コールドメール：規制を遵守し、ベストプラクティスを実践するための完全ガイド（成果を出すために！）

コールドメールやメールマーケティングは合法なのでしょうか。

国によって違いはあるのでしょうか。

これらは、この記事で回答する質問のほんの一部です。主な目的は2つあります。第一に、現在施行されている規制を完全に理解すること。第二に、商用メールを送信する場合に具体的に何をすべきかをガイドすることです。

コールドメールの合法性と現在の規制

コールドメールはすべての国で合法ですか。

はい、ほとんどの国において、コールドメールは特定の条件下で許可されています。

しかし（「しかし」があるのは好ましくないことは承知しています！）、カナダやデンマークのように、コールドメールに関して非常に厳しい規制を設けている国もあります。

さらに、B2Cの受信者宛てのメール（ほとんどの場合、明示的な同意「オプトイン」が必要）と、B2Bの受信者宛てのメール（現地の法律に応じて一定の条件下で許可される場合がある）を区別することが極めて重要です。

まだ明確ではありませんか。ご安心ください。完全に準備を整えられるよう、包括的なチェックリストを使ってすべてを解説します。

主な規制にはどのようなものがありますか。

商用メールの送信は、世界中のいくつかの規制によって管理されています。対象国によって、ルールは厳しかったり、それほど厳しくなかったりと異なります。現在施行されている主な法律の概要は以下の通りです。

GDPR（欧州連合）
CAN-SPAM法（米国）
CASL（カナダ）
PECR（英国）
スパム法（オーストラリア）

これらはすべて、同じ基本原則に従っています。

商用またはプロモーション目的（製品、サービス、パートナーシップの販売）のメッセージに適用されます。
メール、SMS、インスタントメッセージ、電話、ソーシャルメディアのメッセージなど、さまざまな通信チャネルを対象としています。
送信者の出身地に関係なく、特定の国の居住者にメッセージを送信する個人または企業に適用されます。

⚠️ ただし、異なる規制が重複する可能性があるため注意してください！ 米国企業がより厳しい法律を持つ国の受信者に商用メールを送信する場合、その厳しい法律も適用される可能性があります。

例

フランスの企業が米国の見込み客にメールを送信する場合 → CAN-SPAM法が適用されます。
米国の企業がフランスの見込み客にメールを送信する場合 → CAN-SPAM法とGDPRの両方が適用されます。

CAN-SPAM法（米国）

CAN-SPAM法とは何ですか。

Controlling the Assault of Non-Solicited Pornography And Marketing Act（CAN-SPAM法）は、いくつかの義務を課しています。最も重要なものは以下の通りです。

送信者は「差出人（From）」「宛先（To）」「返信先（Reply-To）」フィールドで明確に識別される必要があり、メールヘッダーは誤解を招くものであってはなりません。
メールの件名は、その内容を正確に反映している必要があります。
送信者はメッセージの商用性質について透明性を保つ必要があります。ただし、内容が誤解を招くものでなければ、メールが広告であることを明示的に記載することは必須ではありません。
各メールには、送信企業の住所（本社、オフィス、または登録済みの私書箱）を記載する必要があります。
メールには、使いやすい登録解除（配信停止）リンクを含める必要があります。送信者は10日以内に登録解除リクエストを処理しなければなりません。登録解除オプションは無料で提供される必要があり、メールアドレス以外の追加情報を要求してはなりません。例えば、送信者は受信者に対して、登録解除のためにアカウントへのログインやフォームへの入力を要求することはできません。
一度登録解除した人には、その送信者からの商用メールを送信してはなりません。

コンプライアンス違反に対する罰則は何ですか。

主な罰則として、企業は違反メール1通につき最大51,744ドルの罰金を科される可能性があります。さらに、企業の経営陣や責任者は個人的な責任を問われる可能性があります。また、詐欺的または誤解を招くメールは、刑事犯罪として扱われる場合もあります。

CAN-SPAM法を遵守するためのコールドメールのベストプラクティスチェックリスト

1️⃣ 送信者を正しく識別する

「差出人」「宛先」「返信先」フィールドには、明確で検証可能な名前とメールアドレスを使用してください。
送信者の身元を隠したり、偽造したりしないでください。
会社に連絡が取れる有効な物理的住所（米国内のオフィス、本社、または登録済みの私書箱）を提供してください。

2️⃣ CAN-SPAM法に準拠したメールを作成する

件名は誠実であり、メッセージの内容を正確に反映している必要があります（誤解を招くタイトルは禁止）。
メールが広告やプロモーションである場合は、そのように明確に識別できるようにしてください。CAN-SPAM法は「広告」というラベルを明示的に要求してはいませんが、メッセージの提示においていかなる形の欺瞞も禁止されています。
メール内で虚偽の情報や誤解を招くヘッダーを使用しないでください。

3️⃣ 明確で簡単な登録解除オプションを含める

目に見える使いやすい登録解除リンクを追加してください。
登録解除のためにアカウントへのログインや追加情報の提供を要求しないでください。また、リクエストが10日以内に処理されるようにしてください。

4️⃣ 高い到達率を確保し、スパムとしてマークされるのを防ぐ

プロフェッショナルなメールアドレスを使用し、汎用的なアドレス（例: no-reply@、info@）は避けてください。
DKIM、SPF、DMARCの設定を適切に行ってください。
大量のメールを一度に送信するのではなく、段階的かつターゲットを絞った送信を選択してください。

5️⃣ 返信を管理し、送信済みメールを追跡する

「返信先」アドレスが機能しており、監視されていることを確認してください（受信者がメールに返信できるようにする必要があります）。
登録解除した連絡先の記録を保持し、商用メッセージが送信されないようにしてください。

CAN-SPAM法に準拠した商用メールの例

良い例を見る前に、反面教師となる例を確認しましょう。

❌ なぜこのメールは違法なのですか。

実際はマーケティングメールであるにもかかわらず、ユーザーのアカウントが停止されたと偽っています。
Amazonから送信されたように装っていますが、実際は異なります。
プロモーションメッセージではなく、セキュリティ警告のような印象を与えています。
物理的な住所や登録解除オプションが含まれていません。

次に、従うべき例を紹介します。

✅ なぜこのメールは準拠しているのですか。

件名がメッセージの内容を正確に反映しています。
送信者が明確に識別されています（名前とプロフェッショナルなメールアドレス）。
商用オファーであることが明確に記載されています。
連絡先として物理的な住所が含まれています。
登録解除オプションが明確で機能しています。

GDPR（欧州連合）

GDPRとは何ですか。

2018年に施行された一般データ保護規則（GDPR）は、個人データを収集・処理する企業や組織に厳格なルールを課すことで、欧州市民の個人データを保護することを目的としています。

📌 商用メールの送信のみを規制するCAN-SPAM法とは異なり、GDPRはあらゆる形式の個人データ処理に適用されます。

GDPRは2つの主要な原則に基づいています。

明示的な同意（オプトイン）: 個人データの収集と使用、特にマーケティングメールの送信には一般的に必要です。場合によっては、企業は「正当な利益」など、別の法的根拠（特にB2Bコミュニケーションの場合）を主張できることがあります。
消去権（「忘れられる権利」）: 法的義務、進行中の契約、公共の利益など、保持が必要な場合を除き、個人は自身の個人データの削除を要求できます。

💡便利な定義: GDPRでは、個人データを、自然人を直接的または間接的に識別するあらゆる情報と定義しています。

直接的識別子：氏名、メールアドレス、電話番号など
間接的識別子：IPアドレス、Cookie、位置情報データなど
機密データ：健康情報、民族的出自、政治的意見、性的指向など（より厳格に保護されます）

個人データを扱う企業に課される主要な原則：

データは合法かつ透明性を持って収集・処理されなければなりません（隠れた収集や誤解を招く収集は禁止）。
データは特定の、正当な、明確に定義された目的のために収集されなければなりません（例：ニュースレターの購読）。
厳密に必要なデータのみを収集すべきです（過剰なデータ収集は禁止）。
データは無期限に保持してはならず、当初の目的を達成するために必要な期間のみ保持する必要があります。
企業はデータを保護しなければなりません（不正アクセス、紛失、漏洩に対して）。

GDPRコンプライアンス違反に対する罰則

GDPRを遵守しない企業には、最大2,000万ユーロ、または全世界の年間売上高の4%のいずれか高い方の罰金が科されます。

例：

Meta/Facebook（2023年）：米国への違法なデータ転送により12億ユーロの罰金。

GDPRを遵守するためのコールドメールのベストプラクティスチェックリスト

1️⃣ オプトインは必要か？

B2Cには事前同意（オプトイン）が必要：個人（B2C）にマーケティングメールを送信する前に、明示的な同意を得てください。
B2Bには必須のオプトインなし：ただし、正当な利益があることを確認し、メッセージが受信者の専門的な活動に関連していることを確認してください。

2️⃣ どのメールアドレスを使用すべきか？

受信者：個人のメールアドレス（例：Gmail、Yahoo）を使用して専門家に連絡しないでください。必ずプロフェッショナルなメールアドレス（例：[email protected]）を使用してください。
送信者：プロフェッショナルなメールアドレスを使用し、汎用的なアドレス（例：no-reply@、info@）は避けてください。

3️⃣ GDPRに準拠したメールを作成する

送信者の身元を明確にする：送信者の名前と会社名を記載してください。
連絡の理由を説明する：正当な専門的つながりを明確にしてください。
透明性に関する声明を追加する：連絡先情報をどこで入手したかを説明してください（例：「LinkedIn / 公式ウェブサイトで連絡先を見つけました」）。
誤解を招く件名は禁止：件名はメールの内容を正確に反映している必要があります。
プライバシーポリシーへのリンクを含める：個人データがどのように管理されているかを明確に説明してください。
明確な登録解除オプションを提供する：例えば、「今後メールの受信を希望されない場合は、こちらをクリックしてください」と記載します。

4️⃣ 高い到達率と評判を確保する

スパムとしてフラグが立てられないよう、DKIM、SPF、DMARCを適切に設定してください。
個別送信を優先する：評判を維持するために、一括送信は避けてください。
各メールをパーソナライズする：エンゲージメントを高めるために、受信者の姓名を含めてください。

5️⃣ 受信者の権利を管理する

登録解除リクエストを直ちに処理する：リクエストから30日以内に行ってください。
削除を要求した個人に再連絡しない：一度データ削除を要求されたら、そのリクエストを永久に尊重してください。
登録解除の記録を保持する：監査の際にコンプライアンスを証明できるよう、登録解除の証拠を保持してください。

6️⃣ 収集したデータを管理・保護する

必要な期間のみデータを保存する：古いメールや不要なメールを保持しないでください。
データを適切に保護する：不正使用からデータを保護するために、暗号化とアクセス制限を実装してください。
GDPR対応手順を確立する：データへのアクセス、変更、削除リクエストに対するプロセスを設定し、コンプライアンスを確保してください。

PECR（英国）

英国でのコールドメールに関しては、PECRと英国GDPRは切り離せません。ここで「えっ、2つの規制？」と思われるかもしれません。🫨

ご安心ください！PECRはマーケティングメールを規制し、英国GDPRはそれらのメールで使用される個人データの管理を規制しています。データ保護に関しては、英国GDPRはEU GDPRと同じくらい厳格です。したがって、GDPRコンプライアンスを習得していれば、ここでの違いはありません。PECRに関しては、B2Bではより寛容ですが、B2CではGDPRと同じくらい厳格です。

👉 要約：GDPRに完全に準拠していれば、PECRにも自動的に準拠しており、その要件の一部を超えていることさえあります。

GDPRとの主な違い：B2Bマーケティングメールの送信

汎用アドレス（例：[email protected]）：PECRでは事前の同意なしに送信できます。
個人アドレス（例：[email protected]）：メッセージが受信者の役割に関連している限り、通常は正当な利益で十分です。

CASL（カナダ）

GDPRが厳しいと思っていたなら、覚悟してください。カナダはコールドメールを真剣に受け止めています！

CASLとは何ですか。

2014年に制定されたカナダの反スパム法（CASL）は、商用メールに関して世界で最も厳しい法律の1つです。CAN-SPAM法やGDPRとは異なり、CASLはいくつかの特定の例外を除き、明示的な同意（オプトイン）を必要とします。

基本原則：強制的なオプトイン。 CAN-SPAM法（単純なオプトアウトで十分な場合）とは異なり、CASLはほとんどのケースで事前の同意（オプトイン）を義務付けています。黙示の同意は非常に厳しく規制されています。

💡 知っておくと良いこと：受信者が企業とそれ以上のやり取りをしていない場合、黙示の同意は6〜24か月後に失効します。

CASLコンプライアンス違反に対する罰則

罰金は特に厳しく、企業に対しては最大1,000万カナダドル、個人に対しては最大100万カナダドルが科されます。さらに、民事訴訟が提起される可能性もあります。

CASLを遵守するためのコールドメールのベストプラクティスチェックリスト

より効率的に進めるために、前述のGDPR固有のチェックリストを使用することをお勧めします。CASLコンプライアンスを確保するために、GDPRと異なる点は以下の通りです。

1️⃣ オプトイン

B2CおよびほとんどのB2Bコミュニケーションの両方でオプトインが必要です。

例：

チェックされていないボックスをチェックしてメール受信に同意するフォーム。

ニュースレターへの自発的な登録。

ダブルオプトイン（登録後の確認メール）。

2️⃣ 黙示の同意は例外的であり、厳密に制限されています：

既存のビジネス関係：例えば、受信者が過去24か月以内に製品またはサービスを購入している場合。
見込み客からの問い合わせ：例えば、過去6か月以内にウェブサイトの問い合わせフォームに記入したことがある場合。
非営利団体間または同じ協会のメンバー間の関係。

3️⃣ 登録解除リクエストは、最大10日以内に処理する必要があります（GDPRで要求される30日以内ではなく）。

スパム法（オーストラリア）

スパム法とは何ですか。

スパム法（2003年）は、送信者の国籍に関係なく、オーストラリアの受信者に電子メッセージを送信するすべての個人または組織に適用されます。この法律はCASL（カナダ）と非常に似ています。

スパム法を遵守するためのコールドメールのベストプラクティスチェックリスト

前述のCASL固有のチェックリストに従うことをお勧めします。ただし、2つの重要な点が異なります。

第一に、スパム法では、既存のビジネス関係が確立されている場合（例：過去24か月以内に行われた購入）、B2B状況における推定的同意が認められています。

💡 便利な定義：推定的同意とは、既存のビジネス関係や最近の問い合わせ（通常6か月以内）に基づき、受信者がメールの受信に同意していると合理的に解釈することです。法律では、以前の商用関係または最近の情報リクエストに基づいている必要があると規定されています。

次に、登録解除リクエストは、CASLで要求される10日ではなく、5営業日以内に処理する必要があります。

専門家の洞察：Mail Merge for Gmailでコールドメールのベストプラクティスを採用する

簡単で目に見える登録解除リンクを提供する

受信者が簡単に登録解除できるようにすることは、法的要件であるだけでなく、敬意の表れでもあります。

さらに、Mail Merge for Gmailではこれを行うための2つの方法を提供しています。1つ目は標準化された完全な登録解除フッターを挿入する方法です。2つ目はカスタム登録解除リンクを挿入する方法です。

💡 専用のドキュメントですべてを説明しています。

登録解除を効率的に管理する

登録解除した人には二度と連絡しないでください。コンプライアンスを維持するために不可欠です。手動管理はリスクが高く、エラーが発生しやすいものです。

Mail Merge for Gmailなら、余分なドキュメントを作成する必要はありません。Google Sheetから直接すべてを管理し、登録解除用の特定の列を作成できます。

セキュリティを軽視しない

セキュリティは、コールドメールにおいて重要な問題です。個人情報やメールキャンペーンのやり取りを含め、見込み客のデータが不正アクセスから保護されていることを確認する必要があります。

Mail Merge for Gmailなら：

データはGoogleのサーバー上で安全に保護されます。
送信中および保存中のデータを暗号化する高度なセキュリティプロトコル（AES 256ビット）。
2要素認証（2FA）を備えたGoogleサインインによる認証。
個人データは第三者と共有されません。
Mail Mergeはあなたのメールにアクセスできません。
ISO 27001認証取得。
CASA Tier 3認証取得。

💡 最も推奨される20のコールドメールツールをテストしました。8つの基準に基づいて評価し、7つが際立っていました。

結論として、さまざまな規制とベストプラクティスを明確に理解していただけたなら幸いです！コンプライアンス要件を満たすための最適なツール、Mail Merge for Gmailを試してみてはいかがでしょうか。