ステップメールやメルマガ配信は専用スタンドで配信した方が安全な理由。
ステップメールやメルマガを始めようとされている方から時折、「Bcc送信でメルマガを送るのはダメですか?」というご質問を頂くことがあります。
これについては、「Bccによる一斉メール送信は危険なのでオススメできません」と回答していますが、その理由をお話する前に、まずは「Bcc送信とは何か?」についてお伝えします。
メールの宛先設定には「To」「Cc」「Bcc」の3種類あります。それぞれの違いは以下の通りです。
(以下、https://next.rikunabi.com/journal/20170401_s07/より引用)
・「To」はメインの送信対象を指す
「To」はメインの送信対象を指し、メールソフトによっては「宛先」と書かれている場合があります。
例えば「山田さんにメールを送りたい」場合は、山田さんのメールアドレスを「To」に記入します。また、複数人のメールアドレスをToに記入してメールを送ることもできます。
・「Cc」はメールを共有しておきたい相手に使う
「Cc」は「Carbon Copy(カーボンコピー)」の略称です。Ccに入れておくと、メインの送信対象に送るのと同じメールを同じタイミングで送ることができます。
Ccに追加するのは、「メインの送信対象ではないが、このメールのやり取りを共有しておきたい」相手。仕事の進捗共有の一貫として、上司やプロジェクトメンバーなど、メールを見てもらいたい人をCcに入れておきます。例えば「山田さんとのやり取りを、鈴木さんにも共有しておきたい」場合は、鈴木さんを「Cc」に追加します。なお、Ccに誰が入っているかは、全員に開示されます。
・「Bcc」は、“他の人に知られずに”メールを共有しておきたい相手に使う
「Bcc」は「Blind Carbon Copy(ブラインドカーボンコピー)」の略称です。「Blind」の名の通り、ToやCcに入れた宛先に、Bccのメールアドレスが表示されることはありません。
例えば「山田さんとのやり取りを、鈴木さんにも共有しておきたい。その様子を2名に伏せた状態で上司に共有しておきたい」場合などにBccを利用します。
(引用ここまで)
以上、「To」「Cc」「Bcc」について解説させて頂きましたが、顧客への一斉メールにBcc送信を使用することは、個人情報保護の観点からリスクが大きいと言わざるを得ません。
実際、送信設定ミスにより個人情報が流出した事例は多数存在します。
BCC配信による個人情報流出事件の例
●2016年9月
内閣官房内、国土強靱化推進室が、報道関係者に対してメールで資料を送付する際、BCCに設定するところをTOに設定して誤送信を行い、39名のアドレスが流出。
http://www.cas.go.jp/jp/seisaku/kokudo_kyoujinka/pdf/20160901_siryou.pdf
●2016年12月
2020年東京オリンピック・パラリンピック組織委員会が、ロゴ選考の応募者にあてて送った電子メールを誤送信し、100名のアドレスが流出。
http://www.nikkei.com/article/DGXLASDG21HDJ_S5A221C1000000/
●2017年10月
ブラザー工業傘下のブラザー販売がキャンペーン応募者にメール送信する際、送信先を「Bcc」ではなく誤って「To」に入力し985名のメールアドレスが流出。
http://www.itmedia.co.jp/news/articles/1710/04/news076.html
全てを掲載することはできませんが、この他にも多数の個人情報流出事例があります。
尚、個人情報が流出した場合に企業が負う責任や罰則については、以下をご参考ください。
(以下、http://www.nec-nexs.com/privacy/explanation/penalty.htmlより引用)
個人情報取扱事業者は法の定める義務に違反し、この件に関する個人情報保護委員会の改善命令にも違反した場合、「6ヶ月以下の懲役または30万円以下の罰金」の刑事罰が課せられます。加えて、漏えいした個人情報の本人から、漏えいによる被害や、実被害が無くても、漏えいしたという事実による損害賠償民事訴訟のリスクが発生します。これらによって、大規模漏えい事件事故の場合は巨額(総額)の賠償金支払いに直面する可能性もあります。
(引用ここまで)
関連して、欧州にて施行された非常に厳格な個人情報保護制度「GDPR」についてもご紹介しておきます。
(以下、https://diamond.jp/articles/-/170989より引用)
GDPRとは、1995年に採択された「EUデータ保護指令」に代わる形で2016年に採択された、新たな個人データ保護の法律だ。EU加盟国に欧州3ヵ国を加えたEEA(欧州経済領域)域内31ヵ国に所在する、全ての個人データの保護を基本的人権と位置付けて、大幅な規制強化が図られた。
GDPRは、個人の名前や住所などはもちろん、IPアドレスやクッキーといった、インターネットにおける情報までも網羅的に「個人データ」に含め、その処理(収集や保管)に類を見ない厳格な順守を求めている。個人データのEEA“域外”への持ち出しは原則禁止。そして、違反者には最高で、世界売上高の4%か2000万ユーロ(約26億円)のうち、いずれか高い方という超巨額の制裁金が科せられる。
制裁金の額と合わせ、世界中の企業を震え上がらせているのは、この法律がその事業規模や本社が所在する国・地域に関係なく、EEA域内の個人データを処理するほぼ全ての組織に及ぶという点だ。
(引用ここまで)
メール配信はBCCではなく専用ステップメール配信スタンドで行う。
今後、日本にも同様の流れがやってくる可能性は十分にありますので、ステップメールやメルマガ配信による個人情報の保護・管理には細心の注意を払うようにしましょう。
繰り返しとなりますが、「Bccによる一斉メール送信」は個人情報流出に繋がる恐れがあり、大変危険です。
多くのステップメール配信スタンドでは誤送信が起きないような工夫が施されていますので、弊社に限らず、運営歴の長い、信頼できる有料のメール配信スタンドを利用されることをお勧めします。
もちろん、有料のステップメール配信スタンドでも個人情報が流出するリスクはあります。100%安全ということはあり得ません。
ただ、少なくとも「Bccによる一斉メール送信」よりは人為的なミスも起こりにくく、安全です。