DMARCが日本のドメイン所有者のコンプライアンス証明にどのように役立つか

• 2026年4月24日

現代の電子メールを悪用した脅威の現実に対応するため、日本の規制環境は急速に変化しています。DMARCが提供する可視性と制御機能を通じて、日本の組織はデータ保護法やフィッシング対策方針への準拠を証明し、政府、重要インフラ、民間セクター全体における信頼を強化することができます。

日本は長きにわたり、慎重な制度的実践、説明責任の文化、そして安全な通信に対する共通の取り組みを通じて築き上げられた、強固なデジタル信頼の基盤を維持してきた。その基盤が今試されている。

日本語の複雑さは、かつて詐欺メールを見破る「防護壁」として機能していましたが、その優位性は今や失われました。生成AIの普及により、攻撃者は流暢で説得力のある日本語を、機械的に大量生産できるようになったからです。これにより、不自然な表現という「詐欺の目印」は消え去りました。事実、2025年5月時点では、世界中の詐欺メールの80%以上が日本を標的にするという深刻な事態に陥っています。

その影響は数値として明らかである。2025年には、オンラインバンキングにおける不正送金による被害額が過去最高の104億円に達し、その90％を占めるフィッシング詐欺の被害件数は過去最多の245万件となり、前年比で73万件増加しました。企業側の被害額だけでも前年比4倍の47億円に達し、報告された偽サイトの数は初めて100万件を突破しました。

この危機に対し、日本は国を挙げて「先を見据えた対策」へと舵を切りました。法整備や基準改定を通じ、「他者のメールを代行送信する組織も責任を負う」という新たなサイバーセキュリティ体制を構築しています。この「送信者の責任」を証明し、ブランドを守るための鍵となるのがDMARCなのです。

日本の規制環境とDMARC

経済産業省および金融セクターへの指針

経済産業省（METI）は、日本の広範な「3Dセキュア」プログラムの一環として、クレジットカード各社に対しDMARCの導入を指示しました。このプログラムは、決済カード取引のセキュリティ確保という観点において、PCI DSSと並行する枠組みである。経済産業省は、電子メールのなりすましに対処し、サプライチェーンの完全性を保護するため、同様の要件を半導体メーカーにも拡大し、取引条件にDMARCを組み込みました。

政府全体の基準

日本の「政府機関および関連機関におけるサイバーセキュリティ対策の共通基準」では、中央政府機関および関連機関に対し、なりすましメール対策としてDMARCを推奨される対策として明示的に挙げています。実務上、政府のエコシステム内で活動する機関やベンダーは、文書において「なりすまし対策」と総称されている場合を含め、DMARCの導入を対策の実施を裏付ける検証可能な技術的証拠として提示することができます。

.go.jpの 公式ドメイン において、DMARCは、政府のブランドが、そのサービスを受ける市民に対して悪用されるリスクを低減します。

APPIおよびセクター別規則

日本の「個人情報の保護に関する法律（個人情報保護法）」では、組織に対し、サイバー攻撃や詐欺などを通じて個人データが漏洩、紛失、または毀損することを防止するために、「必要かつ適切な措置」を講じることを義務付けています。DMARCは、認証情報の盗難や個人データの侵害につながるドメインのなりすましを削減することで、この注意義務を直接的に支援します。 SPF、DKIM、DMARCといった電子メール認証制御を導入することは、組織が詐欺メールから顧客を保護する上で怠慢ではないことを示す証拠となります。

メールボックスプロバイダーの要件

Google、Yahoo!、Yahoo! Japan、Apple、Microsoftをはじめとする国内外のメールプロバイダーは、現在、大規模な送信者に対してDMARCへの準拠を義務付けています。LINE Yahooはこの変化について次のように明確に述べています：

Yahoo!メールを安全かつ安心してご利用いただくため、メール送信者様には送信ドメイン認証の導入をお勧めします。 SPF、DKIM、またはDMARC認証を実施・通過していないメールは、スパムとして分類されたり、受信拒否されたりする可能性があります。Yahoo!オークションやYahoo!ウォレットをご利用の際、Yahoo! JAPANから送信されるメールに対して送信者認証を導入することで、なりすましやフィッシングに対する対策を強化してまいります。また、銀行やクレジットカード会社などの各機関に対し、送信者ドメイン認証技術の導入を働きかけ、メールを悪用した個人情報の盗難防止を最大限に図ってまいります。

これは、DMARCを日本のデジタルエコシステム全体における標準とするという、業界全体の取り組みがさらに広がっていることを示している。

警察庁

日本の警察庁は、DMARCを詐欺メール対策として有効な手段であると位置づけ、関係機関と積極的に連携し、最も強力な適用レベルでの導入を推進しています。 p=reject ポリシー——の採用を推進しており、これにより受信メールサーバーは認証されていないメールを即座にブロックするよう指示されます。

アクティブ・サイバー防衛法とDMARC

2025年5月に成立した日本の「サイバー防衛法（ACD）」は、政府機関や企業ネットワークに対して新たな義務を課しています。DMARCは、ACDの以下の主要な要件と自然に整合しています：

トラフィック監視： ACDは、脅威の検知を目的としたネットワークトラフィックの継続的な監視を義務付けています。DMARCレポートは、電子メールに関してまさにこのような可視性を提供し、セキュリティチームが自社のドメイン全体における正当な送信活動と不審な行動の両方を、体系的かつ継続的に把握できるようにします。これにより、すでに手元にある証拠をもとに脅威を特定し、隔離することが可能になります。

24時間体制のインシデント報告： ACDでは、重要インフラ事業者がサイバーインシデントを検知してから24時間以内に報告することが義務付けられています。DMARCレポート機能は、セキュリティチームがフィッシングやなりすまし事件を迅速に再現するために必要な、タイムスタンプ付きの詳細なドメインレベルのデータを提供し、内部対応と規制当局への開示に必要な文書作成の両方を支援します。

政府がより強力な防御策を実施するためには、個々の企業がDMARCなどの標準的な技術を採用し、自社のドメインの完全性を維持することが不可欠であり、これは法的枠組みの有効性を確保するための前提条件である。日本におけるDMARCの導入率は欧米に比べて遅れていると指摘されているが、こうした法整備の議論と並行して、今後その導入がさらに加速していくことは間違いない。

—大塚正弘、dmarcian APAC ビジネス開発マネージャー

dmarcianがどのように役立つか

DMARCの効果的な導入は、単なる技術的な作業にとどまりません。それは、メールの信頼性に依存する組織、顧客、そして市民に対する確固たる約束なのです。DMARCサービスの先駆者であるdmarcianは、日本の組織がDMARCを正しく、完全に、そして自信を持って導入するために必要な、深い専門知識と専用ツールを提供します。

私たちは日本の組織を支援しています：