一般財団法人日本情報経済社会推進協会（所在地：東京都港区、会長：杉山 秀二、以下： JIPDEC）は、株式会社TwoFive（所在地：東京都中央区、代表取締役：末政 延浩、以下：TwoFive）と共同で自治体が発信する防災メールのなりすまし対策状況（SPFとDMARCの設定状況）について調査を行いましたので、その結果を公表した。

調査結果のポイントは以下の3点だ。

1. 防災メール発信を行っている自治体は全体の62.8％

2. なりすまし対策のSPFとDMARCは両方設定していないとなりすましメールと判断されることがあるが、 SPF の設定は全体の90％なのに対しDMARCの設定ができている自治体は14.2％

3. 都道府県別の設定割合ではSPFもMARCも両方設定できている自治体は、 どの都道府県も50％未満

SPF（Sender Policy Framework）
送信元が自分たちがメールを送るときに使用するIPアドレスを登録しておく仕組みで、電子メールの送信者の詐称を防ぐ技術の1つとして、普及している技術。SPFが設定されていないメールは受信者によっては迷惑メールと判断されたり、受信拒否されることがある。

DMARC（Domain-based Message Authentication, Reporting, and Conformance）
電子メールの送信者の詐称を防ぐ技術で、SPF等が設定されていない、またはSPF等により正規のルートで送られていないと判断されたメールを受信側がどう扱うべきかを送信元が宣言することができる仕組み。英国政府や米国政府では詐称メールを駆除するように設定しており、迷惑メールの削減に貢献している。

自然災害、害獣など住民の生命や財産に被害が想定される脅威、もしくは既に発生しているという情報を各自治体が電子メールで登録したメールアドレスに送るサービスは防災メールと呼ばれている。災害情報は災害行政無線、アプリ、エリアメールなどいろんな情報伝達手段があるが、電子メールは、配信登録さえすれば、離れたところに暮らす家族も確認できるというメリットがある。

一方で、なりすまし対策をしておかないと受信者側で迷惑メールと判定され、メールが迷惑メールフォルダに入ってしまうなど相手に届きづらくなる恐れがある。また、迷惑メール送信者とみなされると、メールを送ること自体ができなくなることもある。

実際に2018年7月にも、岡山県の大雨特別警報を知らせるメールが迷惑メールと判断され、3千人に対し配信できなくなり、延べ192万通の配信が最大2時間遅延したという事件が発生している。このため、総務省が公表している「地方公共団体における情報セキュリティポリシーに関するガイドライン」（平成30年9月版） にも、なりすまし対策として送信ドメイン認証技術を採用しなければならないと記載されている。

本調査は、2020年6月から8月にかけて都道府県と市区町村、全国あわせて1,788自治体を対象に、Webサイトの目視調査を行った。

1,788自治体で防災メールを配信していることが確認できた1,122自治体（62.8%）のうち、配信サービスを行っていて、かつメール配信登録前に送信者メールアドレス（ドメイン）を確認することができた1,026自治体について、送信ドメイン認証技術であるSPFとDMARCの設定状況を調査した。

防災メールのSPFとDMARCの設定状況
防災メールの発信元メールアドレスを確認できた1,026自治体のうち、SPFに対応していたのが923自治体（90.0%）で、DMARCに対応していたのが146自治体（14.2%）であった。SPFとDMARCを両方とも設定していたのは144自治体（14.0％）のみであった。

なお、1つの自治体で配信メールアドレスが複数あった場合、全てのメールアドレス（ドメイン）が対応していた場合のみ、設定ができているものとした。

都道府県別のSPFとDMARCの設定割合
都道府県別に設定割合を確認したところ、SPFは70％～100％の自治体が設定していましたが、SPFもDMARCも設定できている自治体は50％もなかった。青森県、石川県、兵庫県、鳥取県、山口県、徳島県、香川県、高知県の8県はSPFとDMARCの両方を設定してメールを送信できている自治体がない県であった。

SPFの設定自治体の割合と、SPFとDMARCの両方を設定している自治体の割合を比較したところ、各都道府県ともに、SPFとDMARCの設定割合に大きな乖離が発生していることが確認できる。

今回の調査結果から、9割の自治体がSPFを設定しつつも、SPFだけでなくDMARCも設定している自治体は14％と低く、SPFの設定率と乖離が生じていることがわかった。

両者の設定方法はほぼ同じなためSPFが設定できればDMARCも設定できるはずだが、SPFに比べDMARCは技術として新しいため、あまり認知されていないからではないかと考えられる。

発注元である自治体が送信ドメイン認証を理解することも必要ですが、防災メール配信は委託業者が配信することも多いため、委託先がDMARCの設定ができるかどうかが重要なポイントとなる。

送信ドメイン認証であるSPFとDMARCが設定されていないと、相手にメールが届かない可能性が高くなる。

すぐに情報を届けることが生死に関わる性質のメールを確実に届けるために、自治体はITベンダーへの防災メール配信を業務委託する場合、業務委託時には仕様書に必須要件として記載する等、送信者側で送信ドメイン認証の設定をしておくことが重要だ。

そもそも、防災メールの配信元の情報にアクセスすることが簡単ではないということがわかった。「自治体名+防災メール」と検索しても、自治体保有のページではないサイトが検索結果の上位に現れるという検索サイトの機能による原因もあるが、自治体のサイト自体もそれが本当に自治体のサイトなのかドメインから判別ができかねるサイトもあった。都道府県や気象台のリンクからたどり着ける自治体もあったが、リンクが既に無効になっている自治体もあった。サイトのリニューアル前のページにリンクが残っていてリニューアル後のトップページに飛ばされてしまいそこからたどり着けなくなることもあり、住民に必要な情報を届けるという目的に沿ったITの利活用の必要性を改めて感じた。