法整備の状況、具体例-2

具体的に代表的なケースで課題を洗い出してみましょう。

(ケース1)
送信者及び受信者ともに企業で、メール送信者及びメール受信者ともに従業員の場合、通信当事者の同意を得ていると考えられるため、①、② 及び ③ ともに問題ないと考えられます。

(ケース2)
送信者が企業、受信者がサービスプロバイダ(ISPなど)で、メール送信者が従業員、メール受信者がサービス利用者の場合、送信側はメール送信者の同意を得ていると考えられ、受信側はメール受信者の同意を得る、または5条件をすべて満たした場合は ①、② 及び ③ ともに問題ないと解釈することができます。同意を得ていない、または5条件を満たしていない場合、② のフィルタリング及びポリシーの適用、及び当該通信に係る情報を ③ のレポートへ含めることは留意が必要と考えられます。

(ケース3)
送信者がサービスプロバイダ(ISPなど)、受信者が企業で、メール送信者がサービス利用者、メール受信者が従業員の場合、受信側はメール受信者の同意を得ていると考えられるため、② 及び ③ は問題ないと考えられます。送信側は、① のポリシーの宣言はドメインに係り、利用者個別に設定変更が不可能なため、事前に同意を得ていない場合は留意が必要です。例えば、ドメイン管理者がポリシーを変更した場合、受信側においてメール送信者の意図に反して取り扱われることが考えられます。ポリシーを「何もしない(=none)」から「隔離する(=quarantine)」へ変更した場合、認証に失敗した場合に迷惑メールとして取り扱われることが考えられます。ポリシーを「拒絶する(=reject)」へ変更した場合、認証に失敗した場合に受信サーバから受信を拒否される(エラーメールになる)ことが考えられます。

(ケース4)
送信者及び受信者ともにサービスプロバイダ(ISPなど)、メール送信者及びメール受信者ともにサービス利用者の場合、受信側はメール受信者の同意を得る、または5条件をすべて満たした場合は ①、② 及び ③ ともに問題ないと解釈することができます。同意を得ていない、または5条件を満たしていない場合、② のフィルタリング及びポリシーの適用、及び当該通信に係る情報を ③ のレポートへ含めることは留意が必要と考えられます。また、送信側は、① のポリシーの宣言はドメインに係り、利用者個別に設定変更が不可能なため、事前に同意を得ていない場合は留意が必要です。例えば、ドメイン管理者がポリシーを変更した場合、受信側においてメール送信者の意図に反して取り扱われることが考えられます。ポリシーを「何もしない(=none)」から「隔離する(=quarantine)」へ変更した場合、認証に失敗した場合に迷惑メールとして取り扱われることが考えられます。ポリシーを「拒絶する(=reject)」へ変更した場合、認証に失敗した場合に受信サーバから受信を拒否される(エラーメールになる)ことが考えられます。

DMARC に関する法的整理および導入の手引きがリリース

総務省から「DMARC導入に関する法的な留意点(*1)」が公表されました。電気通信事業者がDMARCを導入する際に利用者から同意を得ていない場合、ドメイン管理者によるメール受信時のドメイン認証が失敗した場合の取り扱い方針の宣言(ポリシー)と、受信サーバが認証結果に関して送信ドメイン管理者が指定した送付先アドレスへ送付する行為(レポート)が電気通信事業法第4条に規定する「通信の秘密」を「侵害する行為」に該当し得る問題の法解釈を整理しています。事前に利用者全員から同意を得ることが現実的でない場合、約款等による事前の包括同意に基づいて提供することが考えられますが、その場合の満たすべき条件が記載されています。業界団体から導入の手引き(*2)も公開され、今後のベストプラクティス(実際に具体的にどのようにすれば条件を満たし得るのか、事例等)の公表が待たれます。

満たすべき5条件(*3)

  1. 利用者が、随時、任意に設定変更できること
  2. 同意の有無にかかわらず、その他の提供条件が同一であること
  3. 同意の対象・範囲が明確にされていること
  4. ドメイン認証の結果に係るレポートを送付する場合、レポートの内容に電子メールの本文 及び件名が含まれていないこと。
  5. DMARCの内容について、事前の十分な説明を行うこと(電気通信事業法第26条に規定する重要事項説明に準じた手続によること)

*1

総務省 送信ドメイン認証技術等の導入に関する法的解釈について
http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail/legal.html

*2

迷惑メール相談センター
「電子メールのなりすまし対策 -送信ドメイン認証でなりすましを防ぐ- 第3版」
http://www.dekyo.or.jp/soudan/anti_spam/report.html#auth

*3

出展:総務省 DMARC導入に関する法的な留意点
http://www.soumu.go.jp/main_content/000495390.pdf