AIサマリー
WordPressサイトにEUからの訪問者がいる場合、ご自身がそのことを認識しているかどうか、また事業拠点がヨーロッパにあるかどうかにかかわらず、GDPRの適用対象となります。
GDPRとWordPressに関するガイドの多くは、クッキーバナーやプライバシーポリシーに焦点を当てています。それらは確かに重要ですが、コンプライアンスには、はるかに注目されていない側面があります。それは、サイトから送信されるメールです。
WordPressがパスワードのリセット通知、WooCommerceの注文確認メール、またはニュースレターを送信するたびに、個人データの処理が行われています。つまり、GDPRが適用されます。
良いニュースは、ルールを理解すれば、必要な作業のほとんどは単純明快だということです。このガイドでは、GDPRがメールに関して求める要件、トランザクションメールとマーケティングメールの違い、同意、データ取り扱い、メール配信ツールの選択、そしてコンプライアンスを維持するための技術的な設定(各要件に応じたWP Mail SMTPの設定方法を含む)など、あらゆる内容を網羅しています。
注:これは法的助言ではありません。GDPRへの準拠は、個々の状況によって異なります。懸念事項がある場合は、資格を持つ弁護士にご相談ください。
GDPRはWordPressのメールにも適用されますか?
はい、もしサイトの訪問者にEUまたはEEAの居住者がいる場合、メールアドレスを含む個人情報の取り扱いにはGDPRが適用されます。
これはEUの企業に限った話ではありません。米国のWooCommerceストア、オーストラリアの会員制サイト、カナダのプラグイン開発会社など、EUの顧客を抱えている場合、その個人データの取り扱いについてはGDPRが適用されます。
メールアドレスは、GDPRにおける個人データに該当します。氏名も同様です。IPアドレスも同様です。あなたのサイトが顧客や購読者にメールを送信する場合、それはそのデータを処理していることになります。
とはいえ、GDPRによってメールの送信が禁止されるわけではありません。つまり、送信するには法的根拠が必要であり、送信するメールの種類によってルールが異なるということです。
規制の執行は現実のものとなっており、その動きは強まっています。GDPRの発効以来、スペインのデータ保護当局だけでも1,000件以上の罰金を科しており、Eメールマーケティングにおける違反は常に標的となっています。Googleは、同意取得の不備によりフランスで5,000万ユーロの罰金を科されました。 オーストリアの郵便事業者は、データ主体の権利に関する請求を適切に処理しなかったとして、950万ユーロの罰金を科されました。これらは例外的な事例ではなく、データ処理が規制に追いついていない場合に発生する典型的な違反事例です。
米国を拠点とするサイト運営者の方は、GDPRが、商用メールを規制する米国の連邦法であるCAN-SPAM法よりもはるかに厳格であることも知っておく価値があります。CAN-SPAM法ではオプトアウト方式(受信者が配信停止を申し出るまでメールを送信し続けることができる)が認められていますが、GDPRでは送信前にオプトインによる同意が求められます。EUからの訪問者がいる場合、米国の規制に準拠しているだけでは不十分です。
当サイトから送信される2種類のメール
WordPressサイトでは、根本的に異なる2種類のメールが送信されますが、GDPRではこれらを別々に扱います。
トランザクションメール
トランザクションメールは、ユーザーの行動によって送信されます。注文確認、発送通知、パスワード再設定、アカウントに関する通知、お問い合わせフォームへの返信などがこれにあたります。こうしたメールはユーザーが期待しており、受け取りたいと思っているものです。
GDPRの下では、一般的に、取引関連のメールを送信するために別途の同意を得る必要はありません。その法的根拠は、「契約の履行」(ユーザーが商品を購入したため、その取引を完了させること)か、「正当な利益」(パスワード再設定メールの送信は明らかにユーザーの利益になること)のいずれかとなります。
ただし、注意点があります。商品のおすすめや割引コード、「こちらもおすすめ」といったプロモーションコンテンツを追加した瞬間、メールの性質が変わってしまうため、その部分については同意が必要になる可能性があります。
最も安全な方法は、トランザクションメールをあくまで取引に関する内容に限定することです。購入後に顧客へのマーケティングを行う場合は、適切な同意を得た上で、別のメールを使用してください。
トランザクションメールに関する規則についてさらに詳しく知りたい場合は、トランザクションメールにおけるGDPRのベストプラクティスに関する当社の完全ガイドをご覧ください。
マーケティングメール
マーケティングメールの場合は事情が異なります。ニュースレターやプロモーションキャンペーン、あるいは販売や宣伝を主な目的とするメールを送信する場合は、送信前に受信者から明確な同意を得る必要があります。
あらかじめチェックが入ったチェックボックスは有効とはみなされません。一括同意(利用規約の中にメールマーケティングの許可を隠すこと)も有効とはみなされません。同意は、自発的かつ具体的であり、撤回が容易でなければなりません。
メール配信の同意を適切に取得する方法
EUの購読者にマーケティングメールを送信する場合、最初から適切に同意を得ることが、その後のすべての活動の基盤となります。
有効な同意とはどのようなものか
加入者は、あらかじめチェックされているボックスではなく、チェックされていないボックスに自らチェックを入れることで、積極的に同意する必要があります。また、その同意はメールマーケティングに特化したものでなければならず、一般的なプライバシー規約の中に埋もれていてはなりません。さらに、誰からの連絡を受け取るのか、どのようなメールが届くのかについて、明確に説明されなければなりません。
また、同意が得られたことを証明できる必要があります。つまり、いつ同意が得られたか、同意書の内容、および加入者がどこで登録したかを記録しておく必要があります。監査の際に同意の記録を提示できない場合、その同意は存在しなかったのと同じ扱いとなります。
ダブルオプトイン
GDPRの下ではダブルオプトインは法的に義務付けられていませんが、最も正当性を主張しやすい手法です。ユーザーが登録すると確認メールが届き、確認のためにクリックして初めてメーリングリストに追加されます。これにより、明確な監査証跡が残り、偽のアドレスや入力ミスのあるアドレスを排除することができます。
登録解除は簡単でなければならない
同意の撤回は、同意を与えるのと同じくらい簡単でなければなりません。すべてのマーケティングメールには、正常に機能する配信停止リンクが必要です。配信停止の申請があった場合は、速やかに処理してください。対応の遅れは、コンプライアンス上のリスクとなるだけでなく、信頼性の問題にもつながります。
サイト上のフォーム
メールアドレスを収集するすべてのフォームにおいて、そのアドレスがどのような目的で使用されるのかを明確に示す必要があります。お問い合わせフォームとニュースレターの登録フォームでは目的が異なるため、それぞれ異なる同意文言が必要となります。
WPFormsをご利用の場合、フォーム設定画面から直接、GDPRに基づく同意項目を追加したり、IPアドレスの追跡を無効にしたり、Cookieの収集を停止したりすることができ、コードの記述は一切不要です。
既存のメーリングリストについてはどうでしょうか?
2018年にGDPRが施行される前にリストを作成した場合(あるいは明確なオプトインなしにメールアドレスを収集した場合)、問題が生じる可能性があります。GDPRの基準を満たす文言(チェックボックスが未選択の状態、登録者が何に同意しているのかの明確な説明)なしに収集された同意は、有効とはみなされません。
最も安全な方法は、再同意取得キャンペーンを実施することです。既存のメーリングリストに登録されている人々にメールを送り、積極的に再登録するよう求め、応じない人はリストから削除します。リストが縮小してしまうため、気が引けるかもしれませんが、罰金を科されるよりはましですし、再登録した人々は、登録したことをほとんど覚えていない古い連絡先よりも、はるかに高い関心を示してくれるでしょう。
購入したメールリスト
それらを使用しないでください。GDPRにおける同意は、貴組織に対して具体的に行われるものでなければなりません。ある企業からの連絡に同意したからといって、貴社からの連絡にも同意したとは限りません。GDPRの下では、金銭を支払って有効なメーリングリストを入手することはできません。
データ主体の権利と対応期間
GDPRに基づき、購読者や顧客は、貴社が保有する自身のデータについて、アクセス、訂正、または削除を求める権利を有しています。リクエストがあった場合、貴社は1か月以内に回答する必要があります。監査の際に問われる可能性のある事項であるため、すべてのリクエストとその対応内容を記録しておくようにしてください。
メールにおいて、どのような情報が個人データに該当するか
GDPRでは、個人データとは、直接的または間接的に個人を特定できるあらゆる情報を指します。電子メールに関しては、これには以下が含まれます:
- 氏名とメールアドレス
- IPアドレス
- アカウントに紐付けられた購入履歴
- メール本文に記載されている口座情報
このデータは、メールのログ、データベース、そして場合によってはサードパーティのメール配信業者のサーバーにも存在します。これらはすべてGDPRの適用対象となります。
データの最小化
GDPRのデータ最小化の原則とは、実際に必要なデータのみを収集・処理すべきであることを意味します。お問い合わせフォームで電話番号が必要ない場合は、収集しないでください。メールに関しては、取引に必要な範囲を超えて個人情報をメッセージに含めないようにしてください。注文確認メールに、顧客のアカウント履歴のすべてを記載する必要はありません。
保存期間
個人データは永久に保持し続けることはできません。GDPRでは、データをどのくらいの期間保持するかを決定し、不要になった時点で削除することが求められています。
メールマーケティングのリストに関しては、これは定期的に非アクティブな購読者を確認し、長期間反応のない人を削除することを意味します。メールログに関しては、業務上の目的で必要とされる期間を超えて保管しないことを意味します。(これについては、以下の「メールログ」のセクションで詳しく説明します。)
GDPRに準拠したメール配信ツールの選定
これは、多くのWordPressサイト運営者が見落としがちな点です。SendLayer、Amazon SES、Mailgun、Gmail、その他のSMTPプロバイダーといった外部サービスを通じてメールを送信する場合、個人データを第三者と共有することになります。
GDPRに基づき、個人データを第三者に委託して処理させる場合、当該第三者との間でデータ処理契約(DPA)を締結する必要があります。DPAとは、第三者が当該データをどのように取り扱うか、どのようなセキュリティ対策を実施しているか、およびデータ漏洩が発生した場合の対応について定めた契約です。
信頼できるメールサービスプロバイダーの多くは、通常、プライバシーポリシーや利用規約などの文書の中でDPA(データ処理契約)を提供しています。もしプロバイダーがこれを提供していない場合、それは深刻に受け止めるべき危険信号です。
データはどこに保存されていますか?
メールデータがEUまたは英国以外のサーバーに保存されている場合、そのデータ転送は法的に適切に処理されている必要があります。一部のプロバイダーでは、EU内にデータセンターを保有しており、ユーザーがこれを選択できるようになっています。また、他のプロバイダーでは、標準契約条項(SCC)を用いてデータ転送の正当性を確保しています。ユーザーにとってこれが懸念事項となる場合は、プロバイダーのデータ保管場所に関するオプションを確認してください。
どのメールソフトがログを記録しますか?
多くの外部メール配信サービスは、自社のサービスを通じて送信されたメールのログを記録しています。これらのログには個人データが含まれています。GDPRの「削除権」に基づき、ユーザーからデータの削除を求められた場合、メール配信サービスを含め、すべてのシステムにおいてその対応が可能でなければなりません。
どのメール送信ツールがログを記録しているか、また必要に応じてそれらを削除する方法を確認しておきましょう。当社の「WP Mail SMTP GDPR 準拠ドキュメント」では、主要なメール送信ツールとそのログ記録の仕組みについて解説しています。
技術要件:暗号化、認証、および情報漏洩時の通知
GDPRでは、個人データは転送中を含め、安全に管理されることが求められています。電子メールの場合、これには2つの意味があります。
TLS暗号化
メールはTLS(Transport Layer Security)接続を介して送信する必要があります。これにより、送信中のメールが暗号化され、傍受されるのを防ぐことができます。
WordPressのデフォルト設定 wp_mail() この機能ではTLS暗号化は保証されません。信頼できるメール送信サービスとWP Mail SMTPを併用する場合、メールはデフォルトで安全かつ暗号化された接続を介して送信されます。
メール認証:SPF、DKIM、およびDMARC
メール認証は、単に配信性を確保するための機能ではなく、セキュリティとコンプライアンスを確保するための機能でもあります。これら3つのプロトコルは、あなたのドメインから送信されたと主張するメールが実際にあなたから発信されたものであることを確認し、ドメインのなりすましから保護します。
- SPFは、受信メールサーバーに対し、どのサーバーがあなたのドメインを代表してメールを送信する権限を持っているかを通知します。
- DKIMは各メールに暗号署名を付加し、送信中に改ざんされていないことを証明します。
- DMARCは、メールがSPFまたはDKIMの検証に失敗した場合の処理方針を定義し、あなたの名義で送信されているメールを監視できるよう、レポートを送信します。
適切な認証が行われない場合、誰かがあなたのドメインから送信されたように見せかけたメールを送信し、あなたのブランドを利用して顧客をフィッシング攻撃の対象にする可能性があります。これはセキュリティ上の問題であり、ユーザーのデータを危険にさらすため、GDPR違反となる恐れがあります。
設定の手順については、DMARC、SPF、DKIMに関するガイドをご覧ください。
データ漏洩の通知
メールシステムが侵害され、個人データが漏洩した場合、GDPRでは、侵害の事実を把握してから72時間以内に、自国の監督当局へ通知することが義務付けられています。また、当該侵害が影響を受ける人々に重大なリスクをもたらすおそれがある場合は、影響を受ける人々に対しても直接通知する必要があります。
だからこそ、技術的なセキュリティ対策は必須なのです。脆弱な認証、暗号化されていない接続、古いプラグインは、単に配信の問題を引き起こすだけでなく、セキュリティ上のリスクにもつながります。WP Mail SMTPとお使いのメール送信ツールを常に最新の状態に保ち、組み込みのメールテスト機能を使って、認証が正しく機能しているかを確認してください。
WordPressのデフォルトのメール機能が、両方の点で機能しない理由
WordPressはPHPの mail() デフォルトでは、この機能はWebサーバーから直接メールを送信します。この場合、認証は保証されず、多くの場合TLSも使用されません。この方法で送信されたメールは、想像以上に頻繁に届かないことがあります。つまり、法的に義務付けられているトランザクションメール(パスワードのリセット通知やWooCommerceの注文確認など)が、ユーザーに届かない可能性があるということです。
WP Mail SMTP は、これを選択したメール送信ツール経由の適切な SMTP 接続に置き換え、暗号化と認証が正しく設定されます。
メールのログと削除権
GDPRは、個人に自身の個人データを削除してもらう権利、すなわち「忘れられる権利」を認めています。
ユーザーからデータの削除を求められた場合、メールシステム全体でその対応を行う必要があります:
- WordPressのデータベース(顧客アカウント、フォーム入力内容、注文記録)
- メールマーケティングのリスト
- WP Mail SMTPによって保存されたメールログ
- メール配信サービスが保持しているログ
WP Mail SMTP Proには、何が、いつ、誰に送信されたかを記録するメールログ機能が含まれています。これは監査証跡として記録されるため、コンプライアンス関連の文書化に役立ちますが、同時に、ログデータ自体についても保存ポリシーを策定する必要があることを意味します。
WP Mail SMTP を設定して、指定した期間経過後にログを自動的に削除するようにしたり、個別の削除リクエストに対応する際に手動で記録を削除したりすることができます。
GDPR準拠のためにWP Mail SMTPを設定する方法
ここでは、GDPR準拠のために重要なWP Mail SMTPの設定手順を順を追って解説します。
以下の手順1と2(メーラーの接続とテストメールの送信)は、WP Mail SMTPの無料版でも利用可能です。手順3から6(メールのログ記録、データの削除、メール制御、スマートルーティング)を利用するには、WP Mail SMTP Proが必要です。
ステップ1:GDPRに準拠したメール配信ツールを接続する
もし現在もWordPressのデフォルトのPHPメール機能を使用している場合は、まず適切なメール送信プラグインを接続する必要があります。WP Mail SMTPは、SendLayer、Amazon SES、Mailgun、Brevo、Gmail、Outlookなど、主要なプロバイダーをすべてサポートしています。
WordPressのダッシュボードから、「WP Mail SMTP」>「設定」>「一般」の順に進んでください。
「プライマリ接続」でメール送信ツールを選択し、設定手順に従ってください。各メール送信ツールはAPIまたはSMTP認証情報を使用して接続しますが、WP Mail SMTPが設定手順を順を追って案内します。
接続が完了すると、メールはPHPのメール関数ではなく、正規の認証済みSMTP接続を経由して送信されます。
メール配信サービスを選ぶ前に:そのプロバイダーがデータ処理契約を提供しているか確認してください。主要なプロバイダー(SendLayer、Amazon SES、Mailgun、Brevo)のほとんどは提供しています。GmailやGoogle Workspaceをご利用の場合は、Googleのデータ処理規約が適用されます。
ステップ2:テストメールを送信し、設定を確認する
メール送信ツールを接続したら、「WP Mail SMTP」>「ツール」>「メールテスト」に移動し、ご自身のメールアドレスにテストメールを送信してください。
メールが届いていることを確認し、メールのヘッダーを開いて(Gmailの場合:3つのドット > オリジナルを表示;Outlookの場合:ファイル > プロパティ)、以下の項目を探してください:
- DKIM署名— DKIMが有効であることを確認します
- spf=pass— SPFが通過したことを確認します
- dmarc=pass— DMARCが合格していることを確認します
これらのいずれかが不足しているか、正常に動作していない場合、WP Mail SMTPの「メールテスト」結果ページで問題が指摘され、修正すべき点が示されます。
ステップ 3: メールログの設定
WP Mail SMTP Proの機能。メールのログ記録機能は、Proプラン以上で利用可能です。Proプランにアップグレードする →
WP Mail SMTP Proのメールログには、サイトから送信されたすべてのメールの完全な記録が残されます。これはコンプライアンス関連の文書化において不可欠なものです。
ログを確認するには、「WP Mail SMTP」>「メールログ」に移動してください。「WP Mail SMTP」>「設定」>「ログ」から、以下の設定を行うことができます:
- メールを記録する— オンに切り替えて記録を開始する
- メール本文を記録する— メールの全文を記録します(コンプライアンス対策に役立ちますが、データ最小化の義務についても考慮してください)
- 保存期間— ログが自動削除されるまでの日数を設定します
実際の業務ニーズに合わせて保存期間を設定してください。ログを無期限に保存することはコンプライアンス違反となります。保存期間を定め、プライバシーポリシーに明記し、それを厳守してください。
ステップ4:データ削除の依頼に対応する
メールのログ記録機能(Pro版)が必要です。ログ記録が有効になっている場合のみ、メールレコードの検索および削除が可能です。
ユーザーが削除権を行使した場合、WP Mail SMTPのログからそのユーザーのメール記録を削除する必要があります。
「WP Mail SMTP」の「メールログ」で、ユーザーのメールアドレスを検索し、該当するレコードを選択して、一括削除オプションを使用して削除してください。
メールソフト側でも削除処理を確実に行ってください。送信済みメールの記録を削除する方法については、お使いのメールソフトのマニュアルをご確認ください。
ステップ5:メールの設定を確認する
WP Mail SMTP Proの機能。メール設定機能はProプラン以上で利用可能です。Proプランにアップグレード →
WP Mail SMTP Proの「メール制御」機能を使用すると、WordPressがサイトから送信するメールの種類や、どの接続経路を通じて送信するかを管理できます。
「WP Mail SMTP」>「設定」>「メール制御」に移動すると、プラグインおよびWordPress本体によるメールの種類の一覧を確認できます。これには、WooCommerceの注文メール、コメント通知、ユーザー登録メールなどが含まれます。
これは、コンプライアンスの観点から2つの点で有用です:
- サイトが必要としないメールの種類は無効にできます(データの最小化、つまり、機能を使用していない場合は、その機能に関連するメールを送信しないようにします)。
- 異なる種類のメールを、それぞれ別のメール配信サービス経由で送信することができます。例えば、WooCommerceのトランザクションメールSendLayer 経由でSendLayer アカウント通知は別の接続経由で送信するといった具合です。
手順 6:バックアップ接続の設定
WP Mail SMTP Proの機能。スマートルーティングとバックアップ接続は、Proプラン以上で利用可能です。Proプランにアップグレード →
WP Mail SMTP Proの「スマートルーティング」機能を使えば、メインのメール送信機能が失敗した場合に自動的に切り替わるバックアップ接続を設定できます。これはGDPRの観点からも重要です。なぜなら、パスワード再設定メールが届かないと、ユーザーは自分のアカウントにアクセスできなくなり、それはプライバシーに影響を及ぼすサービス障害となるからです。
「WP Mail SMTP」>「設定」>「接続」に移動し、予備の接続を追加してスマートルーティングを設定してください。
ステップ7:メール配信ツールのGDPR関連文書を確認する
メール配信サービスとの接続が完了したら、10分ほど時間を取って、そのサービスのGDPR/DPA関連文書を探し、確認してください。以下の点を確認する必要があります:
- データ処理契約書をご用意しております(必要に応じてご承諾ください)
- データがどこに保存されているか、またEU/英国からデータが流出するかどうかが分かっている
- ログの保存期間の設定を理解し、必要に応じてログを削除する方法を知っている
最も人気のあるプロバイダーと、そのDPA関連文書の入手先:
| プロバイダー | DPAのドキュメント |
|---|---|
| SendLayer | プライバシーに関する資料に記載されています |
| アマゾンSES | AWSデータ処理補足条項 |
| メールガン | Sinch/Mailgunの利用規約 |
| ブレヴォ | GDPR関連の資料に記載されています |
| グーグル・ワークスペース | Google Workspace DPA(Workspaceの利用規約に同意すると自動的に適用されます) |
GDPRメール対応チェックリスト
これを使って、現在の設定を確認してください。
同意とリスト
- ☐ マーケティングメールは、自ら登録した人にのみ送信されます
- ☐ 同意記録が保存されている(いつ、どこで、何に同意したか)
- ☐ すべてのマーケティングメールには、正常に機能する配信停止リンクが記載されています
- ☐ 配信停止の申請は速やかに処理されます
- ☐ 非アクティブな購読者は定期的に確認されます
データの取り扱い
- ☐ プライバシーポリシーは最新の状態に更新されており、メール内にリンクが掲載されています
- ☐ 実際に必要なデータフィールドのみを収集します
- ☐ データ保持ポリシーを策定しており、それに従っている
- ☐ データへのアクセスおよび消去の請求には、1か月以内に対応できます
技術的な設定
- ☐ WordPressからのメールはWP Mail SMTP経由で送信されます(PHPのメール関数ではありません)
- ☐ メールはTLS暗号化で送信されます
- ☐ SPF、DKIM、およびDMARCレコードが設定されており、検証に合格しています
- ☐ WP Mail SMTP でメールログの保存期間が設定されています
- ☐ どのメーラーがログを記録しているか、またその記録を削除する方法を知っている
サードパーティ製のメール配信ツール
- ☐ メールサービスプロバイダーとDPAを締結しています
- ☐ メール配信サービスがデータをどこに保存しているか、またそのデータがEU/英国外に流出するかどうかをご存知ですか
よくあるご質問
EU域外に拠点を置いている場合でも、GDPRは適用されますか?
はい。EUまたはEEAに居住する訪問者や顧客がいる場合、事業所の所在地にかかわらず、そのデータの取り扱いにはGDPRが適用されます。
取引関連のメールを送信するには、同意が必要ですか?
いいえ、通常はそうではありません。注文確認、パスワードのリセット、発送通知などのトランザクションメールは、「正当な利益」または「契約の履行」に該当します。これらについては、別途マーケティングに関する同意を得る必要はありません。ただし、プロモーションコンテンツを追加すると状況が変わってしまうため、あくまでトランザクションメールとしての性質を厳守してください。
メールアドレスはGDPRにおける個人データに該当しますか?
はい。個人を特定できるメールアドレスは個人データに該当します。氏名、IPアドレス、およびアカウントに紐づく購入履歴も同様です。
データ処理契約とは何ですか?
DPAとは、お客様と、お客様に代わって個人データを処理する第三者との間で締結される契約のことです。外部のSMTPサービスやメールプラットフォームを利用してメールを送信する場合は、そのプロバイダーとDPAを締結する必要があります。信頼できるプロバイダーの多くは、利用規約やプライバシーポリシーなどの文書の中で、こうした契約を提供しています。
WP Mail SMTPは、Awesome Motiveのサーバーに個人データを保存していますか?
いいえ。WP Mail SMTPは、すべてのプラグインデータをユーザー自身のサイトに保存します。Awesome Motiveはユーザーのメールデータを保持しません。
GDPRに準拠しなかった場合、どうなるのでしょうか?
罰金は2,000万ユーロ、あるいは全世界の年間売上高の4%のいずれか高い方の金額に達する可能性があります。実際には、執行措置は通常、警告や注意から始まり、その後、金銭的制裁へとエスカレートします。多くの中小企業にとって、より差し迫ったリスクは、顧客からの信頼を失うことです。
トランザクションメールには配信停止リンクが必要ですか?
純粋な取引関連のメールについては、同意に基づいて送信されるものではないため、厳密には必須ではありません。ただし、すべてのメールのフッターにプライバシーポリシーへのリンクを記載することは、推奨される慣行です。
WordPressのメール送信機能としてGmailを使えますか?
はい、ただしEUのユーザーがいる場合は、Googleのデータ処理規約を確認してください。GmailやGoogle Workspaceは、Googleのサーバー上でデータを処理します。大量のメール送信を行う場合は、SendLayer 専用のトランザクションメールサービスSendLayer 信頼性が高く、GDPRへの準拠記録も管理SendLayer 。
GDPRはB2Bメールにも適用されますか?
はい。[email protected] のような業務用メールアドレスは個人を特定するものであるため、個人データに該当します。B2Bの場合、ルールはもう少し複雑になります。関連する製品やサービスについてビジネス上の連絡先にメールを送る場合、「正当な利益」を根拠とすることはより説得力がありますが、それでも「同意」を得る方が最も安全なアプローチです。判断に迷う場合は、明示的なオプトインを取得してください。
購入したメールリストを使ってもいいですか?
いいえ。GDPRに基づく同意は、貴組織に対して具体的に与えられたものでなければなりません。他社からのメール受信に同意した人々は、貴社からのメール受信には同意していないことになります。GDPRの下では、有効なメーリングリストを購入することはできません。
GDPR施行前に収集した古いメールリストはどうすればよいでしょうか?
もし、リストがGDPR基準に準拠した同意(チェックされていないオプトインボックス、登録内容の明確な説明)なしに作成されたものである場合、法的なリスクを抱えていることになります。最も安全な方法は、再同意を求めるキャンペーンを実施することです。リスト登録者全員に、どのような情報を送信するかを説明し、改めてオプトインするよう依頼するメールを送信し、返信がない人をリストから削除します。リストの規模は縮小しますが、残った連絡先は規制に準拠しており、エンゲージメントも大幅に高まります。
GDPRとCAN-SPAMの違いは何ですか?
CAN-SPAM法は、商用電子メールを規制する米国の連邦法です。この法律ではオプトアウト方式が認められており、受信者から停止の要請があるまではメールを送信し続けることができます。一方、GDPRでは、最初のマーケティングメールを送信する前にオプトインによる同意を得る必要があります。EUからの訪問者がいる場合、米国の規制に準拠しているだけでは不十分です。GDPRの規定が優先して適用されます。
もし自分のメールプロバイダーがハッキングされたらどうなるのでしょうか?
データ漏洩により個人データが流出した場合、GDPRでは72時間以内に各国の監督当局へ通知することが義務付けられています。影響を受ける人々に高いリスクがある場合は、本人に対しても直接通知する必要があります。そのため、プラグインやメール配信ツールを常に最新の状態に保ち、プロバイダーとデータ処理委託契約(DPA)を締結しておくことが重要です。DPAには、データ漏洩が発生した場合の各当事者の義務が明記されている必要があります。
このガイドでは、GDPR準拠におけるメール送信に関する事項について解説します。クッキー、アナリティクス、プライバシーポリシーなど、WordPressのGDPR準拠に関する詳細については、WPBeginnerの「WordPressとGDPR準拠に関する完全ガイド」をご覧ください。
次に、メールの配信率を最大化しましょう
メールをGDPRに準拠させることは、課題の半分に過ぎません。残りの半分は、メールが確実に受信トレイに届くようにすることです。コンプライアンスを確保するための技術的な設定(適切な認証、信頼できるメール配信サービス、暗号化された接続など)は、メールが受信トレイに届くか、スパムフォルダに振り分けられるかにも大きな影響を与えます。さらに詳しく知りたい方は、WordPressメール配信のベストプラクティスに関する当社のガイドをご覧ください。送信者のレピュテーションやリストのメンテナンスから、サブドメインやセグメンテーションに至るまで、あらゆる内容を網羅しています。
メールを修正する準備はできていますか?最高のWordPress SMTPプラグインで今すぐ始めましょう。メールを修正する時間がない場合は、追加購入としてWhite Glove Setupのフルサポートを受けることができます。
この記事がお役に立ちましたら、Facebookや TwitterでWordPressのヒントやチュートリアルをご覧ください。
