連邦スパム規制法とは?

連邦スパム規制法(CAN-SPAM Act)は、商用組織が発信するメールその他のメッセージを規制する法律です。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • CAN-SPAM法の対象となるメールを説明する
  • コンプライアンスに関するベストプラクティスを理解する
  • CAN-SPAM法とePrivacy指令の対比

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

連邦スパム規制法とは?

CAN-SPAM法は、企業、マーケティング担当者などの営利団体や非営利団体からの電子メールおよびその他のメッセージに関するさまざまな要件を規定する米国の法律です。この法律の対象となる電子メールは、件名、情報開示、ヘッダーに関する規則に従わなければなりません。さらに、この法律では、受信者が電子メールリストからの削除を要求する権利を定めており、法律に違反した企業に対する罰則を詳しく定めています。

この法律の正式名称は、Controlling the Assault of Non-Solicited Pornography and Marketing Act(未承諾のポルノグラフィーおよびマーケティング攻撃に対する規制法)です。この法律は2003年に制定され、連邦取引委員会によって施行されています。これは各州で制定された迷惑メール防止法の一部に取って代わるものですが、すべての種類に適用されるわけではありません。

CAN-SPAM法が適用されるメッセージの種類は?

CAN-SPAM法は、対象が消費者であるか企業であるかを問わず、メールを含むすべての商用メッセージに適用されます。FTCは、「商用メッセージ」を「商品又はサービスの広告又は販売促進を主要な目的とした、あらゆる商用電子メールメッセージ」と定義しています。受信者が事前に肯定的な同意をしたとしても、企業は法律のすべての側面に従わなければなりません。

一部の連邦裁判所は「電子メールメッセージ」には、ソーシャルメディアユーザーの受信トレイに送信されたメッセージや、ユーザーのウォールやフィードに投稿されたメッセージも含まれると解釈しています。FTCは、この法律はある種のテキストメッセージにも適用されるとしています。

取引に関するメールは法律の対象になるか?

CAN-SPAM法が適用されるためには、メッセージの主目的が商用的な内容である必要があります。購入の確認や輸送中の商品の追跡情報など、営利団体と受信者の間で進行中またはすでに合意した取引に関連する内容の場合は法律の対象とはなりません。このトピックについては、FTCのWebサイトでより詳しく説明しています。

例えば、アリスがオンラインで本を購入し、確認メールを受け取ったとします。これは進行中の取引に関するものであるため、CAN-SPAM法の対象にはなりません。もし販売者が後で彼女にプロモーションに関するマーケティングメールを送った場合、そのマーケティングメールは法律のルールに従う必要があります。

コンプライアンスを確保するためのベストプラクティスは?

CAN-SPAMのルールは非常に単純です。メール送信者は以下の方法でコンプライアンスを確保することができます。

  • メールのメインコンテンツと明確に関連する件名を選ぶこと
  • 広告であることを明確にする - 欺瞞的であってはならない
  • メッセージのどこかに企業の住所を記載すること
  • 受信者が配信停止(以降のメール配信を停止)できるオプションを提供すること
  • メールのヘッダー情報(発信元のドメイン名、メールアドレス、「From」「To」「Reply-To」フィールドなど)の正確性を確保ること

CAN-SPAM法とEUのePrivacy指令との相違点は?

ePrivacy指令は、迷惑メール、Cookieの使用、データの最小化、およびデータプライバシーのその他の側面を規制しています。これは指令であるため、すべてのEU加盟国はこれを採択しなければなりませんが、独自の法律として採択することが認められています。最終的にePrivacy指令は、現在策定中のePrivacy規則によって置き換えられる予定です。

ePrivacy規則とCAN-SPAM法の最大の違いは、前者がメールの受信をオプトインしなければならないと規定しているのに対し、後者はオプトアウトの機能のみに言及している点です。

ただし、この指令のオプトイン要件は、組織と受信者との間に既にビジネス上の関係性がある場合には適用されません。また、受信者のメールアドレスを最初に収集した会社と同じ会社が送信者である限り、その受信者への「類似の製品やサービスのマーケティング」に対する除外も存在します。

さらに、ePrivacy規則では次のことを規定しています。

  • メールには、購読解除の機会が設けられていなければならない
  • 送信者の身元が詐称されていないこと
  • メールには有効な返信用アドレスが含まれていなければならない

オプトアウトはどのように行われるか?

企業では、配信を停止した過去の受信者のメールアドレスを追跡するために、オプトアウトリスト(サプレッションリストとも呼ばれる)を使用しています。

CAN-SPAMには、配信停止要求に関するいくつかのルールがあります。

  • 企業はオプトアウト要求を10営業日以内に処理しなければならない
  • オプトアウト可能な仕組みは、メッセージの送信から少なくとも30日間有効であること
  • 今後送信されるすべてのメッセージを停止するオプションを設けなければならない。企業は特定の種類の商用メッセージ(イベントに関するメールは受け取るが、新製品の案内は受け取らないようにするなど)のみを停止するオプションを追加することができます

受信者に連絡先メールアドレスを提供したり、記入フォームがあるWebサイトへのリンクなどのインターネットを利用した他の方法を提供するなど、企業はオプトアウトの仕組みを選択することができます。

CAN-SPAM法に違反した場合の罰則は?

罰金はメッセージごとに最高$43,792で、同じメッセージに対して複数の当事者が責任を負うこともあり得ます。企業は、マーケティングのために契約した第三者の行動に対して責任を負います。

注目すべきは、民間人にはこの法律に基づいて訴訟を起こすための立件権がないことです。その代わり、FTC、州弁護士、インターネットサービスプロバイダーがユーザーに代わって訴訟を起こします。

受信者がCAN-SPAM違反を報告するには?

FTCは、苦情に対して次の3つの選択肢を推奨しています。

  • FTC自体に送信者について報告する
  • メッセージをメールプロバイダーに転送する、またはメッセージをスパムとしてマークするオプションを選択する
  • 可能であれば、送信者が利用するメールプロバイダにメッセージを転送する

スパム送信者によるメールドメインの偽装を防ぐには?

スパム送信者は、CAN-SPAM法に違反するメールを、正当な組織のブランド名を使用して送信することがあります。これは、ドメインスプーフィングとして知られる手法です。スパム送信者はこの手法を使用してメールをより正当なものに見せかけ、より多くのユーザーがメールを読み、埋め込まれたリンクをクリックするよう誘導します。

CAN-SPAM法は、組織になりすましたスパマーが送信したメールに対して罰則を与えるものではありませんが、組織は、他者によるドメインの偽装を困難にするためにいくつかの措置を講じることができます。

Cloudflare Email Security DNS Wizardを使用することで、 DKIMSPFDMARCという3種類のメール認証方法を設定し、ドメインの偽装を防止することができます。