マーケティングオートメーション(MAツール)の導入を考えたとき、多くの企業が一度は不安に思うのが自社で運用するにあたってのセキュリティ対策ではないでしょうか。自社の見込み顧客情報など個人情報を利用するツールであるため、初めて導入する場合はセキュリティ面も慎重に検討しなくてはなりません。
この記事では、セキュリティ面から見たMAツールを選ぶポイント、MAツールの導入・運用の際に注意すべき点などを紹介します。
List Finderの概要資料をダウンロードできます。
プランごとの機能・価格や、サポート体制などをまとめています。
「【最新版】MAツール比較表」つき!
Contents
MAツールのセキュリティ対策は万全か?
MAツールでは、自社で集めたリード(見込み顧客)情報をツール上で管理したり、見込み顧客宛にメール配信を行います。運用する際は、MAツール提供ベンダーのサーバーに自社の顧客情報を預ける必要があるため、情報漏えいのリスクが気になるという企業も多いようです。
では、MAツールのセキュリティー対策は万全なのでしょうか。
有名なMAツールベンダーであれば基本的には問題ない
MAツールがセキュリティ的に安全かは、基本的に提供するベンダーの対策内容に依存しており、利用者側から対策が十分かを完全に把握するのは難しいというのが正直なところです。
しかし、ある程度有名で利用企業数が多い実績のあるMAツールベンダーであれば、おおよそ問題ないと判断して良いでしょう。どんな企業が利用しているのか、検討前に導入実績を確認してみてください。
不安がある場合は、導入前にベンダー側のセキュリティ対策について問い合わせたり、自社の情報システム部門にチェックを依頼したりすることがおすすめです。
情報セキュリティー監査や認定を受けているかどうかも基準になる
ベンダーによっては外部からの情報セキュリティー監査や認定を受けている場合もあるため、ひとつの基準になるはずです。
例えば、BtoB向けMAツールの一つ「List Finder」を運営している株式会社Innovation X Solutionsでは、PマークやISMS、さらにはISMSクラウドセキュリティ認証を取得しています。ISMSクラウドセキュリティ認証とは、クラウドサービスに特化したセキュリティ対策(ISO/IEC 27017)がとられていることを示すもので、認証された企業のサービスは安心して利用できます。国内のMAツールベンダーの中では一番最初に取得しました。
「List Finder」のクラウドセキュリティ認証についての詳細は、こちらからご確認いただけます。
MAツール運用時にセキュリティ面で注意したいこと4つ
MAツール自体のセキュリティ対策はベンダー側に依存するとお伝えしました。一方で、ベンダー側ではなく利用者側で運用時に注意すべきこともあるため、ひとつずつ確認していきましょう。
1. 社内でのID・パスワードの管理を徹底する
ベンダー側の情報漏えい対策が万全であっても、利用者側のミスで顧客情報などが漏えいしてしまう恐れがあります。
MAツールにログインする際のID・パスワードは厳重に管理することが必要です。パスワードを定期的に変更したり、委託業者に漏らさないようにしたり、誕生日や社員番号など簡単に推測されるものにしないといった工夫をしておきましょう。
2. 関連する法律を確認する
MAツールを運用する際に確認しておくべき法律として「個人情報保護法」や「特定電子メール法」があります。企業のコンプライアンス的に理解しておく必要があるだけでなく、後述のプライバシーポリシーやクッキーポリシーと関係してくる法律であるため、必ず確認しておきましょう。
個人情報保護法とは
「個人情報保護法(個人情報の保護に関する法律)」とは、利用者が安心できるように、企業や団体に個人情報を大切に扱い有効に活用するよう定めた法律です。
個人情報保護法によると、対象は「個人情報を取り扱う全ての事業者」で、個人情報とは「他の情報と容易に照合することができ、それにより 特定の個人を識別することができることとなるもの」としています。
個人情報をMAツールに入れているのであれば、同法の対象となります。ホームページやメールで個人情報利用目的の通知・公表を記載しなくてはなりません。ホームページには「クッキーポリシー」や「プライバシーポリシー」を掲載しましょう。通知・公表については後ほど解説します。
(参考:個人情報保護法ハンドブック)
特定電子メール法とは
「特定電子メール法(特定電子メールの送信の適正化等に関する法律)」とは、インターネットやメールの普及により、迷惑メールが問題化したことをきっかけに制定された法律です。
MAツールでメール送信をするときに、特定電子メール法にのっとって送信しなくてはなりません。MAツールに関連する事項は、以下の2点です。
- 特定電子メールを送信するときは許可を得た送信先へ送信する(オプトインを取得する)
- メールを配信するときは配信者の情報、配信停止する方法、苦情や問い合わせの受付先などを記載しなくてはならない
MAツールと個人情報保護法・特定電子メール法についての詳細は、こちらのページをご覧ください。
3. 自社のプライバシーポリシーを見直し、メール配信時は個人情報の利用目的を通知する
個人情報保護法でふれた通り、MAツールで個人情報を取り扱うのであれば、個人情報の利用目的の「通知」と「公表」が必要となります。具体的には、自社サイトの「プライバシーポリシー」や「クッキーポリシー」を見直したり、メール配信では個人情報の利用目的を通知する文章を入れたりすることが挙げられます。
プライバシーポリシーとクッキーポリシーは企業が個人情報を取り扱う上で必ず作成しなければならないため、自社サイトの分かりやすい場所に書いておきましょう。
プライバシーポリシーは個人情報の利用目的や管理方法等をまとめたものです。
クッキーポリシーはクッキーを利用してサイト訪問回数や訪問したページなどの情報を取得していることを説明するものです。クッキーでサイトの閲覧情報をコンピュータやスマートフォンなどに記憶させることで、ログイン不要にしたりカートに入れた商品を記憶したりして、利用者のサイト閲覧を助けています。プライバシーポリシー内もしくは、サイト利用案内等のページに「クッキーについて」という条項を設け、個人と紐付ける旨を記載しなくてはなりません。
クッキーを利用したMAツールの解析については、こちらの記事をご確認ください。
メール配信時には、本文下に個人情報の利用目的を通知する文言を自動的に入れるよう設定しておきましょう。
4.なりすましメール対策に必要な設定を行う
MAツールのメール配信機能では、ベンダー側のIPアドレスから利用者ドメインのメールアドレスを配信元として配信することになります。そのため、受信側のセキュリティによってはなりすましメールと判定され、正常に受信できない可能性があります。
MAツール利用開始前にSPF設定/DKIM設定をしておきましょう。
SPFとDKIMとは送信ドメイン認証技術のことです。SPFはIPアドレスベースの認証技術であり、差出⼈のドメインが詐称されているかどうかを検知できます。一方、DKIMは電⼦署名ベースの認証技術であり、メール本⽂の改ざんも検知することができます。役割が違うため、両方の設定が必要です。
自社でできるセキュリティ対策は万全にしよう
個人情報が漏洩するとコンプライアンス違反にもつながります。MAツールを導入するときは導入実績やセキュリティの外部監査を受けているかどうかも参考に選びましょう。
MAツール自体の脆弱性はベンダー側に依存しますが、一方で、利用者側で未然に防ぐことができる点も多いです。MAツールのベンダーと自社のセキュリティ担当者に確認しながら、一つずつチェックすることが大切です。
BtoB向けMAツールの一つ「List Finder」はPマークやISMSクラウドセキュリティ認証を取得している株式会社Innovation X Solutionsが運営しています。MAツールベンダーの中では一番最初にISMSクラウドセキュリティ認証を取得しました。セキュリティが気になるのであれば、「List Finder」もぜひ検討してみてください。
