2023年は業界問わずDMARC導入を促進する動きが活発化した年でした。特にインパクトが大きかったのは、10月に大手クラウド企業3社(Google、Yahoo、Microsoft)から発表された、 一定量のメールを送信する企業に対してのDMARC義務化の告知です。本記事では業界別にどのような告知がされているか、要請内容や対応期日について整理してみました。
① 一定量のメールを送信する企業
2023年10月にGoogle、Yahoo、Microsoftの3社が一括送信メールにDMARCを義務化する旨を告知しました。Google、Yahooについては2024年2月から新たに発表した送信者のためのガイドラインが施行されます。 もし要件を満たしていない場合、メールが迷惑メールフォルダに振り分けられたり、拒否されたりする場合があります。対象者や要件詳細につきましては、各ガイドラインをご確認ください。
対応期日:2024年1月まで(Google、Yahoo)、明記なし(Microsoft)
参照リンク:
・Googleはこちらとこちら
・Yahooはこちらをご確認ください。
・Microsoftはこちらとこちらをご確認ください。
② クレジットカード
2023年2月に経済産業省、警察庁及び総務省は、クレジットカード番号等の不正利用の原因となるフィッシング被害が増加していることに鑑み、クレジットカード会社等に対し、DMARCの導入をはじめとするフィッシング対策の強化を要請しました。
対応期日:2024年1月まで
参照リンク:
・クレジットカード会社等に対するフィッシング対策強化の要請はこちらをご確認ください。
③ 政府/自治体/独立行政法人
2023年7月に政府統一基準の改訂があり、基本対策事項として情報システムセキュリティ責任者は、「DMARC による送信側の対策を行う」「DMARC による受信側の対策を行う」と送受信両方の対応が明記されました。
対応期日:2024年7月まで
参照リンク:
・政府機関等の対策基準策定のためのガイドライン (令和5年度版)「6.2.2 電子メール」はこちらをご確認ください。
④ 流通小売企業
クレジットカード会員情報の保護を目的とした国際統一基準である、PCI DSS v4.0にフィッシング対策としてDMARC対応が明記されました。
対応期日:2025年3月まで
参照リンク:
・Payment Card Industry データセキュリティ基準 要件とテスト手順 v4.0はこちらをご確認ください。
