ホーム / 働く / 【特商法】Webサイトにメールアドレスは公開必須?スパムを防ぐ「正しいセキュリティ対策」の最適解
働く 2026-01-07

【特商法】Webサイトにメールアドレスは公開必須?スパムを防ぐ「正しいセキュリティ対策」の最適解

「特定商取引法に基づく表記のページ、メールアドレスを載せるとスパムが増えるから、お問い合わせフォームだけにしたいんだけど……」

Webサイトを運営していると、必ず一度は直面するこの悩み。 経営者や上司から「変なメールが来るからアドレスを消して」と言われて、板挟みになっている担当者の方も多いのではないでしょうか?

実は、「メールアドレスを消す」ことは、法的リスクがあるだけでなく、最新のスパム対策としては不十分なんです。

今回は、特定商取引法におけるメールアドレス掲載のルールと、住所や電話番号を公開しつつスパムやなりすましメール(ビジネスメール詐欺)を鉄壁に防ぐための「正しいセキュリティ対策」について解説します。

1. 「お問い合わせフォームのみ」はOK?特商法の掲載義務

まず結論から言うと、特定商取引法に基づく表記において、メールアドレスの記載は原則として必須です。

「フォームのみ」は指導対象のリスクあり

消費者庁のガイドラインや運用基準では、事業者の連絡先として以下の3点を明示することが求められています。

  • 氏名(または名称)
  • 住所
  • 電話番号
  • 電子メールアドレス(※電子メール広告を送る場合などは特に必須)

「お問い合わせフォームがあるから、連絡は取れるでしょう?」と思うかもしれません。しかし、フォームだけでは以下のような問題点があるとみなされ、消費者保護の観点からNG(行政指導の対象)と判断されるリスクが高いのです。

  1. 到達性が確認できない: ユーザーの手元に送信控えが残らない仕様の場合、送った証拠がない。
  2. 事業者側で遮断・無視しやすい: 特定のIPやキーワードでフィルタリングできてしまう。
  3. 法的要件の解釈: 「電子メール等の連絡手段」として、フォームだけでは不十分とされる解釈が一般的。

ECサイトや会員制サービスなど、決済が発生するWebサイトでは、決済代行会社の審査でも「メールアドレスの記載」は必須チェック項目になっています。

つまり、「スパムが嫌だから非公開にする」というのは、ビジネスとしてリスクが高い選択と言えます。

2. アドレスを公開しても「なりすまし」は防げない?

「じゃあ、メールアドレスを公開したら、やっぱり社長の名前を語った詐欺メールとかが来ちゃうんでしょう?」

ここが大きな誤解ポイントです。実は、最近横行している「ビジネスメール詐欺(BEC)」や「なりすましメール」は、Webサイトにメールアドレスが載っているかどうかに関わらず届きます。

攻撃者は、どこかから流出したリストや、ドメイン名からの推測(info@など)を使って送りつけてくるからです。 さらには、あなたの会社のドメイン(@company.co.jp)を勝手に名乗って、取引先に偽メールを送ることさえあります。

ここで重要になってくるのが、「隠す」対策ではなく、「技術的に防ぐ」対策です。

3. 今すぐやるべき技術的対策:SPF / DKIM / DMARC

2024年、Google(Gmail)が送信者ガイドラインを大幅に強化しました。これにより、適切なセキュリティ設定をしていないメールは、Gmailアドレス宛に届かなくなったり、迷惑メール扱いされるようになっています。

自社を守るため、そしてお客様にメールを届けるために必須となるのが、以下の3つの技術です。

① SPF(Sender Policy Framework)

  • 役割: 「身分証明書」
  • 仕組み: あらかじめ「このサーバーから送りますよ」と宣言しておくこと。偽のサーバーから送られたメールを検知できます。
  • 普及率: ほぼ完了していますが、設定が間違っているケースも多いです。

② DKIM(DomainKeys Identified Mail)

  • 役割: 「封印(改ざん検知)」
  • 仕組み: メールに電子署名を付けることで、途中での書き換えやなりすましを防ぎます。

③ DMARC(Domain-based Message Authentication...)

  • 役割: 「門番(ポリシー設定)」
  • 仕組み: SPFやDKIMで認証できなかった怪しいメールを「どうするか(拒否する、迷惑メールに入れる、報告だけ受け取る)」を決める設定です。
  • 重要性: 社長のなりすましメールを防ぐには、これが最も効果的です。

セキュリティ技術の図解

もし「よく分からない……」という場合は、利用しているレンタルサーバー(XserverやConoHaなど)の管理画面を見てみてください。最近は「DNS設定」「メールセキュリティ設定」の項目から、ボタン一つでONにできるようになっています。

まずは、自社のドメインがこれらに対応しているか、IT担当者に確認してみましょう。

4. それでもスパムを減らしたい!実務的な3つの対応策

技術的な対策をした上で、Webサイト上の表示方法でも一工夫することで、自動収集ロボットによるスパムメールを減らすことができます。

① 特商法専用のアドレスを用意する

普段使いの info@ や社員の個人アドレスを載せるのはやめましょう。特定商取引法専用のアドレスを作成・公開し、内部で転送やお知らせを受け取る運用にします。

  • 例:law@example.comec-contact@example.comtokusho@example.com

これなら、もしスパムが増えてもそのアドレスだけを変更したり、フィルタリングを強めることができます。

② メールアドレスを「画像化」して掲載する

テキストデータとしてメールアドレスを載せると、ボットに自動収集されてしまいます。これを防ぐために、メールアドレスを画像(pngやjpg)にして貼り付けます。

  • メリット: 法的な表示義務は果たしつつ、機械的なコピーを防げる。
  • デメリット: ユーザーがクリックしてメーラーを起動できない(手入力が必要)。

無料の作成ツールなどを使えば簡単に作成できます。

③ アドレスのエンティティ参照化

HTMLコード上でメールアドレスを「文字参照(エンティティコード)」に変換して記述する方法です。 見た目は普通のメールアドレスですが、ソースコード上は mail... のような数字の羅列になるため、単純な収集ボットを回避できる場合があります。

まとめ:法令順守と安心を両立させよう

「メールアドレス公開への不安」に対する最適解は、以下の通りです。

  1. 特商法ページからアドレスは消さない(法的リスク回避)
  2. アドレスは「画像化」または「専用アドレス」にする(収集防止)
  3. SPF / DKIM / DMARC を確実に設定する(なりすまし防止・到達率向上)

「隠す」ことよりも「守る」体制を整えることが、信頼されるWebサイトへの第一歩です。 特にDMARCの設定は、今後のビジネスメールにおいて「マナー」ではなく「必須要件」になりつつあります。まだの方は、ぜひ今日確認してみてください。