自社ブランドを騙ったなりすましメールは、もはやIT部門だけの問題ではありません。GMOブランドセキュリティの調査により、国内主要ブランドのメールセキュリティ対策が国際水準から大きく遅れていることが明らかになりました。本記事では調査結果の要点を整理したうえで、優先度別に企業が取るべき具体的なアクションを解説します。<h2 id="he2a9202605">調査結果の概要：国内ブランドの適切率はグローバルの約5分の1</h2>国内Top50ブランドにおけるSPF/DMARC両設定の「適切率」はわずか4.8%です。グローバルTop50ブランドの23.1%と比べると、約4.8倍の格差が存在します。ここでいう「適切」な状態とは、単に技術を導入しているだけでなく、なりすましメールを実効的に遮断できる以下の設定を指します 。<ul><li>SPF: v=spf1 -all（拒否設定）</li><li>DMARC: p=reject（拒否）または p=quarantine（隔離）の設定 </li></ul>GMOブランドセキュリティ株式会社が2026年3月に実施した調査では、InterbrandのBest Global Brands 2025およびBest Japan Brands 2025に選出された計100社が保有する7,600ドメインを対象に、なりすましメール対策技術「SPF（※1）」と「DMARC（※2）」の設定状況を確認しました。 （※1）SPF（エスピーエフ）送信元サーバーのIPアドレスをあらかじめ公開し、正しい場所から送られたメールかを判定する技術。導入が比較的容易な反面、メールが転送されると認証に失敗しやすいという弱点があります。（※2）DMARC（ディーマーク）SPF・DKIMの認証失敗時に「メールを遮断するか」等の処理を送信者が指示する仕組み。none（監視のみ）、quarantine（隔離）、reject（拒否）の3段階があり、なりすまし防止の要となります。 <h3 id="h1e2d8599b8">グローバルvs国内 主要指標比較</h3><figure><img src="https://images.microcms-assets.io/assets/02c7210b9bb240dc8661903b58275e93/7cf16d79273b4da5a5e3b43c7f8efafc/narisumashi%E2%82%8B20260414%E2%82%8B2.png?w=900&amp;h=418" alt="" width="900" height="418"></figure><h2 id="h15bda66450">なぜ日本企業の対策は遅れているのか</h2> 国内外で格差が生じている主な背景には、規制による強制力の有無があると考えられます。 欧州では、GDPR（※3）やNIS2指令（※4）が求める「適切な技術的措置」の一環として、メール認証の設定が事実上の義務（コンプライアンス要件）となっています。TLD別の適切率では、「.fr（56.0%）」、「.es（44.0%）」、「.de（44.0%）」、「.it（44.0%）」といった欧州のccTLD（カッコ内は適用率）が上位を占めており、規制が対策水準を引き上げていることが数字に表れています。 一方、日本では同等の法的要件が整備されておらず、企業の自主的な取り組みに委ねられている状態が続いています。しかし、フィッシング詐欺やビジネスメール詐欺による被害は急増しており、「自社がやられるまで対応しない」という姿勢は今や許容されるものではありません。ポイント：SPFだけでは不正を「検出」できても「遮断」はできません。なりすましメールを実際に止めるには、DMARCとの併用が不可欠です。 （※3）GDPR（ジーディーピーアール） EU域内の個人データ保護を目的とした厳格な法規則。個人データの処理や移転に厳しい制限を課し、違反時には多額の制裁金が科されるのが特徴です。日本企業であってもEU居住者のデータを扱う場合は対象となるため、グローバル展開におけるプライバシー保護の国際基準となっています。（※4）NIS2指令（エヌアイエスツーしれい） EU全域のサイバーセキュリティ水準を底上げするための新たな法的枠組み。従来の対象範囲を大幅に拡大し、エネルギーや金融だけでなく製造や流通などの重要部門にも高度なリスク管理と報告義務を課します。サプライチェーン全体の安全性を重視しており、関連企業の対応が強く求められる仕組みです。<h2 id="h52ee550717">見落とされがちな「休眠ドメイン」という盲点</h2>適切率が最も低いのは、企業がブランド保護目的に取得し、メール送受信に使っていない非アクティブ（休眠）ドメインです。国内ブランドの休眠ドメインの適切率はわずか1.3%で、2,518件が完全に無防備な状態で放置されています。休眠ドメインは担当者の目が届きにくいため、攻撃者がなりすましメールの「踏み台」として悪用しやすい状況にあります。メールを一切送受信していないドメインであっても、SPF/DMARCが未設定であれば第三者がそのドメインを詐称してメールを送信することは技術的に可能です。<h2 id="hb74fb9af78"> 企業が取るべき6つのアクション：優先度別ロードマップ</h2> 今回の調査結果を踏まえ、企業が対応すべきアクションを優先度別に整理します。「どこから手をつければよいかわからない」という担当者は、この順序で進めることをおすすめします。 <h3 id="hcb1471e1db"> 6アクションの優先度サマリー</h3><table><tbody><tr><td colspan="1" rowspan="1">優先度</td><td colspan="1" rowspan="1">アクション</td><td colspan="1" rowspan="1">対象ドメイン</td><td colspan="1" rowspan="1">目安期間</td></tr><tr><td colspan="1" rowspan="1">PRIORITY 1</td><td colspan="1" rowspan="1">①メール利用ドメインのDMARC強化</td><td colspan="1" rowspan="1">MXあり</td><td colspan="1" rowspan="1">即時</td></tr><tr><td colspan="1" rowspan="1">PRIORITY 1</td><td colspan="1" rowspan="1">②アクティブ・非メールドメインへのSPF/DMARC強化</td><td colspan="1" rowspan="1">Aレコードあり・MXなし</td><td colspan="1" rowspan="1">即時</td></tr><tr><td colspan="1" rowspan="1">PRIORITY 2</td><td colspan="1" rowspan="1">③非アクティブドメインの一括SPF/DMARC強化</td><td colspan="1" rowspan="1">休眠ドメイン全件</td><td colspan="1" rowspan="1">3ヶ月以内</td></tr><tr><td colspan="1" rowspan="1">PRIORITY 2</td><td colspan="1" rowspan="1">④ドメインポートフォリオの棚卸しと防衛取得</td><td colspan="1" rowspan="1">未取得ドメイン</td><td colspan="1" rowspan="1">3ヶ月以内</td></tr><tr><td colspan="1" rowspan="1">PRIORITY 3</td><td colspan="1" rowspan="1">⑤定期的なDNSモニタリング体制の確立</td><td colspan="1" rowspan="1">全ドメイン</td><td colspan="1" rowspan="1">継続</td></tr><tr><td colspan="1" rowspan="1">PRIORITY 3</td><td colspan="1" rowspan="1">⑥グローバルベンチマークとの継続比較</td><td colspan="1" rowspan="1">全ドメイン</td><td colspan="1" rowspan="1">継続（半年ごと）</td></tr></tbody></table><h3 id="h4a9682d95a"> PRIORITY 1 — 即時対応</h3> メールを送受信しているドメインと、送受信はしていないがWebで使用中のドメインに、今すぐSPF/DMARCの拒否設定を適用します。 ① メール利用ドメインのDMARC強化 MXレコード（※5）を持つ、実際にメール送受信に使用しているドメインへの対応が最優先です。現在`p=none`または未設定の状態では、なりすましメールを一切遮断できていません。<ul><li> SPF/DKIMの設定状況を確認し、正規メール送信源（ESP、CRM、基幹システム、SFAなど）を完全に棚卸しします。</li><li> 棚卸し完了後、DMARCを`p=none（監視のみ）`に設定し、DMARCレポート（rua/rufタグ）の受信を開始します。</li><li> 毎週レポートを参照しながら認証の整合性（アライメント（※6））を確認し、問題がなければ`p=quarantine`（隔離）から`p=reject`（完全遮断）へ段階的に移行します。</li></ul> （※5）MXレコード 「そのドメイン宛のメールを、どのメールサーバーに配送するか」を指定するための設定（DNSレコード）です。 私たちが手紙を送るときに住所が必要なように、インターネット上でメールを送る際にも「配送先」を知る必要があります。MXレコードはその「住所録」の役割を果たします。 （※6）アライメント メールの表示上の差出人（Header From）と、SPF/DKIMで認証されたドメインが一致していること。SPFとDKIMの両方がアライメント不一致（または認証失敗）となった場合、DMARCは「失敗」と判定されます。<table><tbody><tr><td colspan="1" rowspan="1">ポリシー（p=）</td><td colspan="1" rowspan="1">なりすまし遮断効果</td><td colspan="1" rowspan="1">推奨用途</td></tr><tr><td colspan="1" rowspan="1">none</td><td colspan="1" rowspan="1">なし（監視のみ）</td><td colspan="1" rowspan="1">初期の送信環境把握フェーズ</td></tr><tr><td colspan="1" rowspan="1">quarantine</td><td colspan="1" rowspan="1">部分的（迷惑メール振り分け）</td><td colspan="1" rowspan="1">none→rejectへの移行中</td></tr><tr><td colspan="1" rowspan="1">reject</td><td colspan="1" rowspan="1">完全遮断</td><td colspan="1" rowspan="1">目標とすべき最終設定</td></tr></tbody></table>注意点：`p=reject`へ移行する前に、すべての正規送信源がSPF/DKIMのアライメントを満たしていることを確認してください。確認を怠ると正規メールが遮断される恐れがあります。貴社のDMARCポリシーの状況は「<a href="https://brandsecurity.gmo/security/#main">GMOなりすましZERO</a>」から診断できます。② アクティブ非メールドメインへの即時SPF/DMARC強化 Aレコード（※7）は存在するがMXレコードがない（Webサイトとして使用しているがメールは送信していない）ドメインも、放置すれば即座になりすましに悪用される可能性があります。<ul><li>SPF: v=spf1 -all（拒否設定）を設定します。</li><li>DMARC: p=rejectを設定します。</li><li>メールを送受信していないドメインへのレポート受信先（rua（※8））の設定は必須ではありませんが、監視目的で設定しておくことが望ましいです。</li></ul>「使っていないから大丈夫」という認識がこのカテゴリの最大のリスクです。アクティブドメインの対策と並行して進める価値があります。（※7）Aレコード（エーレコード） ドメイン名を数値で表されたIPアドレスに変換し、通信の宛先を指定する設定。WEBサイトの表示やメール送受信の際に、どのサーバーへ接続すべきかを指し示すインターネット上の「住所録」のような役割を果たします。全てのドメイン運用の基本であり、SPFなどの認証技術が正しく機能するための土台としても不可欠な要素です。（※8）rua（DMARC集計レポート） 自社ドメインを名乗るメールの「認証結果」や「送信元IPアドレス」をまとめたレポートの送信先を指定する設定です。これにより、世界中でのなりすまし発生状況や、自社システムの認証成功率を可視化できます。<h3 id="hf4cdd7c5f3">PRIORITY 2 — 3ヶ月以内</h3>休眠ドメインの一括対応と、ドメインポートフォリオ全体の棚卸しを3ヶ月以内に完了させます。 ③ 非アクティブドメインの一括SPF/DMARC強化 AレコードとMXレコードも存在しない休眠ドメインへの対応です。今回の調査で国内ブランドの休眠ドメイン適切率が1.3%にとどまっていたように、このカテゴリは最も手薄になりやすい箇所です。<ul><li>自社が保有する全ドメインをTLD別（主要gTLD・新gTLD・主要ccTLD含む）に棚卸しします。</li><li>全休眠ドメインに`v=spf1 -all`と`p=reject`を設定します。</li><li>設定後は定期的なDNS確認により、設定が維持されているかを確認します。グローバル最高水準のAmazon（適切率96.4%）は、アクティブ・非アクティブを問わず全ドメインに`v=spf1 -all`と`p=reject`を徹底する「ゼロトレランス管理」を実践しています。これが目指すべき水準です。</li></ul> ④ ドメインポートフォリオの棚卸しと防衛取得 自社が保有していない「自社ブランド名+TLD」の組み合わせは、第三者に取得されてなりすましに使われるリスクがあります。<ul><li>主要gTLD・新gTLD・主要ccTLDを対象に、自社ブランド名の組み合わせで未取得のドメインを洗い出します。</li><li>悪用リスクの高い順（知名度・類似性）に防衛取得を検討します。取得後は即座に`v=spf1 -all`と`p=reject`を設定します。 </li></ul><h3 id="h862a6a3ea0"> PRIORITY 3 — 継続対応</h3>全ドメインの設定状況を定期的に監視し、グローバル水準との比較を継続します。 ⑤ 定期的なDNSモニタリング体制の確立 DMARCは設定して終わりではなく、継続的な監視が不可欠です。 設定の陳腐化・送信源の変更・不正利用のいずれも、モニタリングなしには発見できません。<ul><li>DMARCの集約レポート（rua）と障害レポート（ruf（※9））を定期的に確認できる体制を整えます。</li><li>不正なドメイン利用が検知された場合に担当者へ自動通知が届くアラートフローを構築します。</li><li>SPFレコードの送信元IPも定期的に見直し、不要な送信源が残存していないか確認します。 複数ドメインのレポートを一元管理できるDMARC管理ツールの活用も有効です。</li></ul>（※9）ruf（DMARC失敗レポート） 認証に失敗した個別のメールごとに発行される詳細レポートです。失敗したメールのヘッダー情報や送信元など、具体的な内容を確認できるため、なりすましの詳細調査や設定ミスの原因究明に役立ちます。 ⑥ グローバルベンチマークとの継続比較 自社の対策水準を客観的に評価し続けることが、継続的な改善につながります。<ul><li>Amazon（96.4%）やGoogle（89.7%）が高い割合で実現している v=spf1 -all（SPF）および p=reject（DMARC）の適用水準をベンチマークとして設定し、これらグローバル企業の導入水準と自社の現状を半年ごとに比較し、対策の進捗を管理します。</li></ul>最終目標：アクティブドメインの適切率96%以上（Amazonの現在水準）を長期目標として設定し、BIMI/VMCの導入でブランドの信頼を受信トレイ上で可視化します。 <h2 id="h77b91357f0">まとめ：メールセキュリティはブランドを守る「経営責任」</h2>なりすましメールによるフィッシング被害は、消費者・取引先への直接的な金銭的・情報的損害にとどまらず、長年築いたブランドへの信頼を根底から覆しかねない経営リスクです。メールセキュリティはIT部門の技術課題ではなく、ブランドを守るための経営責任として位置づけ直す必要があります。対応の優先順位は明確です。まずメール利用ドメインと非メールアクティブドメインへの即時対応、次いで休眠ドメインの一括強化とポートフォリオ整理、そして継続的なモニタリングとグローバル水準との比較です。今日できることは、自社が保有する全ドメインのSPF/DMARC設定状況を確認することです。出典：GMOブランドセキュリティ株式会社「<a href="https://brandsecurity.gmo/news/post/post-20260406/">主要ブランドにおけるメールセキュリティの実態</a>」（2026年4月7日公開）<figure><a href="https://www2.brandsecurity.gmo/l/959492/2024-01-16/67715i"><img src="https://images.microcms-assets.io/assets/02c7210b9bb240dc8661903b58275e93/baf961fe02e94fc4b71f02ce05c33963/btn_toiawase.png" alt="お問い合わせこちら" width="292" height="58"></a></figure>

自社のドメイン、すべて守れていますか？国内Top50ブランドのSPF/DMARC適切率はわずか4.8%。即時対応から継続監視まで、優先度別6つのアクションで対策ロードマップを解説します。

GMO なりすましZERO

国内Top50ブランドのSPF/DMARC適切設定はわずか4.8%――なりすましメール対策、企業が取るべき6つのアクション

自社ブランドを騙ったなりすましメールは、もはやIT部門だけの問題ではありません。GMOブランドセキュリティの調査により、国内主要ブランドのメールセキュリティ対策が国際水準から大きく遅れていることが明らかになりました。本記事では調査結果の要点を整理したうえで、優先度別に企業が取るべき具体的なアクションを解説します。調査結果の概要：国内ブランドの適切率はグローバルの約5分の1国内Top50ブランドにおけるSPF/DMARC両設定の「適切率」はわずか4.8%です。グローバルTop50ブランドの23.1%と比べると、約4.8倍の格差が存在します。ここでいう「適切」な状態とは、単に技術を導入しているだけでなく、なりすましメールを実効的に遮断できる以下の設定を指します 。SPF: v=spf1 -all（拒否設定）DMARC: p=reject（拒否）または p=quarantine（隔離）の設定GMOブランドセキュリティ株式会社が2026年3月に実施した調査では、InterbrandのBest Global Brands 2025およびBest Japan Brands 2025に選出された計100社が保有する7,600ドメインを対象に、なりすましメール対策技術「SPF（※1）」と「DMARC（※2）」の設定状況を確認しました。（※1）SPF（エスピーエフ）送信元サーバーのIPアドレスをあらかじめ公開し、正しい場所から送られたメールかを判定する技術。導入が比較的容易な反面、メールが転送されると認証に失敗しやすいという弱点があります。（※2）DMARC（ディーマーク）SPF・DKIMの認証失敗時に「メールを遮断するか」等の処理を送信者が指示する仕組み。none（監視のみ）、quarantine（隔離）、reject（拒否）の3段階があり、なりすまし防止の要となります。グローバルvs国内 主要指標比較 なぜ日本企業の対策は遅れているのか国内外で格差が生じている主な背景には、規制による強制力の有無があると考えられます。欧州では、GDPR（※3）やNIS2指令（※4）が求める「適切な技術的措置」の一環として、メール認証の設定が事実上の義務（コンプライアンス要件）となっています。TLD別の適切率では、「.fr（56.0%）」、「.es（44.0%）」、「.de（44.0%）」、「.it（44.0%）」といった欧州のccTLD（カッコ内は適用率）が上位を占めており、規制が対策水準を引き上げていることが数字に表れています。一方、日本では同等の法的要件が整備されておらず、企業の自主的な取り組みに委ねられている状態が続いています。しかし、フィッシング詐欺やビジネスメール詐欺による被害は急増しており、「自社がやられるまで対応しない」という姿勢は今や許容されるものではありません。ポイント：SPFだけでは不正を「検出」できても「遮断」はできません。なりすましメールを実際に止めるには、DMARCとの併用が不可欠です。（※3）GDPR（ジーディーピーアール）EU域内の個人データ保護を目的とした厳格な法規則。個人データの処理や移転に厳しい制限を課し、違反時には多額の制裁金が科されるのが特徴です。日本企業であってもEU居住者のデータを扱う場合は対象となるため、グローバル展開におけるプライバシー保護の国際基準となっています。（※4）NIS2指令（エヌアイエスツーしれい）EU全域のサイバーセキュリティ水準を底上げするための新たな法的枠組み。従来の対象範囲を大幅に拡大し、エネルギーや金融だけでなく製造や流通などの重要部門にも高度なリスク管理と報告義務を課します。サプライチェーン全体の安全性を重視しており、関連企業の対応が強く求められる仕組みです。見落とされがちな「休眠ドメイン」という盲点適切率が最も低いのは、企業がブランド保護目的に取得し、メール送受信に使っていない非アクティブ（休眠）ドメインです。国内ブランドの休眠ドメインの適切率はわずか1.3%で、2,518件が完全に無防備な状態で放置されています。休眠ドメインは担当者の目が届きにくいため、攻撃者がなりすましメールの「踏み台」として悪用しやすい状況にあります。メールを一切送受信していないドメインであっても、SPF/DMARCが未設定であれば第三者がそのドメインを詐称してメールを送信することは技術的に可能です。企業が取るべき6つのアクション：優先度別ロードマップ今回の調査結果を踏まえ、企業が対応すべきアクションを優先度別に整理します。「どこから手をつければよいかわからない」という担当者は、この順序で進めることをおすすめします。 6アクションの優先度サマリー優先度アクション対象ドメイン目安期間PRIORITY 1①メール利用ドメインのDMARC強化MXあり即時PRIORITY 1②アクティブ・非メールドメインへのSPF/DMARC強化Aレコードあり・MXなし即時PRIORITY 2③非アクティブドメインの一括SPF/DMARC強化休眠ドメイン全件3ヶ月以内PRIORITY 2④ドメインポートフォリオの棚卸しと防衛取得未取得ドメイン3ヶ月以内PRIORITY 3⑤定期的なDNSモニタリング体制の確立全ドメイン継続PRIORITY 3⑥グローバルベンチマークとの継続比較全ドメイン継続（半年ごと）PRIORITY 1 — 即時対応メールを送受信しているドメインと、送受信はしていないがWebで使用中のドメインに、今すぐSPF/DMARCの拒否設定を適用します。① メール利用ドメインのDMARC強化MXレコード（※5）を持つ、実際にメール送受信に使用しているドメインへの対応が最優先です。現在`p=none`または未設定の状態では、なりすましメールを一切遮断できていません。 SPF/DKIMの設定状況を確認し、正規メール送信源（ESP、CRM、基幹システム、SFAなど）を完全に棚卸しします。 棚卸し完了後、DMARCを`p=none（監視のみ）`に設定し、DMARCレポート（rua/rufタグ）の受信を開始します。 毎週レポートを参照しながら認証の整合性（アライメント（※6））を確認し、問題がなければ`p=quarantine`（隔離）から`p=reject`（完全遮断）へ段階的に移行します。（※5）MXレコード「そのドメイン宛のメールを、どのメールサーバーに配送するか」を指定するための設定（DNSレコード）です。私たちが手紙を送るときに住所が必要なように、インターネット上でメールを送る際にも「配送先」を知る必要があります。MXレコードはその「住所録」の役割を果たします。（※6）アライメントメールの表示上の差出人（Header From）と、SPF/DKIMで認証されたドメインが一致していること。SPFとDKIMの両方がアライメント不一致（または認証失敗）となった場合、DMARCは「失敗」と判定されます。ポリシー（p=）なりすまし遮断効果推奨用途noneなし（監視のみ）初期の送信環境把握フェーズquarantine部分的（迷惑メール振り分け）none→rejectへの移行中reject完全遮断目標とすべき最終設定注意点：`p=reject`へ移行する前に、すべての正規送信源がSPF/DKIMのアライメントを満たしていることを確認してください。確認を怠ると正規メールが遮断される恐れがあります。貴社のDMARCポリシーの状況は「GMOなりすましZERO」から診断できます。② アクティブ非メールドメインへの即時SPF/DMARC強化Aレコード（※7）は存在するがMXレコードがない（Webサイトとして使用しているがメールは送信していない）ドメインも、放置すれば即座になりすましに悪用される可能性があります。SPF: v=spf1 -all（拒否設定）を設定します。DMARC: p=rejectを設定します。メールを送受信していないドメインへのレポート受信先（rua（※8））の設定は必須ではありませんが、監視目的で設定しておくことが望ましいです。「使っていないから大丈夫」という認識がこのカテゴリの最大のリスクです。アクティブドメインの対策と並行して進める価値があります。（※7）Aレコード（エーレコード）ドメイン名を数値で表されたIPアドレスに変換し、通信の宛先を指定する設定。WEBサイトの表示やメール送受信の際に、どのサーバーへ接続すべきかを指し示すインターネット上の「住所録」のような役割を果たします。全てのドメイン運用の基本であり、SPFなどの認証技術が正しく機能するための土台としても不可欠な要素です。（※8）rua（DMARC集計レポート）自社ドメインを名乗るメールの「認証結果」や「送信元IPアドレス」をまとめたレポートの送信先を指定する設定です。これにより、世界中でのなりすまし発生状況や、自社システムの認証成功率を可視化できます。PRIORITY 2 — 3ヶ月以内休眠ドメインの一括対応と、ドメインポートフォリオ全体の棚卸しを3ヶ月以内に完了させます。③ 非アクティブドメインの一括SPF/DMARC強化AレコードとMXレコードも存在しない休眠ドメインへの対応です。今回の調査で国内ブランドの休眠ドメイン適切率が1.3%にとどまっていたように、このカテゴリは最も手薄になりやすい箇所です。自社が保有する全ドメインをTLD別（主要gTLD・新gTLD・主要ccTLD含む）に棚卸しします。全休眠ドメインに`v=spf1 -all`と`p=reject`を設定します。設定後は定期的なDNS確認により、設定が維持されているかを確認します。グローバル最高水準のAmazon（適切率96.4%）は、アクティブ・非アクティブを問わず全ドメインに`v=spf1 -all`と`p=reject`を徹底する「ゼロトレランス管理」を実践しています。これが目指すべき水準です。④ ドメインポートフォリオの棚卸しと防衛取得自社が保有していない「自社ブランド名+TLD」の組み合わせは、第三者に取得されてなりすましに使われるリスクがあります。主要gTLD・新gTLD・主要ccTLDを対象に、自社ブランド名の組み合わせで未取得のドメインを洗い出します。悪用リスクの高い順（知名度・類似性）に防衛取得を検討します。取得後は即座に`v=spf1 -all`と`p=reject`を設定します。 PRIORITY 3 — 継続対応全ドメインの設定状況を定期的に監視し、グローバル水準との比較を継続します。⑤ 定期的なDNSモニタリング体制の確立DMARCは設定して終わりではなく、継続的な監視が不可欠です。設定の陳腐化・送信源の変更・不正利用のいずれも、モニタリングなしには発見できません。DMARCの集約レポート（rua）と障害レポート（ruf（※9））を定期的に確認できる体制を整えます。不正なドメイン利用が検知された場合に担当者へ自動通知が届くアラートフローを構築します。SPFレコードの送信元IPも定期的に見直し、不要な送信源が残存していないか確認します。複数ドメインのレポートを一元管理できるDMARC管理ツールの活用も有効です。（※9）ruf（DMARC失敗レポート）認証に失敗した個別のメールごとに発行される詳細レポートです。失敗したメールのヘッダー情報や送信元など、具体的な内容を確認できるため、なりすましの詳細調査や設定ミスの原因究明に役立ちます。⑥ グローバルベンチマークとの継続比較自社の対策水準を客観的に評価し続けることが、継続的な改善につながります。Amazon（96.4%）やGoogle（89.7%）が高い割合で実現している v=spf1 -all（SPF）および p=reject（DMARC）の適用水準をベンチマークとして設定し、これらグローバル企業の導入水準と自社の現状を半年ごとに比較し、対策の進捗を管理します。最終目標：アクティブドメインの適切率96%以上（Amazonの現在水準）を長期目標として設定し、BIMI/VMCの導入でブランドの信頼を受信トレイ上で可視化します。まとめ：メールセキュリティはブランドを守る「経営責任」なりすましメールによるフィッシング被害は、消費者・取引先への直接的な金銭的・情報的損害にとどまらず、長年築いたブランドへの信頼を根底から覆しかねない経営リスクです。メールセキュリティはIT部門の技術課題ではなく、ブランドを守るための経営責任として位置づけ直す必要があります。対応の優先順位は明確です。まずメール利用ドメインと非メールアクティブドメインへの即時対応、次いで休眠ドメインの一括強化とポートフォリオ整理、そして継続的なモニタリングとグローバル水準との比較です。今日できることは、自社が保有する全ドメインのSPF/DMARC設定状況を確認することです。出典：GMOブランドセキュリティ株式会社「主要ブランドにおけるメールセキュリティの実態」（2026年4月7日公開） お問い合わせこちら

インドネシア政府は2026年3月6日、商標登録に関する法務大臣規則（Permenkum）第5号（2026年）を施行しました。2016年の旧規則（第67号）が廃止・置換され、外国人や法人が出願する際の必要書類が大幅に刷新されています。本記事では、実務上おさえるべき変更点を分かりやすく解説します。<table><tbody><tr><td colspan="1" rowspan="1">施行日</td><td colspan="1" rowspan="1">2026年3月6日（以降の新規出願に適用）</td></tr><tr><td colspan="1" rowspan="1">対象</td><td colspan="1" rowspan="1">インドネシアへの商標出願人（個人・法人・外国人）</td></tr><tr><td colspan="1" rowspan="1">旧規則</td><td colspan="1" rowspan="1">法務大臣規則 第67号（2016年）→ 廃止</td></tr><tr><td colspan="1" rowspan="1">新規則</td><td colspan="1" rowspan="1">法務大臣規則（Permenkum）第5号（2026年）</td></tr><tr><td colspan="1" rowspan="1">情報源</td><td colspan="1" rowspan="1">AFFA Intellectual Property Rights（2026年3月）</td></tr></tbody></table><h2 id="h6d6d5e0919">① 外国人出願人：パスポートのスキャン写しが必須に</h2>外国人が直接、またはインドネシアの代理人を通じて商標出願を行う場合、パスポートのスキャン写しの提出が義務化されました。 <h2 id="h9d3a8d02eb">② 法人（会社）出願人：取締役のパスポートと登記簿謄本が必要</h2>国内外を問わず、法人として出願する際は以下の2点が新たに義務付けられました。<table><tbody><tr><td colspan="1" rowspan="1">必要書類</td><td colspan="1" rowspan="1">詳細</td></tr><tr><td colspan="1" rowspan="1">取締役の身分証明書</td><td colspan="1" rowspan="1">パスポートのスキャン写し※登記簿謄本に記載されている方であれば、代表取締役のパスポートでも、その他の取締役のパスポートでも問題ございません。</td></tr><tr><td colspan="1" rowspan="1">登記簿謄本</td><td colspan="1" rowspan="1">国内法人・外国法人ともに提出必須。登記簿謄本が英語またはインドネシア語以外の場合には、翻訳が必要です。</td></tr></tbody></table> なお、従前より提出が必要であった委任状及び商標所有者声明書についても、登記簿に記載されている取締役の署名が必要となりました。<h2 id="h2845c6f19d">③ 優先権主張：宣誓翻訳士によるインドネシア語訳が必要</h2>パリ条約に基づく優先権を主張して出願する場合、優先権証明書にインドネシア語訳の添付が必要となりました。翻訳は「宣誓翻訳士（Sworn Translator）」による証明付きである必要があり、証明のない機械翻訳や一般翻訳は認められない可能性があります。翻訳準備には一定の時間がかかるため、優先権証明書の提出期限を考慮したスケジュール管理が必要です<h2 id="haa83000857">④ 新規則の適用タイミング</h2>移行期間の取り扱いは以下のとおりです。 <table><tbody><tr><td colspan="1" rowspan="1">出願タイミング</td><td colspan="1" rowspan="1">適用ルール</td></tr><tr><td colspan="1" rowspan="1">2026年3月5日以前に提出済み</td><td colspan="1" rowspan="1">旧規則（第67号）のまま処理される</td></tr><tr><td colspan="1" rowspan="1">2026年3月6日以降に提出</td><td colspan="1" rowspan="1">新規則（第5号）が適用される</td></tr></tbody></table><h2 id="h0c5a0c5eed">まとめ：実務上の対応チェックリスト</h2>本規則の施行により、インドネシアへの商標出願に際して必要な書類や要件が増えました。特に以下の点は早めに準備を進めることをお勧めします。 <ul><li>外国人出願人：パスポートのスキャン写しを最新のものに更新しておく</li><li>法人出願人：署名する取締役のスケジュールを確保し、取締役のパスポートと登記簿謄本の最新版を用意する</li><li>優先権主張を予定している場合：宣誓翻訳士への依頼スケジュールを早めに確保する</li></ul>【出典・参考情報】AFFA Intellectual Property Rights ニュースレター（2026年3月）、インドネシア法務大臣規則（Permenkum）第5号（2026年） <a href="https://affa.co.id/global/2026/03/06/indonesia-new-trademark-registration-rules-scanned-passport-article-of-association-are-now-mandatory-for-foreign-applicants/">https://affa.co.id/global/2026/03/06/indonesia-new-trademark-registration-rules-scanned-passport-article-of-association-are-now-mandatory-for-foreign-applicants/</a>※本記事は情報提供を目的としたものです。個別案件については専門家にご相談ください。

2026年3月施行のインドネシア商標新規則（第5号）を解説。外国人・法人の出願時にパスポートや登記簿謄本の提出が義務化され、優先権主張には宣誓翻訳士の訳文が必須となりました。実務上の変更点と、出願前に準備すべき書類チェックリストをまとめました。

国内Top50ブランドのSPF/DMARC適切設定はわずか4.8%――なりすましメール対策、企業が取るべき6つのアクション

目次