メールコンプライアンスは、コストが発生するまで誰もが無視しがちなトピックです。そして、そのコストは非常に高くなる場合があります。
メールマーケティングの規制環境は国によって大きく異なります。米国では完全に合法なことが、カナダやオーストラリアでは多額の罰金を招く場合があります。ほとんどの企業と同様に国際的に送信している場合、購読者が住むすべての管轄区域のルールを理解する必要があります。
これは罰金を回避するためだけではありません。コンプライアンスは信頼を構築します。消費者がかつてないほどプライバシーを意識している時代において、信頼はエンゲージメントと収益に直結します。
この章では、主要な規制、コンプライアンスを維持するための実践的なステップ、およびすべての送信者に影響を与える新興の技術要件について説明します。
GDPR(EU)
一般データ保護規則は、依然として世界で最も厳格かつ影響力のあるメールプライバシー法です。EU の購読者がいる場合、ビジネスがどこに拠点を置いていても GDPR が適用されます。
GDPR における同意は、自由に与えられ、具体的で、インフォームドで、明確なものでなければなりません。これは高いハードルです。事前にチェックされたボックスはカウントされません。まとめられた同意(「登録してマーケティングに同意する」)は、マーケティングの同意がサービス登録から分離されていない限りカウントされません。沈黙はカウントされません。非活動はカウントされません。
人々に何に登録しているかを正確に伝える必要があります。「ニュースレターに登録する」は許容されます。「アカウントを作成することで、プロモーション通信の受信に同意します」が利用規約の第 47 段落に埋め込まれているのは許容されません。
忘れられる権利とは、要求されたときに「不当な遅延なく」誰かのデータを削除しなければならないことを意味します。実際には、30 日以内を意味します。これには、ESP だけでなく、すべてのシステムのすべての個人データが含まれます。CRM データ、メールに紐付けられた購入履歴、分析データ、すべてです。これらのリクエストを受け取る前に、対処するための文書化されたプロセスを構築してください。なぜなら、必ず受け取ることになるからです。
プライバシー・バイ・デザインおよびデフォルトとは、後から追加するのではなく、最初からプライバシーを念頭に置いてシステムを構築する必要があることを意味します。必要なものだけを収集してください。安全に保存してください。不要になったら削除してください。
同意記録については、その購読者への最後の送信後 3〜7 年間、文書を保持してください。いつ、どのように、何に同意したか、そして同意時にどのような情報が提示されたかを記録してください。規制当局が尋ねた場合、同意が有効であることを証明する必要があります。同意時の登録フォームのスクリーンショットをタイムスタンプ付きでアーカイブすることが最善の防御手段です。
2 年ごとに同意を更新してください。24 か月間音信不通の購読者に再許可キャンペーンを送信します。再確認した人は本当に興味を持っています。確認しない人は削除すべきです。法的に問題のある大きなリストよりも、小さくてもコンプライアンスを遵守したリストを持つ方が良いです。
GDPR の罰金は、年間グローバル売上高の 4% または 2,000 万ユーロのいずれか高い方に達する可能性があります。業界を問わず多額の罰金が科されています。これは理論的なリスクではありません。
CAN-SPAM(米国)
CAN-SPAM は主要なメール規制の中で最も許容的です。また、最も誤解されています。
主要なルールは単純明快です。誤解を招くヘッダー、差出人名、または件名を使用しないでください。「差出人」名は誰がメールを送信しているかを正確に表す必要があります。件名はメールのコンテンツについて欺くものであってはなりません。注文がなかったのに「Re: ご注文について」は違反です。
すべての商業メールには物理的な郵送先住所を含める必要があります。私書箱やバーチャルオフィスの住所も許容されます。自宅の住所を公開する必要はありません。Earth Class Mail や iPostal1 などのサービスは、月額 $15 未満でこの要件を満たすバーチャルビジネスアドレスを提供しています。
オプトアウトのリクエストは 10 営業日以内に処理しなければなりません。登録解除メカニズムは、メール送信後少なくとも 30 日間は機能し続ける必要があります。登録解除のためにログインを要求しないでください。手数料を請求しないでください。メールアドレス以外の情報を要求しないでください。プロセスを完了するために 5 つのページをクリックさせないでください。
ほとんどの人が誤解しているのはここです。CAN-SPAM は技術的に、オプトアウトしていない人誰にでもメールを送ることができます。事前の同意は必要ありません。しかし「法的に許可されている」と「良い考え」は異なります。聞くことを求めていない人にメールを送ることは、発件人の評判を傷つけ、苦情を生み、メール到達率を下げます。できるからといって、すべきとは限りません。
違反には、1 通のメールにつき最大 $51,744 の罰則が科されます。これはキャンペーンごとではなく、個々のメール 1 通ごとです。10,000 人へのキャンペーンは理論上、5 億ドルを超える罰金をもたらす可能性があります。実際にそのレベルに達することはまれですが、FTC は数百万ドルの罰金につながるケースを追求しています。
ワシントン州には追加の層があります。誤解を招く件名に対して、受信者 1 人あたり $500 の罰金です。ワシントン州の住民にメールを送信している場合(おそらく送信しているでしょう)、件名は正確でなければなりません。
CASL(カナダ)
カナダの迷惑メール規制法は、CAN-SPAM よりも著しく厳格です。カナダの購読者がいる場合は、十分に注意してください。
CASL は、商業電子メッセージを送信する前に、明示的または黙示的な同意を必要とします。明示的な同意とは、誰かがあなたのメールを受け取ることに積極的に同意したことを意味します。黙示的な同意は、聞こえるよりも狭い概念です。
黙示的な同意は 2 つの状況に存在します。まず、既存のビジネス関係がある場合(誰かがあなたから購入した、契約を締結した、または問い合わせをした場合)、メールを送ることができます。ただし、購入からの黙示的な同意は取引後 2 年で期限切れになります。問い合わせからの黙示的な同意は、問い合わせ後 6 か月で期限切れになります。これらの期間が終了したら、明示的な同意が必要であるか、送信を停止します。
これは、同意の有効期限を追跡するシステムが必要であることを意味します。誰かが 2024 年 3 月 15 日にあなたから購入した場合、黙示的な同意は 2026 年 3 月 15 日に期限切れになります。その日付よりずっと前に同意更新キャンペーンを実施し、まだメールを送る権利があるうちに黙示的な同意を明示的な同意に変換すべきです。
罰則は厳しいです。企業の場合、違反 1 件につき最大 1,000 万カナダドルです。CASL には個人の訴訟権も含まれており、個人がお客様を直接訴えることができます。実際的な影響として、カナダの購読者が多い企業は、黙示的な同意を誤って取り扱うリスクが高すぎるため、カナダの連絡先すべてに対してデフォルトで明示的なオプトインを採用することが多いです。
CCPA(カリフォルニア州)
カリフォルニア州消費者プライバシー法は、メール固有の法律ではありませんが、カリフォルニア州居住者のデータを保持するメールマーケターに影響を与えます。
収集時に、収集する個人情報のカテゴリーと収集目的を列挙した通知を提供する必要があります。これは登録フォームとプライバシーポリシーに適用されます。
カリフォルニア州の居住者には、収集した個人情報を知る権利、削除する権利、および個人情報の販売をオプトアウトする権利があります。購読者データを第三者に販売または共有する場合(広告、データエンリッチメント、またはリストレンタルのため)、「個人情報を販売しないでください」のメカニズムが必要です。
罰則は、意図しない違反に対して $2,500、意図的な違反に対して $7,500 です。カリフォルニア州司法長官とカリフォルニア州プライバシー保護機関の両方が執行権限を持っています。
CPRA(カリフォルニア州プライバシー権法)は CCPA を拡張し、不正確な情報を修正する権利を追加し、追加の保護措置を伴う「機密個人情報」の新しいカテゴリーを作成しました。メールマーケティングで正確な位置情報、人種または民族的出身、健康データ、または同様の機密カテゴリー(調査、好みセンター、または購入データを通じて)を収集する場合、CPRA の追加要件が適用されます。
オーストラリア迷惑メール法
オーストラリアの視点からこれを書いているため、この法律には特別な注意が必要です。
2003 年迷惑メール法は、すべての商業電子メッセージに 3 つのことを要求します。同意、送信者識別、および機能的な登録解除です。
同意は明示的(誰かがオプトインした)または推定的(既存のビジネス関係がある)でも構いません。しかし CAN-SPAM とは異なり、オプトインしていない人やビジネスとの既存の関係がない人にメールを送ることはできません。購入したリストへのコールドメールはオーストラリアでは違法です。例外はありません。
すべての商業メールには、送信者を明確に識別し、正確な連絡先情報を含める必要があります。すべてのメールには、機能する登録解除メカニズムを含め、5 営業日以内に処理する必要があります。
罰則はかなり重いです。オーストラリア通信メディア局(ACMA)は、重大な違反に対して 1 日あたり最大 222 万オーストラリアドルの罰金を科すことができます。オーストラリアの企業とオーストラリアの受信者に送信する国際企業の両方に対してケースを追求しています。ACMA はエンフォースメントにおいてますます積極的であり、国際規制当局と連携しています。
国際的に送信するオーストラリア企業の場合、受信者がどこにいるかに関わらず、オーストラリアから送信されるすべてのメッセージに対して迷惑メール法を遵守する必要があります。オーストラリアの受信者に送信する国際企業の場合も、迷惑メール法が適用されます。
コールドメールのコンプライアンス
コールドメールのコンプライアンスは、受信者がどこにいるかによって異なるルールのパッチワークです。誤ると、重大な法的リスクにさらされます。
米国(CAN-SPAM): B2B コールドメールに対して最も許容的な管轄区域。事前の同意は不要です。明確なオプトアウトメカニズム、物理的な住所、正確な送信者情報を含める必要があります。これが、ほとんどのコールドメールツールと戦略が米国企業から生まれている理由です。米国は、事前の同意なしに B2B コールドメールが明示的に合法な唯一の主要市場です。
英国(PECR): 「ソフトオプトイン」の原則の下、B2B コールドメールは許可されています。メッセージが受信者の職業的役割に関連していれば、ビジネスアドレスにメールを送ることができます。すべてのメッセージに明確なオプトアウトを含める必要があります。B2C コールドメールには事前の同意が必要です。Brexit 後、英国は独自のデータ保護体制(英国 GDPR)を持ち、EU GDPR を密接に反映していますが、ICO によって施行されます。
欧州連合(ePrivacy 指令): 各 EU 加盟国が指令を異なる方法で実装したため、国によって異なります。ドイツは最も厳格で、B2B を含むほぼすべての商業メールについてオプトイン同意を要求しています。フランス、イタリア、オランダは、正当な利益規定の下で B2B にはより許容的です。ほとんどの EU 諸国では、明確なオプトアウトと正当なビジネス上の理由があれば、B2B コールドメールを許可しています。近く施行される ePrivacy 規則(数年にわたって開発中)によって、これらのルールが EU 全体で統一される可能性があります。
カナダ(CASL): 同意が必要です。既存のビジネス関係からの黙示的な同意を使用できますが、一度も交流したことがない人へのコールドアウトリーチには、最初に明示的な同意が必要です。公開されたビジネスメールが黙示的な同意を生むと主張する実践者もいますが、これは法執行において明確にテストされていません。その議論に頼ることはお勧めしません。
オーストラリア(迷惑メール法): 同意が必要です。事前の関係なしにコールドメールを送ることはできません。これはコールドアウトリーチに対して最も制限的な主要管轄区域です。
実践的なまとめ:管轄区域ごとに別々のリストを維持してください。すべての購読者に国のタグを付けてください。あなたの管轄区域のルールではなく、購読者の管轄区域のルールを適用してください。疑わしい場合は、より厳格な基準を適用してください。Instantly、Lemlist、Apollo などのツールでは、国別に見込み客をフィルタリングできるため、管轄区域ベースのコンプライアンスが大規模に管理可能になります。
実践的な同意管理
理論は一つのことです。コンプライアンスを遵守した同意収集を大規模に実装することは別のことです。
ダブルオプトインは依然として黄金の基準です。誰かが登録し、確認メールを受け取り、サブスクリプションを確認するためにリンクをクリックします。これにより、同意の明確で文書化された証拠が得られ、偽の登録、タイプミス、スパムトラップが排除されます。確認しない登録者の 15〜20% を失うことになりますが、それらの人々はいずれにせよエンゲージメントのある購読者にはならなかったでしょう。
パーソナライズされた同意メールは、汎用的なものより約 15% 多いオプトインを獲得します。購読者の名前を含め、登録したものを参照し、受け取るものを説明することで、その確認ボタンをクリックしてもらいやすくなります。
定期的な同意リマインダーは同意率を 25% 増加させます。誰かが 24 時間後に確認していない場合、リマインダーを送信します。72 時間後にまだ確認していない場合、もう一つ送ります。その後は手放してください。3 回の試みが最適です。それ以上は攻撃的に感じられ始めます。
複数の管轄区域と製品ラインにわたる同意を管理する組織にとって、同意管理プラットフォーム(CMP)への投資は価値があります。OneTrust、Cookiebot、TrustArc などのツールは、同意収集を自動化し、監査証跡を維持し、異なる市場の異なる規制の複雑さを処理します。
Ann Handley は、オーディエンスデータを尊重することは法的義務だけでなく、競争上の優位性であると指摘しています。消費者がデータの使用方法についてますます意識している世界では、データを注意深く扱うブランドが信頼を獲得します。信頼は注目を獲得します。注目は収益を獲得します。
ワンクリック登録解除(RFC 8058)
これは近年最も重要な技術的コンプライアンスの変更です。
Google と Yahoo は現在、大量送信者(Gmail または Yahoo アドレスに 1 日 5,000 件以上のメールを送信する人)に List-Unsubscribe ヘッダーを要求しています。これはオプションではありません。適切なヘッダーを含めない場合、メールはますますスパムにフィルタリングされるか、完全に拒否されます。
RFC 8058 はワンクリック登録解除の仕組みを規定しています。メールには 2 つのヘッダーが含まれます。List-Unsubscribe(HTTPS URL および/または mailto アドレスを含む)と List-Unsubscribe-Post(List-Unsubscribe=One-Click を含む)です。受信者がメールクライアントの登録解除をクリックすると、URL に単一の POST リクエストが送信されます。ランディングページは不要です。追加のステップも不要です。「本当にいいですか?」という確認も不要です。
登録解除は 2 日以内に処理しなければなりません。CAN-SPAM の一般的な要件である 10 営業日ではありません。ワンクリック登録解除の場合は 2 日です。
良いニュースは、ほとんどの ESP が現在これを自動的に処理していることです。Klaviyo、Mailchimp、ActiveCampaign、Brevo などはデフォルトで正しいヘッダーを含みます。カスタム送信インフラストラクチャを使用している場合は、ヘッダーを自分で実装する必要があります。実装は簡単ですが、徹底的にテストする必要があります。
メールに正しいヘッダーが含まれているかどうか確認できない場合は、チェックしてください。自分にテストメールを送信し、生のメッセージソースを表示して、List-Unsubscribe と List-Unsubscribe-Post ヘッダーを探してください。見つからない場合は、ESP または開発チームに相談してください。
重要なニュアンス:ワンクリック登録解除は特定のメーリングリストから登録解除する必要があり、必ずしもすべての通信から解除する必要はありません。誰かがワンクリックでプロモーションメールの購読をキャンセルした場合、取引メール(注文確認、領収書、配送状況の更新)は引き続き受け取るべきです。この区別を適切に処理するよう登録解除エンドポイントを設定してください。
プライバシーとデータの取り扱い
特定の規制への準拠を超えて、より広い原則があります。必要なものだけを収集し、収集したものを保護することです。
データ最小化は GDPR の要件だけではありません。良い慣行です。収集するすべてのデータは、安全に保存し、正確に維持し、適切なときに削除する必要があるデータです。購読者の生年月日、性別、場所、会社規模を収集している場合は、メールパーソナライゼーションでそれらすべてのデータを実際に使用しているかどうか自問してください。答えがノーであれば、収集を止めてください。登録フォームのすべてのフィールドはコンバージョン率を下げ、使用されていないすべてのデータポイントはリスクを増加させます。
クッキーの同意はほとんどのマーケターが考えない方法でメールトラッキングと相互作用します。購読者がメールからウェブサイトにクリックすると、サイトは分析とリターゲティングのためにクッキーを設定します。その購読者が EU にいて、サイトのクッキーに同意していない場合、メール側ではコンプライアンスを遵守しているかもしれませんが、ウェブ側では遵守していないかもしれません。クッキーの同意バナーがメールのクリックスルートラフィックを適切に処理することを確認してください。
Apple のメールプライバシー保護(MPP)は開封トラッキングを根本的に変えました。MPP は、受信者が実際にメールを開いたかどうかにかかわらず、メールが配信されるときにメールコンテンツ(トラッキングピクセルを含む)をプリフェッチします。Apple Mail ユーザーの場合、開封率は人為的に水増しされています。オーディエンスによっては、リストの 40〜60% が Apple Mail ユーザーである可能性があります。
これは開封率が無意味であることを意味しません。以前よりも信頼性が低いことを意味します。クリックスルー率とコンバージョン率を主要なエンゲージメント指標として使用してください。開封率は精確な測定ではなく、方向性の指標として使用してください。開封率が一夜にして 15 ポイント下落した場合、おそらく何かが間違っています。しかし、多くの開封がマシンによって生成されているとき、小さな開封率の変化のために最適化しないでください。
プライバシーの傾向は一方向に動いています。より多くの保護、より少ないトラッキングです。EU の ePrivacy 規則が最終的に施行されると、ルールはさらに厳しくなる可能性があります。他の管轄区域はヨーロッパのリードに従っています。サードパーティのトラッキングではなく、ファーストパーティデータ(購読者があなたに伝えること、あなたのプロパティ上での行動)を中心にメールプログラムを構築してください。この現実に適応するプログラムは、それに抵抗するプログラムをアウトパフォームするでしょう。