やはり漏洩が発生すれうば大きな問題になります。
財産に関する情報も個人情報の1つなので、いずれかを取り扱う事業者は気を引き締めて、適切な管理が行えるようにする必要があります。
特定電子メール法
後者の特定電子メール法は、特定電子メールの送信の適正化等に関する法律の通称で、迷惑メールの問題を機に制定が行われました。
要点となるのは、メールの配信はその許可を得た送信先のみに限ること、メールに配信者の情報と配信停止方法の記載をすることです。
特定電子メール法がなかった頃は、一方的にメールが送りつけられるケースが多く、拒否しようにも個別に受け取りの拒否をする必要がありました。
平成20年に迷惑メールに関する法改正が行われ、同意なしにメールを配信することができなくなっています。
個人にとっては安心に繋がる大きな改正ですが、企業や団体などの事業者には厳格に守らなくてはいけないルールが1つ増えた形です。
オプトインの取得
許可を得た送信先にメールを送信することをオプトインの取得といい、オプトインに関する規制で定められています。
ただし公表されているメールアドレスはオプトイン規制の対象外なので、そこは念頭においておきましょう。
公表されているというのはブログなどに記載があるものや、名刺に印刷されているメールアドレスのことです。
メールの配信者の情報や配信停止の方法に関する記載は、特定電子メールの送信等に関するガイドラインを確認するとポイントが分かります。
配信者の氏名または名称と所在地のある住所、配信を停止する方法や問い合わせ先の記載が不可欠です。
受信拒否ができるならその旨を、受信拒否手続きのメールアドレスかURLと共に記載です。
問い合わせや苦情の受付は電話番号かメールアドレス、URLのいずれか1つか複数の記載となります。
不備があるとコンプライアンスの問題に繋がりますし、問題がメディアなどに大きく取り上げられて社会の注目を集めることになると大変です。
情報を収集して一元管理するMAツールは特に、これらの法律をしっかり理解して、法令遵守に取り組む重要性が高いものです。
個人情報の塊ともいえるMAは個人情報保護法の対象外にはなり得ないので、ツールを扱う事業者は優先して把握しておきたいところです。
特定電子メール法はMAツールにおいて、マーケティングの一環としてメールを送信することがありますから、こちらも法律の対象で適用されます。
オプトインはメール配信に欠かせないので、配信許可を取る運用かどうかチェックしましょう。
ちなみに受信者による配信停止をオプトアウトといって、オプトインとセットで運用を行うことになります。
オプトインされたメールアドレス以外のアドレスを知っていたとしても、個別にオプトインが必要ですし、許可を得ていなければ勝手にアドレスを指定して配信することはできないです。
このあたりも勝手な解釈は許されませんし、油断すればコンプライアンス違反でペナルティを受けることになり得ます。
うっかりが顧客情報の漏洩に発展しますから、うっかりでもコンプライアンスに違反するような事態は避けるべきです。
MAツールで取得したり管理する個人情報は、その情報の利用目的の通知が必要になるので、その点に関しても詳しく法律に目を通すことをおすすめします。
個人の立場で考えてみると分かりますが、企業や団体が自分の情報をどういった目的で集め、どのように扱うのか分からないと不安が拭えないです。
ところが、利用目的が明らかだと安心できますし、納得すれば個人情報を預けたり使わせる判断が可能となります。
個人情報やプライバシーに関する情報の取り扱い方
個人情報やプライバシーに関する情報の取り扱い方についても、その掲載が必要になるので覚えておきましょう。
関連する法律を確認して改めて見えてくるのは、個人情報の利用を明確にすること、メール配信の許可や配信者についても明確にするという方針です。
今や全ての事業者に個人情報保護法が適用されていることで安心感がありますし、許可なく誰が配信しているか分からないメールはあり得ないという認識が、事業者の間にも浸透しています。
MAを運用する企業にとっては、個人情報保護法は安心感よりも気が引き締まるものですが、それはツールを使ってマーケティングを行う為です。
扱う個人情報の数によって規制から外れる事業者が存在していた頃は、気の緩みから情報漏洩を発生させてしまうところも少なくなかったです。
現在はこの規制は撤廃され、全事業者が個人情報保護法を守らなくてはいけませんから、気が緩むこともそれを言い訳にするのも許されないです。
特定電子メール法のオプトインルールがなかった頃も、ある意味でメール送り放題のやりたい放題でしたが、今やると簡単に信用を損ねますし、企業イメージのダウンが免れられないです。
時にメールを一斉配信することもあるMAツールとなれば、オプトイン取得の重要性は言うまでもないでしょう。
良くできていて関連する法律を考慮して設計されているMAツールは、オプトインやオプトインにも対応しています。
メール配信の許可取得は、MAの有無だけでなくマーケティングの初歩の初歩ですし、それすら無視して守らない企業はツールの運用に値しないです。
理由については法律に目を通したり、法改正や施行に至った経緯を理解すれば一目瞭然です。
自社のプライバシーポリシーを見直し、メール配信時は個人情報の利用目的を通知する
個人情報を収集して取り扱う企業は、プライバシーポリシーの作成と掲載が義務づけられています。
これは個人情報を収集、利用する目的に情報漏洩や不正アクセス対策などがあてはまります。
個人情報の利用目的は明示すること、個人情報の管理方法についても、具体的にどういった対策をしているかの掲載が必要です。
他にも、自分の個人情報の開示や削除を行いたい場合に、どのような手続きを要するかについても記載しなくてはいけないです。
取得した情報を自社だけでなくグループなどの系列企業も共用の形で利用するなら、データの共同利用の明記も不可欠です。
個人情報は第三者に無断で提供できませんし、原則として禁じられているので、第三者に提供しない旨の明記を行います。
開示や削除の請求にも関わりますが、個人情報を提供する人の問い合わせ先がないと請求しようにもできないので、こちらも窓口となる連絡先を忘れずに記載しましょう。
ここまでが個人情報保護方針のプライバシーポリシーの制定で、自社サイトなどのWebサイトに記載することになります。
プライバシーポリシー
公表に関しては自社サイトに記載でOKですが、メールを配信するならメールの配信時にも個人情報の利用目的の通知が必要です。
Webサイトの記載は個人情報を扱う企業なら避けられませんし、MAツールの運用を始めるのであれば、それに合わせてプライバシーポリシーの見直しも欠かせないでしょう。
MAツールの運用がなくても、個人情報を収集して利用する旨の記載は必須です。
むしろ、MAツールのように様々な個人情報を収集するツールを運用する場合は、クッキーに関するポリシーの見直しと制定も忘れてはいけないです。
クッキーはブラウザでユーザーに関する情報を扱うCookieで、行動解析などに利用できることから、メール配信と同様にプライバシーポリシーの作成と掲載が義務づけられるものです。
クッキーで個人を特定することはできませんが、個人情報と関連づけて扱うことが可能な為、そういう運用をする時は説明を含む項目を設けてWebサイトに記載することになっています。
クッキーポリシーについてもプライバシーポリシーと同様に、取得して利用する個人情報の対象者の目に届くところに、掲載することが重要です。
クッキーポリシー
ブラウザのCookieは、訪問したページとその閲覧回数などを取得、保存しておくことができます。
この為、Cookieとは何か簡単な説明を交えつつ、その利用目的や保存する期間、削除の方法などについても作成して記載することになります。
ショッピングサイトだと、ログイン状態の維持や買い物かごの保存など便利な機能に役立つCookieですが、こういった使い方でもやはりクッキーポリシーの記載が求められます。
MAツールにおけるCookieは、会員登録などの個人情報提供がなくても、一度サイトを訪問した時点で作成され、様々な情報が保存されることになります。
最初の閲覧日や移動したページ、再訪問した日時に資料のダウンロードやフォームの問い合せなども、Cookieに情報を保存して残しておけます。
これがMAツールの個人解析や行動解析に繋がり、より効果的なマーケティングに活かせるわけです。
サイトの訪問者は知らずしらずのうちに情報の収集や保存が行われ、個人の特定や行動の解析に利用されている形ですから、その事実と情報の扱い方について知る権利があります。
この、個人情報やクッキーを扱い知る権利に応える企業の姿勢こそがプライバシーポリシー、クッキーポリシーとなります。
ポリシーのの重要性
ポリシーが定まっておらず曖昧だったり、作成も公開もしないとなれば、コンプライアンスがいい加減で個人情報の扱い方を軽視している企業と思われても仕方がないです。
セキュリティ面でも、ポリシーがあるのとないのとでは大違いですし、ポリシーが明確で包み隠さず公表している企業は信頼を集めます。
ポリシーを曖昧にしてクッキーを好き勝手利用するのは論外ですが、個人情報の保護とクッキーポリシーを明確にすれば、堂々と合法的にMAに活用できます。
MAツールの活用は今やマーケティングの常識となりつつありますし、マーケティングの効果を引き出すのにMAツールはなくてはならないです。
ポリシーに関するポイントとなるのは、サイトを訪問する人に安心してもらい、社内ではポリシーに従う運用を徹底して行うことです。
ポリシーの内容に不備がなければ、コンプライアンス違反などの問題発生が避けられます。
勿論、MAツールのログイン情報のように、徹底した運用のルールを守ることが大前提です。
いくら丁寧に作られているポリシーを公表しても、MAツールの運用に不備があれば問題に繋がるでしょう。
このように、ポリシーと運用は表裏一体で切っても切り離せない関係ですから、どちらか一方が欠けても駄目です。
プライバシーポリシーは、MA時代とそれ以前、具体的には個人情報保護法が施行された頃とは求められるものが違ってきています。
個人情報を取り巻く環境に変化が起こり、その価値や扱い方も変わっていますから、自社プライバシーポリシーの見直しは欠かせないです。
メール配信時の配慮
メール配信時に配慮が必要になったのも、特定電子メール法の改正とそれに至った経緯によるところが大きいです。
メール配信にはオプトインで許可を得て表示義務も果たさなくてはいけないので大変ですが、それでも必要なことですし、法令遵守のコンプライアンスを守る企業はルールに従っています。
個人情報の取り扱いが焦点となっていますから、速やかに利用目的と管理方法についてポリシーをまとめ、その旨を記載した方が良さそうです。
個人情報に関するプライバシーポリシーが明確になれば、メール配信やクッキーポリシーもポリシーが定まるでしょう。
そうしてようやくMAツール運用の本番に入ることができますから、各種ポリシーの見直しと記載や通知は真っ先に必要です。
利用目的が決まっていない情報の収集ほど不安にさせるものはありませんし、そもそもどういった情報を収集しているのか分からないと困ります。
管理もどのように行われているのか不明ではお手上げですから、個人に伝わり理解できる形で知らせましょう。
なりすましメール対策に必要な設定を行う
MAツールでメール配信を行う場合は、受信の際になりすましメールと判定され受信が妨げられないように注意する必要があります。
有効なのは認証技術の活用で、SPFやDKIM、DMARCといった技術とその設定が効果的です。
SPFはIPアドレスをベースとする認証技術の1つで、差出人のドメイン詐称を検知することができます。
これは人の目で見分けがつきにくい偽物のメールの識別を助け、悪意ある者による被害を未然に防ぐ為のものです。
しかしメールのなりすましは年々巧妙になってきているので、SPFだけでは不十分です。
DKIMは電⼦署名がベースの認証技術で、SPFとはまた違った形で対策に活用することができます。
DKIMが効果を発揮するのはメール本文の改ざんで、改ざんがあればそれを検知できるようになっています。
DMARCはSPFとDKIMでも見抜けず、判断が難しい場合にメールの排除を行うものです。
悪意のあるメール対策はこのように、SPFとDKIMという2つの認証技術が中心となり、IPアドレスと電子署名で被害を防ぐことができます。
運用を始める前に設定をしよう
SPFとDKIMは、MAツールの運用を始める前に必ず忘れないように設定を済ませましょう。
設定が不十分だったり無効だと機能しませんから、悪意あるメールを許してしまうことになります。
SPFは、MAツールが送信したメールを受け取った相手側のメールサーバがこちら側にSPFレコードを要求、それに返答する形で判断が行われます。
つまり、メールを送ったかどうかという問い合わせ確認を行うのがSPFなので、この設定が不可欠というわけです。
問い合わせに応答する設定ができていなかったり、返答の内容が誤ったものになる誤設定をしてしまっていると大変です。
その為、MAツール運用開始のギリギリになって設定を有効にするのではなく、早めに余裕を持って確認したり問題なく機能するかテストすることをおすすめします。
DKIMもやり取りの基本的な流れは同様で、公開鍵情報の要求に応じて返答する仕組みです。
SPFとの違いを挙げるとしたら、それは送信時にメールに付与する電子署名でしょう。
メールを受信したサーバが、受け取った公開鍵情報を使って電子署名を検証する仕組みですから、この設定もしっかりと済ませておくことが大事です。
設定は使用するMAツールによって多少違いますが、SPFやDKIMの設定に必要な情報を揃えて、メールアドレスのドメインのDNSに設定する形となります。
DNS設定は間違えるとドメインが正しく扱えなくなるので、サーバの知識を持つ人が行うのが望ましいです。
SPFレコードの項目に手を加えることになりますから、誤設定によるなりすましメールの誤判定を招かないように注意です。
このレコードにはメールサーバのIPアドレスの記述を行い、DNSサーバはドメイン名にTXTレコードでIPアドレスを指定します。
DNSが公開されるとSPF認証が機能し始めますから、その前に問題なく動作するか十分に確認しましょう。
DKIMは、完全修飾ドメイン名のFQDNに対するTXTレコードの形で公開する設定をします。
鍵の長さが短いと、なりすましや検証の脆弱性を招く恐れがあるので、2048ビットの鍵が推奨されます。
半分の1024ビットよりも短い鍵では、なりすましメールを防げない可能性があるので気をつけたいところです。
使用する電子署名は認証局が発行する電子証明書か、自ら作成する自己証明書を使うことになります。
これらの設定が完了したらテストメールの送受信を行い、メーラーで認証技術が有効になっているか要チェックです。
セキュリティ対策は定期的に確認しよう
悪意のあるメール対策は、MAツール側の設定のみでは完結せず、サーバの設定に専門知識が不可欠なことから一見すると難しそうです。
とはいえ、悪意あるメール対策なしのMAツール運用はリスクが高いですし、セキュリティ面を考えると設定せず有効ではない状態で運用を始めるべきではないでしょう。
メール配信を行うならなりすましメール対策は必須、しかもあらゆるセキュリティの中でも重要性の高い位置づけと捉えるのが正解です。
対策に成功して問題なく運用を始めることができても、何かの拍子に無効になっていないか定期的に確認するのが望ましいです。
それこそログイン情報の管理に不備があったり、設定変更の取り決めやルールがしっかり整備されていないと、誰かが間違った設定をしてうっかり機能しない状態にさせてしまいます。
MAツールは自動化できる部分が多い分、誤った設定やセキュリティリスクが高まる運用をすると、思い掛けない情報漏洩を発生させたり、なりすましメールを許すことになりかねないです。
だからこそ、MAツールを導入する際にはセキュリティ面の注意点、各種設定をリストアップして、1つ1つ運用に向けた準備を進めていくことが重要です。
特に、運用開始前のテストには時間を掛けたいところですし、その確認は複数人によるチェック体制にするべきです。
大手のMAツールnnお
大手のMAツールは、ユーザーからのフィードバックを沢山受け取り反映している分、導入がスムーズに行えるようになっています。
セキュリティ対策の設計も優れており、信頼したり安心して運用が始められますが、やはり管理と運用体制によってセキュリティの強度が左右されることは否めないです。
設定の不備はいくら設計が優れているMAツールでもカバーしきれないので、運用に関わるユーザー側の人材育成、教育面にも力を入れたいところです。
このような悪意あるメールはMAツール運用における脅威の1つに過ぎず、これだけ設定が万全でも他に隙があればセキュリティリスクが上がってしまいます。
”ただ、メールの対策を含めて4つの注意点を理解して運用に活かせば、かなりセキュリティ面の安心感が高まるのも確かです。”
MAツールはいわば膨大な個人情報を扱うデータベースのようなものなので、法令を遵守しつつ不正アクセスやなりすましメールを防ぐ運用が、安心を実現する鍵を握ることになります。
セキュリティ対策を忘れていて情報漏洩を発生させることはあっていはなりませんし、気を引き締めて運用に取り掛かることが必要です。
