BIMIとは？企業のメールにブランドロゴを表示して信頼性を高める新しい認証技術の概要をわかりやすく解説

BIMIとは？企業のメールにブランドロゴを表示して信頼性を高める新しい認証技術の概要をわかりやすく解説

BIMI（ビミ）とは「Brand Indicators for Message Identification」の略称で、受信したメールに企業のブランドロゴを表示できる新しいメール認証の仕組みです。従来、メールの送信ドメイン認証（SPFやDKIM、DMARC）によって送信元の正当性を確認してきましたが、BIMIを導入することで受信トレイ上に企業の公式ロゴマークが表示されるようになります。これにより、受信者は一目で「このメールは正式な企業から送られてきたものだ」と視覚的に判断できるため、メールに対する信頼感が高まります。

企業にとってメールは重要なコミュニケーション手段ですが、フィッシング詐欺やなりすましメールの横行により、受信者がメールの正当性を疑うケースが増えています。BIMIはこうした背景のもと注目され始めた技術であり、メールの送信者をより明確に示すことで、フィッシング対策とブランド保護の両面で効果が期待されています。また、BIMIを導入するためにはドメインにDMARC（Domain-based Message Authentication, Reporting and Conformance）を実装し、ポリシーを「quarantine（隔離）」または「reject（拒否）」に設定して送信ドメイン認証を厳格化する必要があります。これはBIMIがDMARC認証に成功したメールのみを対象とする仕様で、BIMI導入が結果的に企業全体のメール認証強化につながる側面もあります。

BIMIの仕組み自体はシンプルで、企業側で用意したブランドロゴ（SVG形式）への参照情報をDNSにTXTレコードとして公開し、受信側メールサービスがメール受信時にその情報を取得・検証するという流れです。具体的には、送信ドメインに対応するDNSに「default._bimi.組織ドメイン」のTXTレコードを追加し、その中にロゴ画像のURLなどを記述します。受信メールサーバーはメールを受け取ると、まずSPFやDKIM、DMARCによる認証を実施し、DMARCがパスした場合にDNSからBIMIレコードを取得します。そして、その中に記載されたロゴ画像（SVGファイル）を取得し、必要に応じてロゴの所有権を証明する証明書（VMC）が正当かを確認します。

これらの検証にすべて成功すると、受信メールクライアント（例：GmailやYahoo!メール）は受信トレイ上でメールの送信者名の隣にその企業の公式ロゴを表示します。これによって受信者は、メール一覧を見ただけで公式な送信元からのメールだと判別できるようになります。BIMIはまだ比較的新しい技術ですが、GoogleやYahoo!をはじめとする主要メールサービスが対応し始めており、将来的にはメール認証の標準的な拡張機能として定着する可能性があります。

BIMIの正式名称と目的

BIMIは「Brand Indicators for Message Identification」の頭文字をとった名称です。その名のとおり、メールを識別するブランド指標を提供する仕組みを意味しています。簡単に言えば、メールにブランドのロゴマークを表示することで、そのメールが本物であることを示す新たな指標を受信者に提供するものです。BIMIの目的は、メール受信者に対して送信元の信頼性を視覚的に証明し、なりすましメールの被害を減らすとともに、企業のブランド価値を守ることにあります。BIMI導入企業のロゴが受信トレイ上に表示されれば、受信者は一目で「正式な企業からのメールだ」と判断できるため、安心感が生まれます。また、従来のテキスト情報だけでは伝えきれなかったブランドの存在感を高め、メールマーケティングの効果向上にもつながると期待されています。

BIMIのコンセプトと注目される背景

前述のとおり、BIMIのコンセプトは“企業ドメインで認証されたメールに対して公式ロゴを表示する”ことにあります。このシンプルな仕組みが注目される背景には、大きく2つの要因があります。1つ目はフィッシング対策です。近年、送信元を詐称したフィッシングメールや詐欺メールが後を絶ちません。受信者側もメールの差出人表示だけでは真偽を判断しにくくなっており、メールを安易に信用しなくなっています。こうした状況で、BIMIによって企業の公式ロゴが表示されれば、受信者は一目で「このメールは正規の企業から届いている」と判断でき、偽メールとの識別が格段に容易になります。その結果、フィッシング被害の抑止や迷惑メール対策の強化につながると期待されています。

2つ目の要因はブランドの信頼性向上とマーケティング効果です。受信トレイに自社のロゴが表示されることで、メールを受け取った顧客にブランドを印象づける効果があります。これはメールマーケティングにおいて視認性を高め、メールの開封率向上やエンゲージメント改善に寄与する可能性があります。例えば複数の企業から大量のメールが届く中でも、ブランドロゴが表示されていれば目立ちやすくなり、自社メールに注目してもらえる確率が上がるでしょう。さらに、ロゴが表示されることで企業が高度なセキュリティ対策（DMARCやBIMI）を導入している証ともなり、「この企業はセキュリティ意識が高い」というイメージアップにもつながります。こうした付加的なメリットもあり、BIMIは企業のIT担当者やマーケティング担当者から導入検討が進められているのです。

従来のメール認証技術との違い

BIMIは既存のメール認証技術（SPF、DKIM、DMARC）の上に成り立つ仕組みであり、それ自体はメールの真正性を保証する新たな認証方式ではありません。むしろ、既存の認証技術であるDMARCが正常に機能していることを前提に、追加の視覚情報（ロゴ）を提供するレイヤー的な存在です。ここがBIMIの重要なポイントで、BIMIを導入するにはまずSPF・DKIM・DMARCといった従来の技術を正しく設定し、運用できていることが大前提となります。

例えばSPF（Sender Policy Framework）は送信元サーバーのIPアドレスをDNSで公開し、そのIPからのメールかどうか受信側で照合する仕組みです。DKIM（DomainKeys Identified Mail）はメールヘッダーに電子署名を付し、受信側がDNS上の公開鍵で署名を検証することでメール改ざんやなりすましを検出する技術です。DMARC（Domain-based Message Authentication, Reporting and Conformance）はSPFとDKIMの結果をもとに、ヘッダーのFromドメインと送信ドメインの整合性を確認し、認証失敗メールの扱い（隔離や拒否）をポリシーとして宣言する仕組みです。

これらの認証技術によってメール送信元の正当性を検証すること自体はBIMI以前から行われてきました。BIMI導入の最大の違いは、「認証に成功したメールである」ことを受信者に視覚的（ロゴ表示）に示す点です。従来は、受信者はメール本文中の企業名やメールアドレス表示でしか判別できませんでしたが、BIMIではメール一覧に企業ロゴが表示されるため信頼性のアピール度が格段に高まります。つまりBIMIは、メール認証の結果をユーザーインターフェース上にフィードバックする初めての取り組みと言え、これが従来技術との大きな違いです。

また、BIMIの導入は企業にDMARC導入を促す強力な動機付けにもなります。DMARCのポリシーを“reject”や“quarantine”にしてしっかり運用していないとBIMIは機能しません。そのため「ロゴ表示をしたいからDMARCもきちんと設定しよう」という流れが生まれ、結果としてメール全体のセキュリティレベル向上に寄与します。BIMIはセキュリティ標準を底上げしつつ、ブランドの見せ方も革新する技術なのです。

BIMI普及の現状と将来展望

BIMIの普及状況は2025年現在、徐々にではありますが拡大傾向にあります。Yahoo!メールは比較的早い段階からBIMIによるロゴ表示に対応し、Googleも2021年よりGmailで本格導入を開始しました。加えて、AppleもiOS16およびmacOS Ventura以降のApple MailでBIMI表示対応を行うなど、主要なメールプラットフォームがBIMIをサポートし始めています。その他、FastmailやドイツのGMX、フランスのLa Poste、日本のNTTドコモメール（@docomo.ne.jp）など、多くの国際的・国内的メールサービスプロバイダがBIMIへの対応を進めています。

一方で、MicrosoftのOutlook（Office365）など依然としてBIMI未対応のサービスも存在し、市場全体での完全普及には至っていません。特にOutlookは独自のブランド表示（ブランドロゴではなく初期「モノグラム」を表示）機能を提供している背景もあり、BIMI対応について公式なロードマップを示していない状況です。しかし多くのメールクライアントがBIMIに対応してきたことで、企業側でも「将来的な標準機能になるのでは」という期待が高まっています。

将来展望としては、BIMIはメール認証の“見える化”として広く標準化されていく可能性が高いです。すでにAuthIndicators Working Groupを中心にBIMIの仕様が策定され、IETFなどでの議論も進んでいます。今後さらに多くのメールサービスがBIMI対応を表明すれば、数年以内には「企業メールならロゴが表示されて当たり前」という時代が来るかもしれません。特にフィッシング対策やブランド保護への効果が実証されてくれば、各国の大企業・金融機関などから導入が進み、標準規格として定着するでしょう。BIMIはまだ黎明期の技術ですが、その利点から考えて普及のポテンシャルは大きく、今後も最新動向に注目すべきトピックです。

BIMIの仕組み：DMARCとDNSで実現するブランドロゴ表示

次に、BIMIがどのような仕組みでメールにロゴを表示しているのか詳しく見ていきましょう。BIMIの技術的な流れは、大きく以下のステップで構成されています。

1. 送信側でBIMIレコードをDNSに設定する – メール送信ドメインのDNSにBIMI用のTXTレコード（通称「BIMIレコード」）を追加します。このTXTレコードには、BIMIのバージョン情報（v=BIMI1）やロゴ画像（SVGファイル）のURL（l=で指定）、および後述する証明書（VMC）のURL（a=で指定）が含まれます。
2. 受信側でメール認証とBIMIレコード取得を行う – 受信メールサーバーはメールを受け取ると、まずDKIM署名やSPFレコードを検証し、DMARC認証を実行します。DMARCが「合格（Pass）」となり、ポリシーが「quarantine」または「reject」に設定されている場合、受信サーバーはDNSに問い合わせて送信ドメインのBIMIレコードを取得します。
3. ロゴ画像と証明書の検証 – 受信サーバーは取得したBIMIレコードに記載されているロゴ画像（SVGファイル）のURLにアクセスし、画像データを取得します。また、レコード内に証明書（VMC）のURL（a=）が指定されている場合、その証明書ファイルも取得します。Gmailなどでは、この証明書を使ってロゴの商標権が正当な所有者にあることを検証します。
4. メールクライアントでロゴを表示 – 上記の認証・検証がすべて成功したら、メール閲覧画面や受信トレイ上で送信者情報の隣にブランドロゴが表示されます。例えばGmailの受信トレイでは、差出人名の左側に丸いアイコンで企業ロゴが表示されるようになります。Yahoo!メールでも類似の位置にロゴが表示されます。これによって、受信者はロゴを見ただけでメール送信元のブランドを認識でき、安心感を持ってメール本文を開封できるという流れです。

以上がBIMIの基本的な動作フローです。ポイントは、BIMI自体は既存のメール認証に付随して働く仕組みであり、DMARC認証が通らなければBIMIも機能しないという点です。裏を返せば、BIMIを正常に動作させるにはSPF・DKIM・DMARCの実装と運用が必須条件となります。また、ロゴ画像はセキュアなHTTPSでホスティングされている必要があり、証明書（VMC）が要求される環境ではその取得・設定も必要です。これら前提をクリアして初めて、BIMIのロゴ表示が実現します。

DMARC認証とBIMIレコードの関係

メール受信側でBIMIの処理が始まるのは、送信ドメインのDMARC認証が成功した場合のみです。DMARC（Domain-based Message Authentication, Reporting and Conformance）は、SPFとDKIMの認証結果に基づき、送信ドメインとヘッダーFromドメインの一致を確認する仕組みですが、このDMARCが「Pass」していないメールについては受信サーバーはBIMIレコードを確認しません。したがって、BIMI導入の前提条件としてDMARCでの送信ドメイン認証を確実に行い、かつそのポリシーを強制（p=quarantine以上）にしておく必要があります。BIMIレコードをDNSに設定していても、DMARCが未導入だったりポリシーが緩い（p=noneなど）場合、ロゴは表示されません。

DMARC認証が成功すると、受信サーバーはその送信ドメインについてDNSからdefault._bimi.ドメイン名という名前のTXTレコードを取得しようとします。これがBIMIレコードで、そこにロゴ画像や証明書の情報が含まれています。例えばBIMIレコードの典型的な内容は次のようになります：

default._bimi.example.com. IN TXT "v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/logo.vmc"

上記の例では、v=BIMI1がBIMIのバージョンを示すタグ、l=…がロゴSVG画像のURL、a=…がVerified Mark証明書（VMC）のURLです。受信側はこの情報をもとにロゴ画像および証明書を取得しにいきます。

ロゴ画像（SVG）とVMC証明書の検証

受信サーバーがBIMIレコードから取得したロゴ画像（SVGファイル）および証明書（指定があれば）について、次に行うのがファイルの検証です。まずロゴ画像に関しては、BIMIの仕様で定められた要件に沿ったSVGファイルか確認されます。具体的には、SVG Tiny Portable/Secure (SVG Tiny 1.2+PNG)という仕様に適合し、スクリプトや外部参照を含まない安全なSVGである必要があります。また画像は正方形であること、背景が透明であること、ファイルサイズも一定以下であることなどがチェックされます。これらを満たさない場合、受信側はロゴの表示を拒否します。

次にVerified Mark証明書（VMC）の検証です。VMCはブランドのロゴマークに対して発行されるデジタル証明書で、そのロゴの商標権が申請者（企業）にあることを第三者機関（認証局）が証明するものです。例えば企業ロゴが商標登録されていることなどが確認され、DigiCertやEntrustといった認証局からVMCが発行されます。Gmailでは、このVMCによって裏付けされたロゴのみを表示する実装になっています。そのため受信側（Gmail）はBIMIレコードでa=タグに証明書URLが指定されている場合、その証明書を取得して署名や有効期限、ドメイン名・ロゴの一致などを検証します。証明書が有効で、かつその証明書に含まれるロゴハッシュ値と実際のSVGロゴが一致すれば「正当なロゴ画像」と判断され、表示が許可されます。

Yahoo!メールなどVMCを要求しないサービスでは、DMARCがPassしてBIMIレコードにロゴURLがあれば基本的にロゴが表示されます。一方、GmailやApple MailではVMCの存在が事実上必須となっており、証明書がない場合はDMARC認証がPassしていてもロゴは表示されません。このようにサービスによって証明書の扱いは異なりますが、BIMI導入企業の多くはGmailでロゴ表示するためにVMCを取得する傾向にあります。

受信メールクライアントへのロゴ表示

最後に、受信者の目に触れるメールクライアントでのロゴ表示についてです。BIMIが有効に機能した場合、受信メール一覧や開封済みメールのヘッダー部に企業ロゴが表示されます。例えばGmailのWeb版やスマートフォンアプリでは、送信者欄の左側に丸いアイコン枠でブランドロゴが表示されます。Yahoo!メール（Yahoo! JAPANのウェブメール）でも同様に、件名一覧の差出人欄にロゴが表示されます。Apple Mailでは、メールを開いたときの差出人名の横に小さなロゴが表示される仕様です。

こうした視覚的なブランド表示によって、ユーザーは受信トレイを眺めるだけでどのメールが公式な企業からのものか直感的に理解できます。企業ロゴは受信者にとってなじみのあるものですので、テキストの差出人名よりも目に入りやすく、メールの存在感・信頼感を高める効果があります。また、ロゴが出ているメールはユーザーの注意を引きやすく、開封率向上にも寄与し得ます。

なお、BIMIロゴの表示方法はメールサービスごとに多少異なります。Gmailではダークモードの場合に背景が自動で円形に塗りつぶされるなどの挙動がありますし、Apple Mailでは受信者が連絡先に登録済みの企業ロゴと競合した場合の扱いなど細かな仕様があります。しかし総じて、「BIMI対応サービスでDMARC認証Pass & 正しいBIMIレコードあり & （必要ならVMC有効）」という条件を満たせばロゴが表示されるという点は共通しています。企業側は一度設定してしまえば、そのメールを受け取った様々なサービスのユーザーにロゴを表示できる可能性があるため、BIMI導入による効果は大きいと言えるでしょう。

BIMI導入のメリット：ブランド保護とマーケティング強化

BIMIを導入することにより、企業にはどのようなメリットがあるのでしょうか。大きく分けてブランド認知・信頼性の向上、メールマーケティング効果の向上、そしてセキュリティ強化の3つの観点でメリットが期待できます。

ブランド認知度の向上

第一のメリットはブランド認知度の向上です。受信トレイに自社のロゴを表示できるようになると、メールを開封しなくてもユーザーの目にブランドイメージを焼き付ける効果があります。特に日々大量のメールに触れているユーザーにとって、テキストだけの差出人名よりもロゴのビジュアルは強い印象を残します。例えば、大手ECサイトや銀行からのメールに各社のロゴが付いていれば、ユーザーは一覧画面でパッとそれと認識できますし、無意識のうちに「○○社からのメールが来ている」と認知します。これはマーケティングの観点では、メールを通じたブランディング効果が高まることを意味します。

また、メール受信時にロゴが表示されることは、それ自体がブランドの存在感アピールになります。多くの競合や他の通知に埋もれがちな顧客のメールボックスで、自社のロゴが表示されていれば一際目立ちます。結果としてメールの開封率が上がる可能性があり、顧客に情報を届けるチャンスを逃しにくくなるでしょう。BIMI導入各社の事例として、「BIMI対応後にメール開封率が向上した」という報告も徐々に聞かれるようになっています（正式な統計データは今後の蓄積待ちですが、マーケティング担当者の期待は高まっています）。このように、BIMIは受信トレイを一種の広告・PRスペースとして活用できる点で、ブランド認知の強化につながるメリットがあります。

受信者の信頼感向上

二つ目のメリットは受信者の信頼感向上です。メールは便利な反面、不審メールや詐欺メールも多いため、受信者は常に警戒しています。そんな中、BIMIで公式ロゴが表示されると、ユーザーに「このメールは公式だ」という安心感を与えることができます。実際にロゴがあるだけで心理的な印象は大きく異なり、「正規の会社から送られてきたんだ」という直感的な安心感をユーザーが抱きます。

特に金融機関やECサイトなど、フィッシングの標的になりやすい業種では、BIMIの信頼性向上効果は大きいでしょう。仮に同じ件名・差出人名のメールが2通あったとして、片方には知らないドメインからのメール、もう片方には公式ロゴ付きのメールであれば、ユーザーは後者を圧倒的に信頼します。これにより、企業から送る重要なお知らせや請求書メール等がユーザーに無視されにくくなり、メール到達後のエンゲージメント（開封・クリック等）が向上する可能性もあります。

さらに、BIMIロゴが表示されるためにはDMARC導入など高度なセキュリティ対策が必須です。その事実自体が「この会社はセキュリティに気を使っている」という印象を利用者に与え、ブランド全体の信頼性アップにも寄与します。メール本文に「このメールは公式です」と書くよりも、ロゴが出ていること自体が信頼の証拠になります。企業に対する顧客の安心感・信用度が増すことで、メール以外のサービス利用においても良い影響（例えばログイン率や利用継続率の向上）が期待できるでしょう。

メールマーケティング効果の向上

BIMI導入によってメールマーケティングの効果向上も見込まれます。前述した開封率やエンゲージメント（メール内リンクのクリック率など）の改善は、そのままマーケティング施策のKPI向上につながります。特に消費者向けビジネス（BtoC）を展開する企業にとって、メールはプロモーションの重要なチャネルです。BIMIでロゴが表示されているメールは、ユーザーにとって信頼でき魅力的に映るため、他社からのメールより優先的に閲覧される可能性が高まります。

例えば、あるユーザーがメールボックスを開いた際に、10件の新着メールがあったとします。そのうちBIMI対応でロゴが表示されているメールが1件でもあれば、視覚的に目を引くため、まずそのメールから確認しようという気持ちになるかもしれません。これによりメールの開封率が上がり、結果としてメール経由のコンバージョン（商品の購入やサービス申込）につながりやすくなる効果が期待できます。特にマーケティングメールでは数％の開封率向上が大きな売上増につながることもあるため、BIMI導入はROI（投資対効果）の面でも注目されています。

また、メール本文内のコンテンツとあわせてロゴが表示されることで、ユーザーのブランド想起にも良い影響があります。定期的なメールニュースレターなどで継続的にロゴを目にしてもらうことで、ブランドロイヤリティの醸成につながる可能性もあります。このように、BIMIは単なるセキュリティ機能ではなく、マーケティングツールとしても機能しうる点が大きな利点です。

フィッシング対策・セキュリティ強化

そして三つ目、セキュリティ強化のメリットも無視できません。BIMI自体はロゴ表示の仕組みですが、その前提としてDMARCによる厳格なドメイン認証が必要です。このため、BIMIの導入プロセスを通じて企業は必然的にSPF・DKIM・DMARCの設定を見直し、なりすましメールへの対策を強化することになります。結果として送信ドメイン認証の導入率や正確な運用が促進され、組織全体のメールセキュリティが底上げされます。

また受信者側の視点では、ロゴが表示されているメール＝正規企業のメールと判断しやすくなるため、逆にロゴの無い不審メールに対して注意を払うようになります。BIMIが広まれば、「ロゴが出ていない銀行からのメールは怪しい」という認識がユーザー側に浸透する可能性もあり、フィッシング詐欺メールの見破りが容易になります。これは社会全体のセキュリティリテラシー向上にも寄与するでしょう。

実際、BIMI導入企業にとっては「メールの到達率（Deliverability）が改善した」との報告もあります。DMARCで検疫・拒否されるような怪しいメールは弾かれ、正当なメールのみが届けられるため、受信側メールサービスの評価も高まりやすいのです。さらに、Yahoo!メールではBIMI導入ドメインからのメールについて迷惑メール判定を緩和する措置がとられているとの情報もあります（公式な発表ではありませんが、送信基盤の信頼性が高いとみなされる傾向があるようです）。このように、BIMI導入はフィッシング対策とメール到達率向上の両面でセキュリティメリットをもたらすと考えられています。

BIMI対応メールサービス一覧：主要プロバイダの対応状況

2025年現在、世界的に見てBIMIに対応している主要なメールサービスプロバイダは増えつつあります。ここでは代表的なサービスの対応状況を紹介します。

GmailでのBIMI対応

Googleの提供するGmail（及びGoogle Workspaceメール）は、2021年より正式にBIMI対応を開始しました。Gmailでロゴ表示を行うには、DMARCを有効化（p=quarantineまたはreject）し、Verified Mark証明書（VMC）を取得する必要があります。Gmailの実装では、BIMIレコードにa=タグで証明書URLが指定されており、その証明書によるロゴ検証が通った場合のみロゴが表示されます。したがって、企業側はDigiCertやEntrustなど認証局からVMCを購入し設定することが前提です。

Gmail受信トレイでの表示例としては、送信者名の左側にブランドロゴが円形アイコンで表示されます。背景が自動で白またはグレーで塗りつぶされ、ロゴの形状によっては多少の調整が入ります。たとえばロゴが縦長の場合でも円形枠に収まるように縮小表示されます。GmailではWeb版・スマホアプリ版ともにBIMIロゴ表示に対応しており、ユーザー設定でオフにする項目等は特にありません。メール一覧だけでなく、メールを開いたときの差出人情報ポップアップにもロゴが表示され、フィッシング対策に貢献しています。

なお、Gmailでは2023年に入ってから送信者名横のチェックマーク表示も導入されました。これは送信者が「Brand Indication」つまりブランド表示されていることを示す緑の認証マークで、BIMIが有効なメールにはチェックマークアイコンが付く仕様です。要するに「この差出人はGoogleによってVerified（確認）されています」という印です。これにより、ユーザーはロゴとあわせて視覚的に信頼性を認識できるようになりました。

Yahoo!メールでのBIMI対応

Yahoo!メール（米国版、および日本のYahoo! JAPANメール）はBIMIへの取り組みが比較的早く、2018年頃から一部でパイロット導入されてきました。Yahoo!はValimail等と協力しBIMIの実証実験を行った経緯があり、主要メールプロバイダの中では最も早期にBIMIロゴ表示を提供しています。Yahoo!メールではDMARC認証がPassしBIMIレコードが存在すれば、VMC証明書がなくてもロゴが表示される仕様です（将来的に要件が変わる可能性はあります）。

Yahoo!メールの表示位置もGmail同様、受信トレイの送信者名横です。Yahoo!の場合、背景が白の角丸四角形にロゴが表示されるスタイルで、一画面あたりのメール一覧表示件数によってはロゴが縮小されることもあります。日本のYahoo! JAPANメールでも基本的に同じ仕様で、2022年末頃から順次BIMIロゴ表示が確認されています。ただし、日本版の場合ユーザー設定で「送信者画像表示」をオフにしているとロゴも表示されないため（連絡先画像等と同一扱い）、全ユーザーに必ず見えるわけではありません。

Yahoo!メールの特色として、BIMI未対応だった頃から独自に送信者ドメインのロゴ表示を試みていた点が挙げられます。Yahoo!では、BIMIレコードがなくてもYahoo!側で把握している企業ドメインについて独自にロゴを表示する実験的機能があったようです。しかしBIMI標準が普及するにつれ、現在では公式のBIMIレコードに基づく表示に一本化されています。Yahoo!は今後もBIMI推進に積極的で、他のメールプロバイダとも協調しながら標準化を進める立場を取っています。

Apple MailでのBIMI対応

Appleが提供するメールクライアント、Apple Mail（iOSメールアプリやMacのメールソフト）も2022年〜2023年にかけてBIMIに対応しました。iOS16、iPadOS16、macOS Ventura以降のApple Mailでは、BIMI対応メールにブランドロゴが表示されます。具体的な表示箇所は、メールを開いた時の差出人欄（From欄）の右側です。例えばiPhoneのメールアプリで企業からのメールを開くと、差出人名の横に小さな丸い企業ロゴが表示されるようになります。

Appleの場合、メール一覧画面ではなく開封時の表示のみという点がGmail/Yahooとは異なります。しかし受信者がメールを開いた時点でロゴが確認できるため、「開いたメールが本当にその企業からのものか」をチェックする手段として有効です。Apple MailでBIMIロゴを表示させる要件も他社とほぼ同様で、DMARC導入済みかつ（Gmail相手にも表示させるには）VMC取得が推奨されます。Apple自体が公式にVMC必須と明言しているわけではありませんが、ロゴ表示には実質的に商標確認されたロゴが必要になると見られます。

なおAppleは、2023年にApple Wallet上で表示する企業ロゴにVerified Mark証明書を活用するとも発表しており、エコシステム全体でVMCの活用を模索しています。このためApple MailでのBIMI対応も今後さらに強化され、場合によってはメール一覧でのロゴ表示などにも拡大する可能性があります。Apple製デバイスユーザーにリーチしたい企業にとっても、BIMI対応は重要になってきています。

その他のメールサービスの対応状況

Gmail/Yahoo/Apple以外にも、BIMIに対応しているサービスは複数存在します。例えばFastmail（オーストラリア発のメールサービス）はBIMIに対応済みで、独自ドメイン利用者にもBIMIロゴ表示が行われています。また、ドイツのGMXやWEB.DE、フランスのLa Poste、ポーランドのOnet Pocztaなど欧州主要プロバイダも対応を表明しています。日本の携帯キャリアメールでは、KDDI（au）のauメールがBIMI対応に前向きとされています（具体的な実装時期は未公表）。NTTドコモのドコモメールもAuthIndicatorsグループに名を連ねていることから、将来的な対応が期待されます。

一方、MicrosoftのOutlook.com（旧Hotmail）やExchange Online（Office365）は現時点でBIMI非対応です。Microsoftは自社サービス内でブランド表示の仕組み（Branding/Business Profiles）を検討しているとも言われますが、公式な発表はありません。また、プロバイダ独自のロゴ表示機能を持つケースもあります。たとえば楽天やAmazonなど、一部の大手企業は特定メールサービスと提携しロゴを表示させている例がありますが、これらはBIMIとは別個の仕組みです。しかし、標準化されたBIMIが普及すればこうした個別対応は整理され、各サービスでBIMIレコードに従ってロゴが統一的に表示される流れになるでしょう。

BIMI未対応サービスの現状

繰り返しになりますが、現時点でMicrosoft Outlook系列（Outlook.com、Outlookアプリ、Exchange系サービス）はBIMIをサポートしていません。このため、たとえ企業がBIMIを導入していても、Outlookを使っている受信者にはロゴは表示されない状況です。Microsoftからは「BIMI導入予定」等のアナウンスも特に出ていないため、Outlookユーザーに対しては引き続き従来どおりのテキスト情報のみで信頼性を判断してもらう必要があります。

ただし、Outlookユーザーでも、GmailなどBIMI対応のサービスから転送されたメールや、モバイルでApple Mailを使用してメールを読む場合など、間接的にBIMIの恩恵を受けるケースもゼロではありません。とはいえ、依然BIMI非対応のユーザーが一定数存在する点には留意が必要です。企業としては「BIMIを導入したから100%安全・安心」というわけではなく、BIMIではカバーしきれない環境向けにもセキュリティ啓発や対策を続けることが大切です。

総じて、BIMI対応サービスは増加傾向にありますが、一部未対応も残るというのが現状です。主要プロバイダがほぼ出揃った今、残る大物はMicrosoftといったところでしょう。業界内ではMicrosoftもいずれ対応すると予測されていますので、企業側としては先行してBIMI導入準備を進めておく価値があるでしょう。

BIMI導入の前提条件：必要な事前準備

BIMIを導入するにあたっては、いくつかクリアすべき前提条件があります。これらを満たさないとBIMIによるロゴ表示が機能しないため、順を追って準備を進める必要があります。

SPF・DKIMの設定

まず必須なのが送信ドメイン認証（SPFとDKIM）の設定です。BIMIの土台にはSPF、DKIM、そしてDMARCといった既存のメール認証技術があります。特にSPFとDKIMについては、BIMIに直接関与するわけではありませんが、後述するDMARCでメールを検証するための前提となります。自社ドメインから送信するメールについて、きちんとSPFレコードをDNSに公開し、DKIM署名を付与する運用を整えておきましょう。SPFレコードでは自社メールサーバーや利用している送信サービスのIPアドレスを漏れなく指定し、「?all」（許容）ではなく「-all」（拒否）のような強い設定にしておくことが望ましいです。DKIMについても、メールヘッダーに署名が付与されていること、DNSに公開鍵が正しく登録されていることを確認します。

これらの設定が不十分だと、DMARCでの認証が失敗してしまい、BIMIまで到達できません。多くの企業ではメール送信を外部のクラウドサービス（ESP）に委託していたり、グループ会社ドメインからの代理送信があったりしますので、SPFのinclude設定やDKIM鍵の登録漏れが無いよう注意が必要です。BIMI導入プロジェクトの初期段階で、まず自社ドメインのSPF/DKIM設定状況を棚卸しし、必要に応じて整備・修正することをお勧めします。

DMARCの導入とポリシー強化

BIMIでロゴを表示するための絶対条件として、DMARCを導入済みでポリシーが「隔離」または「拒否」であることが挙げられます。DMARC（Domain-based Message Authentication, Reporting and Conformance）は既存のSPF/DKIMの検証と、メール受信後の処理方針をDNS上で宣言する仕組みです。BIMIはDMARCの「このメールは正当」という結果をトリガーに動き出すので、DMARC設定が欠かせません。

具体的には、送信ドメインのDNSにDMARCレコード（_dmarc.example.com）を追加し、v=DMARC1; p=quarantine; pct=100; rua=mailto:… のようにポリシーを記述します。ポイントはp=タグで、ここがnone（確認のみ）だとBIMIは機能しません。最低でもquarantine（隔離）以上、可能ならreject（拒否）が望ましいです。またpct=100（適用率100%）にしておくことで、すべての未認証メールにポリシーを適用できます。DMARC導入がまだの場合は、メール送信ドメインごとにSPFとDKIMが整っていることを確認した上で、段階的にポリシーを強化（none→quarantine→reject）していくと良いでしょう。

DMARC導入時には、ruaタグでリポート送信先を指定することで、受信各社から認証レポート（Aggregate Report）を受け取ることができます。これにより、自社ドメインを騙る迷惑メールの有無や、正規メールの認証ステータスを把握できるため、BIMI導入と並行してDMARCレポートの監視体制も築いておくと安心です。

ロゴ画像（SVG形式）の準備

BIMIで表示されるブランドロゴはSVG（Scalable Vector Graphics）形式で用意する必要があります。PNGやJPEGではなくSVGが指定されている理由は、ベクター形式で解像度に依存せず鮮明に表示できること、そしてセキュリティ上扱いやすいことにあります。SVGはテキストベースで構成される画像フォーマットで、適切に作成すれば非常に容量が小さく、メールサービス側でサイズや背景色の調整が容易です。

まず自社の公式ロゴデータを元に、BIMI要件に適合したSVGファイルを作成しましょう。要件としては、正方形のアスペクト比であることが求められます。縦横のどちらかに長いロゴの場合、余白を設けて正方形のキャンバスに収まるようデザインを調整します。また、背景は透明または単色で、アイコン的に見やすいデザインが望ましいです。あまり細かい文字や複雑なグラデーションは、小さなサイズで表示した際に視認しにくくなるため避けます。

自社にデザイナーがいる場合はSVG書き出しに対応したIllustrator等のソフトで編集してもらいます。いない場合でも、既存の高解像度ロゴ画像（PNG等）を元にオンラインのSVG変換ツールなどでトレースして作成することが可能です。ただし、自動変換したSVGは不要なメタデータや複雑なパス情報を含むことが多いため、可能な限りシンプルなSVGコードに最適化することが推奨されます。

作成したSVGファイルはテキストエディタで開き、中身を確認しましょう。外部参照している画像やフォントが無いか、JavaScriptなどのスクリプト要素が含まれていないかをチェックします。BIMIの仕様ではそうした要素はNGですので、該当部分は削除します。例えば画像を埋め込む場合、データURI化してSVG内にバイナリ埋込する必要がありますが、基本的にはロゴはベクター図形のみで構成すべきです。

ロゴ画像の公開（HTTPSでホスティング）

SVGロゴが用意できたら、そのファイルをインターネット上で公開アクセスできる場所に置きます。多くの場合、自社サイトのドメイン上にHTTPS対応のURLで配置することになるでしょう。例えばhttps://www.example.com/images/logo.svgといったURLで外部から取得できる状態にします。TLS証明書が有効なWebサーバー上に置く必要があり、http（非SSL）や認証必須の場所では受信側から取得できないので注意してください。

ファイル名やパスは自由ですが、できるだけシンプルで変更が少ないURLにしておくことをおすすめします。なぜなら、このURLをBIMIレコードに登録した後、頻繁に変更してしまうとDNS書き換えやキャッシュの問題が発生するためです。また複雑なURLより短い方がTXTレコードの文字数制限にも引っかかりにくいです。

ロゴファイルを設置したら、一度実際にブラウザでアクセスして正しく表示できるか確認します。その際、Content-Typeヘッダーがimage/svg+xmlで返されることを確認してください。サーバーの設定によってはSVGが正しくMIME設定されておらず、BIMI側で取得エラーになることがあります。必要に応じてサーバーのMIMEタイプ設定にsvgを追加しましょう。

また、ロゴは公開情報となるため、透かしや著作権情報など気になる場合は、SVGのコメントとして入れておく程度にとどめます。BIMI導入時には基本的に公式ロゴを使うため、その扱いは会社のブランド管理部門などとも連携しておくと良いでしょう。

Verified Mark証明書（VMC）の取得（必要に応じて）

GoogleのGmailやApple Mailでロゴ表示をするには、Verified Mark Certificate（VMC）と呼ばれる証明書を取得する必要があります。VMCは認証局（Certificate Authority）によって発行されるデジタル証明書で、申請者がそのブランドロゴの正式な権利保有者であることを証明するものです。要は「このロゴは確かに○○社の商標です」という太鼓判を押す証明書で、Gmail等ではこれがないとロゴを表示しません。

VMCを取得するには、まずロゴ自体が商標登録されていなければなりません。認証局は申請されたロゴがUSPTO（米国特許商標庁）など公的機関に登録された商標かどうか確認します。また企業実在性の確認（EV証明書と同様の審査）も行われます。実際の発行プロセスとしては、DigiCertやEntrustに申し込みを行い、必要書類（商標登録証明など）の提出、審査を経てVMCが発行されます。費用は年間数十万円程度とされており、決して安くはありません。しかし、Gmailユーザーにもロゴを確実に届けたい大企業にとっては必要な投資と言えます。

VMCはPEM形式（X.509証明書）のファイルとして発行され、自社で入手したらそれをインターネット上に公開し、そのURLをBIMIレコードのa=タグに設定します。受信側はメール受信時にその証明書にアクセスし、有効性やロゴのハッシュ値等をチェックします。証明書には有効期限があり、概ね1〜3年で更新が必要です。更新を忘れるとロゴが表示されなくなるので、SSL証明書同様に期限管理をしておく必要があります。

なお、現時点ではYahoo!メールなどVMC無しでもロゴを表示するサービスもあるため、VMC取得は「絶対必要」とまでは言い切れません。ただ、Gmailユーザー比率が多い企業にとってはVMC無しでは効果が半減してしまいます。特に日本ではGmail利用者が非常に多いため、BIMI導入を決めたらVMC取得もぜひ検討してください。商標登録から始めると時間がかかる場合もあるので、早めの着手が吉です。

BIMIの設定方法と導入ステップ

ここからは、実際にBIMIを導入する手順を具体的に説明します。大まかな流れは(1)送信ドメイン認証の整備 → (2)ロゴ画像のSVG化 → (3)証明書（VMC）の取得 → (4)DNSへのBIMIレコード登録 → (5)動作確認というステップになります。それぞれ順を追って見ていきましょう。

ステップ1：送信ドメイン認証（SPF・DKIM・DMARC）の整備

BIMI導入の第一歩は、送信ドメイン認証（SPF、DKIM、DMARC）の設定を正しく完了させることです。これは前提条件の項でも述べましたが、BIMI以前にメール認証基盤を万全にする必要があります。具体的には以下の作業を行います：

• 自社送信ドメインのDNSにSPFレコードを作成する（もしくは既存のSPFを最新の送信IPに合わせて更新）。
• 自社メールサーバーまたは利用サービスでDKIM署名を有効にし、DNSに公開鍵を登録する。
• DNSにDMARCレコード（_dmarc.ドメイン名）を追加し、p=quarantineまたはp=rejectに設定する。初期はp=none（モニタリング）から始め、問題なければポリシー強化。

これらの設定を行った後、実際に自社からテストメールを送信して、受信側でSPF/DKIM/DMARCがPassになることを確認します。Google WorkspaceやMailTesterなどのツールを使い、メールヘッダーでAuthentication-Resultsをチェックしましょう。ここですべて「Pass」が得られれば、ステップ1完了です。

またDMARCレポート受信の設定も行っておくと、BIMI導入後も認証失敗のメールがないか監視でき安心です。DMARCのruaタグに自社のレポート収集用メールアドレス（例：dmarc-report@自社ドメイン）を指定し、受信したXMLレポートを分析する体制を整えておきましょう。これら認証基盤の整備はBIMIのみならずメールセキュリティ全般に有益な取り組みであり、「BIMI導入を機に社内メール環境を見直す」良い機会ともなります。

ステップ2：ブランドロゴをSVGフォーマットで作成

次に、メールに表示するブランドロゴ画像を準備します。要件を満たしたSVG形式のロゴファイルを作成するステップです。自社のコーポレートロゴのデータが既にある場合は、それをもとにSVGを作りましょう。ポイントは以下の通りです：

• 正方形のキャンバスにロゴをレイアウトする（縦横比1:1）。必要に応じて上下または左右に余白を足して正方形に調整。
• 背景は透明にする。ロゴ画像は透過PNGのようなイメージで、背景色なしもしくは白で作成。
• 細かい文字や複雑な要素を可能な限り排除する。縮小表示でも認識できるシンプルな図形が望ましい。
• ツールはIllustratorなどのSVG書き出し対応ソフトを利用するか、信頼できるオンライン変換ツールを用いる。
• 生成したSVGコードから、不要なコメントやスクリプト、外部参照を削除し、ファイルサイズを軽量化する。

例えば自社ロゴが横長の文字列ロゴの場合、アイコン的なシンボルマーク部分のみを取り出してSVG化するのも一案です。実際、多くの企業がBIMI用に通常ロゴの簡略版（シンボルだけ、あるいは頭文字だけなど）の画像を用意しています。その方が小さなサイズでも認識しやすく、見栄えが良いためです。

作成したSVGファイルは、ファイルサイズができるだけ小さいことも重要です。経験上、5KB〜15KB程度に収まるのが理想で、大きくても50KB以内には抑えたいところです。あまりに巨大なSVGは受信側でロードを拒否される場合があります。Illustratorの書き出し設定で「余分なIDを削除」「プレゼンテーション属性をスタイル属性に統合」等を有効にし、最適化しておきましょう。また専用のSVG最適化ツール（SVGOなど）を使うと無駄な記述を削減できます。

ステップ3：VMC（証明書）の取得（※必要に応じて）

GmailやApple Mailでロゴを表示したい場合、ベリファイドマーク証明書（VMC）の申請・取得が必要となります。企業のロゴマークに対するデジタル証明書で、商標権とロゴの紐付きを証明するものです。前提としてロゴの商標登録が完了している必要がありますので、もし未登録であれば早急に手続きを開始しましょう。

VMCはEntrust社やDigiCert社などの認証局から発行されます。取得手続きとしては、各認証局のサイトから申し込み、所定の申請フォームに企業情報やロゴ情報を入力します。その後、担当者とのメールや電話でのやり取りを経て、商標証明の提出、企業実在確認（書類確認や第三者データベース照会）などの審査プロセスがあります。問題がなければ請求書の支払い後に証明書が発行され、PEM形式のファイル（拡張子.pemや.crtなど）が提供されます。

証明書を受け取ったら、自社Webサーバー上にアップロードしておきます。例えばhttps://www.example.com/bimi/example.vmc.pemのようなURLで公開し、後述のDNSレコード設定でそのURLを指定します。なお、VMCには有効期限（1〜3年程度）が設定されているため、期限が来たら更新が必要です。証明書の期限管理もしっかり行いましょう。

中小企業の場合、「VMC取得のコストが高くハードルが高い」と感じるかもしれません。しかし現状、Gmailユーザーにロゴを見せるには避けて通れない道です。もし費用面で難しいようであれば、まずYahoo!メール等でのロゴ表示から始め、将来的に余裕ができたらVMCを取るという段階的なアプローチも検討できます。ちなみに、VMC取得には数週間〜数ヶ月程度の時間がかかることもありますので、BIMIプロジェクト計画時にはそのリードタイムも考慮してください。

ステップ4：DNSにBIMIレコードを追加

ロゴの準備と証明書の取得が完了したら、DNSにBIMI用のTXTレコードを追加します。具体的には、送信ドメインに対してdefault._bimiというホスト名でTXTレコードを登録し、その値に先ほどのロゴURL等を記述します。

前述の例を参考に、書式は次のようになります：

default._bimi.<送信ドメイン>. IN TXT "v=BIMI1; l=<ロゴのHTTPS URL>; a="

a=タグ（証明書URL）は省略可能ですが、Gmail等で表示させたい場合は極力指定しましょう。もしVMC未取得でYahoo!メール等だけ狙う場合はa=部分を省くか、a=selfと記述します（selfは「VMCなし」という宣言の意味になります）。

このDNS設定は、他のTXTレコード同様にDNSホスティングサービスやNSサーバーのゾーンファイル編集で追加します。登録後はdigコマンド等で正しく引けるか確認しましょう。たとえばdig -t TXT default._bimi.example.comと実行し、設定した文字列が返ってくればOKです。反映には数分〜数十分程度かかる場合もあります。

DNSにレコードを追加する際、文字列が長いために分割が必要になるケースがあります。DNSゾーンファイルでは引用符で囲った文字列は自動的に結合されますが、途中で改行する場合は適切にエスケープを入れるなど注意が必要です。一般にはスペースなどを入れず一行で記述する方が無難です。Azure DNSなど一部環境では;セミコロンを区切りと誤認してしまう場合も報告されているため、もし特殊なDNSサービスを利用している場合はBIMIレコードの記法について事前に調査しておくと良いでしょう。

ステップ5：設定内容の確認とテスト送信

最後に、BIMIの設定が正しく機能するか動作確認を行います。まず、BIMI Inspectorや各種BIMIチェックツールを使って、自社ドメインのBIMIレコードが正しく設定されているか検証しましょう。例えばDigiCertの提供するBIMI確認ツールにドメインを入力すると、DMARC設定やBIMI TXTレコード、証明書の有無などをチェックしてくれます。

次に、実際のメールをテスト送信してみます。GmailやYahoo!メールのアカウントを用意し、自社からメールを送って受信トレイにロゴが表示されるか確認します。Gmailの場合、メールが届いてからロゴ表示まで少しタイムラグがあったり、一度開封しないと表示されないこともあるので注意してください。Yahoo!メールなら比較的すぐ一覧画面で確認できるでしょう。

もしロゴが表示されない場合は、以下の点を再チェックします：

• DMARC認証がPassしているか（送信ドメインとFromドメインは一致しているか）。
• BIMI TXTレコードの綴りミスやURLミスは無いか（例えばdefault._bimiが正しく設定されているか）。
• SVGロゴファイルが要件を満たしているか（正方形か、余計なタグは無いか、HTTPSで取れるか）。
• VMC証明書が有効か（証明書のCommon Nameや有効期限を確認）。
• 受信側サービスの対応状況（Outlookなど非対応サービスではないか）。

これらを確認・修正して再テストし、無事ロゴが表示されればBIMI導入成功です。導入後は定期的にメール配信状況とロゴ表示の有無をモニタリングし、問題発生時は早めに対処できるようにしておきましょう。また、社内のカスタマーサポート部門などにもBIMI導入を共有し、顧客から「メールにロゴが出ていない」といった問い合わせが来た際に適切に案内できるようにしておくと万全です。

BIMIレコードの詳細：DNSレコード記述と構成要素

ここではBIMIレコード（DNSのTXTレコード）の書き方や各要素の意味について、もう少し詳しく解説します。

BIMIレコードのフォーマット

BIMIレコードはDNSのTXTレコードとして登録され、書式は先ほど例示したようにセミコロン区切りでタグと値を並べる形式です。基本フォーマットは次のとおりです：

v=BIMI1; l=<ロゴ画像URL>; a=<証明書URLまたはself>

v=BIMI1はバージョン番号で、現行では必ず「BIMI1」と記載します。将来仕様が変わった際の互換性のためのタグで、現時点では特に他の値はありません。

l=はロゴ（Logo）を意味し、メール受信側が取得すべきSVGロゴファイルのURLを指定します。例：l=https://example.com/logo.svg。このURLは必ずHTTPSである必要があります。また、単一ドメインで複数ブランドを扱う場合に備えて、default._bimi以外のレコード名も定義されていますが、通常はdefault._bimi一つあれば十分でしょう。

a=は認証（Authority）の意で、VMC（Verified Mark Certificate）のURLを指定します。例：a=https://example.com/logo.vmc.pem。証明書が無い場合はa=selfと記述できます。selfは「自己宣言」という意味で、「正式な証明書はないが自社判断でロゴを提供している」という状態を表します。Yahoo!メールなどVMC無しでも表示するサービスではこのself指定が使われます。逆に証明書が必要な環境ではselfではロゴが表示されないだけでなく、そもそもタグ無しの場合と扱いは同じです。

これら3つのタグ以外に、将来的な拡張用にpreferred=, vector=, r=, s=などのタグが議論されていますが、2025年現在は採用されていません。したがって、基本的に上記3つのタグだけ覚えておけば問題ありません。

v=BIMI1（バージョン）タグの意味

BIMIレコードの先頭に書くv=BIMI1は、このレコードがBIMIに対応していることとバージョン1仕様であることを宣言しています。現時点でBIMIはバージョン1しか存在しませんが、将来万一仕様変更があった場合、ここがBIMI2やBIMI3になる可能性があります。

受信サーバー側はv=BIMI1の有無をチェックすることで、「これはBIMIのTXTレコードだ」と判別しています。もしこの記載がなければBIMI情報とはみなされず、たとえロゴURL等が書かれていても無視されてしまいます。したがって必ずv=BIMI1を正確に記述しましょう。また綴りも厳密に評価されるので、大文字・小文字・スペルミスに注意してください。

ちなみにBIMIレコードにおけるバージョンは、SPFやDMARCレコードのv=SPF1v=DMARC1のように、標準化組織による仕様バージョンです。企業が独自に変える値ではありません。過去、他社のBIMI実装例を参考に手作業で設定する際に、v=BIMI 1（スペース入り）やv=BIM1（Iが抜けている）といったミスが散見されました。こうしたミスは動作しない原因になりますので、コピー&ペーストや検証ツールの利用で確実に設定しましょう。

l=（ロゴURL）タグの指定方法

lタグには、公開されたロゴSVGファイルのURLをフルパスで記述します。先述のようにHTTPSでアクセス可能であることが必須で、できればドメインもメールのFromと同一ドメインかその関連ドメインが望ましいです。これは受信者側がロゴを見て「聞いたことのないドメインから取得された画像だ」と不審に思うケースを避けるためです。例えば、companycdn.comのような別ホストにロゴを置くより、company.com/logo.svgの方がブランド的にも自然でしょう。

URLにはいくつか要件があります。まずHTTPSであること（http://は不可）。また、URLにスペースなどの特殊文字は使えません。DNSにはスペースで区切って値を記述できないため、URLにスペース等が含まれる場合はクォートやエスケープが必要になり複雑です。実際にはシンプルなASCII文字（ハイフン、アンダースコア、ピリオド程度）で構成されたURLにしましょう。

もしURLが非常に長く（255文字近く）なってしまう場合、DNSのTXTレコードの一行制限にかかる可能性があります。その場合は値を二重引用符で囲んで2行に分割することもできますが、受信側の実装バグでこの分割に対応できない例も報告されています。そのため、可能な限りURLは短く簡潔にすることが賢明です。

lタグはBIMIレコードの中でも最も重要な部分ですので、設定後に実際にそのURLからSVGファイルを取得できるか念入りにテストしてください。Windows環境の名前解決などでは、CNAMEをまたぐと問題が出ることがあるという報告もあります（例：BIMIレコードのlで指定したURLが実は別ドメインへのリダイレクトになっている場合など）。確実にダウンロード可能なURLを直接指定するのがトラブルを避けるコツです。

a=（証明書）タグの指定方法

aタグには、Verified Mark証明書（VMC）のURLを記載します。形式はa=https://…で、PEM形式の証明書ファイルを公開したURLをそのまま書きます。DigiCertやEntrustから証明書が発行されると、その証明書ファイル（拡張子.pemや.crt）をダウンロードできます。それを自社Webサーバーにアップロードし、ファイル名の末尾は.pemか.crtのままで公開します（MIMEタイプはapplication/x-x509-ca-cert等になることが多いです）。

Gmailではここに指定された証明書ファイルを取得し、証明書チェーンが有効であるか（認証局の署名が正しいか）、証明書内のロゴとBIMIレコードのロゴが一致しているか、証明書のドメイン情報（対象範囲）がメールのFromドメインと一致または関連しているか等を確認します。これらがすべてクリアできて初めてロゴ表示となります。そのため、正しい証明書ファイルを指定することが極めて重要です。

aタグにselfを指定するケースも触れておきます。a=selfは「自己宣言」の意味で、Yahoo!メール等のサービスではこの指定があればVMCなしでもロゴ表示してくれます。しかしGmailではselfであってもVMCが無い以上ロゴは出ません。ですので、基本的にはVMCを取得したらそのURLを指定する、未取得ならselfを記載する、という運用になります。aタグ自体省略する手もありますが、省略時の挙動はサービスによって異なり曖昧さが残ります。仕様上は、aが無い場合はselfと同義とも読めますが、実装によってはエラー扱いにしている可能性もあるため、安全策としてa=selfを明示することを推奨します。

DNSへのBIMIレコード登録時の注意点

DNSにBIMIレコードを登録する際、いくつか実務上の注意点があります。まず、BIMIレコードはTXTレコードなので、既存のSPFやDMARCと同様に「ダブルクオートで括って」登録する必要があります。特に;セミコロンはDNSゾーンファイル上ではコメントアウトの開始記号なので、うっかりダブルクオートを閉じ忘れるとセミコロン以降がコメントとして無視され、BIMIレコードが壊れてしまいます。bindのゾーンファイル等では”で囲むことでセミコロンも文字列の一部として扱われますので、正しく閉じるようにしましょう。

また、ゾーン編集がGUIのDNSマネージャーなどの場合、セミコロンが特殊文字扱いされてエスケープされたり、レコード値が自動分割されるケースもあります。例えばAWS Route53では長いTXTレコードを入力すると自動で分割表示されますが、実際には結合して扱われます。こうした挙動を事前に理解しておくためにも、一度登録後にdigコマンド等で実際の応答がどうなっているか確認すると安心です。

さらに、組織ドメイン（例：example.com）配下にサブドメイン（news.example.com 等）が多数ある場合、それぞれに対してBIMIレコードを設定するか検討が必要です。通常はエンベロープFrom（Return-Path）のドメインでBIMIを判断するので、ニュース配信などサブドメインから送っている場合でも本ドメインのロゴを表示させることが可能ですが、DMARCのAlignment設定次第では扱いが変わります。基本的にはロゴ表示させたいドメインごとにBIMIレコードを用意するのが確実でしょう。

最後に、BIMIレコードは公開情報なので、設定した瞬間から誰でもその内容を取得できます。したがって、もし誤って内部用のURLなどを書いてしまうと情報漏洩につながります。記載内容は慎重に確認し、公開して問題ない情報かチェックしてから登録しましょう。

ロゴSVG作成・登録方法のポイント

BIMI導入においてロゴ画像（SVGファイル）の作成と登録は技術的かつデザイン的なハードルです。ここではSVGロゴ制作と公開にまつわる実践的なポイントをまとめます。

SVGロゴの要件とデザイン制約

前述したように、BIMIに使用するロゴはSVG Tiny 1.2（Portable/Secure）相当の仕様に準拠している必要があります。具体的な要件を整理すると：

• 正方形のアートボード（縦横同一ピクセル数）で作成する。
• 画像やフォントの外部参照、スクリプト（JavaScript）、動画要素などは含めない。
• SMILアニメーションやSVGフィルターなど、複雑なSVG機能は使用しない。
• ファイルの先頭に<?xml …?>宣言や<!DOCTYPE …>は不要（付けても良いが簡潔に）。
• 必要であればPNG埋め込み（SVG+PNG）も可だが、できれば全てベクターで表現する。
• 色数は多すぎず単純に、背景は透明または白など無難なものに。

これらを満たしたSVGにするには、Illustratorで「SVG Tiny 1.2」や「SVG1.1 Tiny」で保存するか、汎用SVGで保存後に不要要素を手修正します。またはInkscapeという無料ソフトでSVG Tiny 1.2形式の保存が可能です。いずれにせよ、完成したSVGはテキストエディタで中身を見て、怪しい箇所を取り除くくらいの作業は必要になるでしょう。

デザイン的な制約としては、ロゴが縮小表示されても判別可能かをチェックすることです。BIMIロゴはメール一覧などでは16×16px〜32×32px程度のごく小さなサイズで表示される場合もあります。そこで、細かい文字や長い英字社名などはつぶれて読めなくなる可能性が高いです。極端な話、企業名の頭文字だけとか、エンブレム部分だけを抜き出した簡略ロゴにした方が良いケースもあります。実際、多くの企業がフルの社名ロゴではなくアイコン風のロゴでBIMI設定しています。自社のコーポレートガイドラインに抵触しない範囲で、視認性重視のデザインにすることを検討してください。

既存ロゴからのSVG化と最適化

元データがAdobe IllustratorやEPSなどのベクターデータとして存在する場合、それをSVGとして保存すれば比較的容易にBIMI用ロゴを用意できます。しかし、ラスターデータ（PNG、JPEG）しか無い場合や、微調整が必要な場合にはSVG化のプロセスが発生します。

オンラインのSVG変換サービスも多数ありますが、変換精度やセキュリティの観点から注意が必要です。社外に出したくないロゴデータであれば、社内でインストールできる無料ソフト（Inkscape等）やIllustratorの体験版を利用するのも手です。どうしてもオンライン変換する場合は、信頼できるサービス（例：Adobe提供の変換API等）を検討してください。

SVG化した後は、可能な限りコードをクリーンナップします。具体的には：

• 不要なタグやタグを削除（これらはデータ肥大化の原因になります）。
• 自動生成で冗長になったグループタグを整理（深い入れ子は避ける）。
• 座標やパスの小数点を適切に丸め、パスをできれば統合して数を減らす。
• スタイル指定はstyleタグではなく各要素の属性として記述（メール側で扱いやすいため）。
• シンボルやuseタグでの参照は避け、フラットな構造にする。

こうした最適化は、SVG専門の自動ツール（SVGO等）を使うと一括でできる場合があります。ただし自動最適化ツールは時に表示結果に影響を与える変換をすることもあるので、変換後はブラウザで見た目が変わっていないか必ず確認してください。

また、ファイル内にXML宣言やDOCTYPE宣言は無くても構いません（BIMI仕様上は特にどちらでも良い）。それよりも<svg>タグにきちんとxmlns="http://www.w3.org/2000/svg"属性を付与しておくことが重要です。これが無いと受信側で正しくパースされないことがあります。Illustlator等で書き出した場合は自動で付与されるので通常問題ありませんが、万が一削除してしまった場合は復活させておきます。

安全なSVGファイルのための対策

SVGは柔軟なフォーマットですが、その柔軟性ゆえにスクリプト埋め込みや外部参照などセキュリティ上の懸念が出る要素を含み得ます。BIMIではこうした危険となりうる要素を排除することで、安全なロゴ表示を実現しています。企業側でも以下の点に留意してSVGを調整すると良いでしょう：

• JavaScript（<script>タグやonload属性など）は一切含めない。
• 外部画像読み込み（<image xlink:href="…">）は使わない。画像を使う場合はPNG等をBase64埋め込み。
• 外部CSS参照（@import url()）やWebフォント読み込みは行わない。
• 不審な名前空間や要素（例：<iframe>的なものや独自XMLNS）は取り除く。
• コメントに機密情報を書かない（SVGはテキストなのでコメントも見られてしまいます）。

大抵、Illustrator等から書き出したSVGにはこうした危険要素は含まれませんが、一部オンライン変換ツールでは解析用のスクリプトを埋め込む場合があるため注意してください。

また、取得されたSVGが不正に改ざんされるリスクも考慮して、HTTPSサーバー上では適切なアクセス権限管理をしておくと安心です。特に共有のCDNに置いている場合、何らかの脆弱性からファイルを書き換えられないように注意しましょう。もっとも、受信側で証明書（VMC）のハッシュと照合されれば改ざんは検知されますが、Yahoo!メール等VMCチェック無しのサービスだと検知できません。自衛策としては、CDNにアップしたSVGのハッシュ値を控えておき、定期的に正当性を確認するぐらいでしょうか。

SVGロゴファイルのホスティングとURL取得

SVGファイルを用意できたら、それをインターネット上に配置します。自社ウェブサイトを運用しているサーバーがあればそこにアップするのが手っ取り早いでしょう。例えばhttps://www.example.com/bimi/logo.svgのようなパスに設置します。ドメインをメール送信ドメインと揃えられるならその方が良いですが、無理に合わせる必要はありません。ただし第三者の提供するストレージサービスなどは使わず、できれば自社管理下のサーバーに置きましょう。これは、サービス側の仕様変更や停止によってロゴURLが無効になるリスクを減らすためです。

サーバーにアップしたら、実際にブラウザからそのURLにアクセスしてロゴが表示されることを確認します。表示されない場合は、IP制限やBASIC認証などかかっていないか、パスやファイル名が間違っていないか確認してください。また、HTTPレスポンスヘッダーでContent-Typeが正しく設定されているかもチェックします。サーバーによっては.svgをtext/xml扱いにしてしまうことがあります。image/svg+xmlで返すように設定しましょう。

URLはBIMIレコードにそのまま記載されますので、将来変わる可能性が低いものにしておくことがポイントです。例えば特定のバージョン番号や日時が含まれるようなURLだと、ロゴ変更のたびにDNSを書き換えなければなりません。可能であれば常に同じURL（ファイル名）を使い、ロゴ変更時もファイルを差し替えるだけにすると楽です。もっとも、頻繁にロゴを変更する企業は少ないでしょうから、そこまで神経質にならなくても良いかもしれません。

複数ブランド展開している企業では、ドメインごとにロゴファイルを用意することになります。例えばcompany.comとproduct.comという別ドメインでメールを送る場合、それぞれBIMIレコードを設定し、異なるロゴURLを指定できます。ただし親子関係にあるブランドなら同じロゴでも良い場合もあります。その辺りはブランド戦略に合わせて、どのロゴをどのドメインに割り当てるか検討してください。

Verified Mark証明書（VMC）とは何か

BIMI導入に関連してよく話題に上るのがベリファイドマーク証明書（Verified Mark Certificate, VMC）です。ここではVMCの概要と取得のポイントを解説します。

VMCの役割と必要性

VMCは平たく言えば「企業ロゴのSSL証明書版」です。SSL証明書がドメインの所有を第三者機関が保証するように、VMCはロゴの所有を保証します。具体的には、証明書の中に企業名やドメイン名、そしてロゴ画像のハッシュ値（指紋）が埋め込まれており、受信側はそれらが一致するか検証します。例えばGmailは、届いたメールのFromドメインに対応するVMCを参照し、証明書内のロゴ指紋とBIMIレコード先のSVGロゴのハッシュを比較します。両者が一致すれば「このロゴは正式な証明書で保証されたものだ」と判断するわけです。

なぜこのような仕組みが必要かというと、悪意のある第三者が他社のロゴURLを勝手にBIMIレコードに設定して表示させるのを防ぐためです。DMARC認証さえパスすれば、誰でも任意の画像URLをBIMIに登録できてしまいます。極端な話、悪徳業者が有名銀行のロゴURLを自社ドメインのBIMIレコードに設定すると、Yahoo!メールのようなVMC不使用環境ではそのロゴが表示されてしまう可能性があります。これはブランド乱用につながります。Gmailはそれを防ぐために「いや、本当にそのロゴがお前のものか証明してくれ」と要求しているわけです。

以上のように、VMCの役割はブランド保護・商標保護にあります。そのため取得には商標登録が必要などハードルがあり、費用もかかります。しかし逆に言えば、VMC取得企業のロゴは信頼に足ると受信側がみなしてくれる利点があります。ユーザーにとっても、VMC付きロゴが出ていれば「ああ、この会社はちゃんと認証局のお墨付きなんだな」と無意識に感じるかもしれません。現状ではVMC対応しているのはGmail等一部ですが、今後他のサービスでも要求される可能性があります。

VMC取得の条件と手順

VMC取得には主に以下の条件が必要です：

• ロゴマークが商標登録済みであること（米国他、認証局が認める公的商標データベースに登録）。
• 企業が実在し合法に登記されていること（EV証明書取得時と同等の企業実在確認を受ける）。
• メール送信ドメインにDMARCを実装済みであること（申請フォームで尋ねられることがあります）。

最大のハードルは商標登録でしょう。自社ロゴが国内商標のみで米国未登録の場合、認証局によっては米国USPTOの登録を要求される可能性があります。ただEntrust社などは日本の特許庁データベースも参照リストに入れているようなので、日本登録のみでも通るケースがあるようです。詳しくは認証局に問い合わせてみると良いでしょう。

手順としては、商標情報や企業情報を揃えた上で、認証局の申し込みページから申請します。申請後、メールまたは電話で担当者とやり取りし、不備がなければ1〜3週間ほどで証明書発行となります。発行後は証明書の有効期限（1年または2年が多い）に注意し、期限が来る前に更新手続きを行います。更新時も基本的には同様の確認プロセスを経ることになります。

主要な発行機関と費用感

2025年現在、VMCを発行している主な認証局はDigiCert社とEntrust社です。また、Proofpoint社系のTrustifiがCommon Mark Certificate（CMC）という名称で同等の証明書発行を行っていますが、マーケットシェアとしてはDigiCertとEntrustが中心です。

費用について公式には明示されていませんが、おおよそ年間1,000〜1,500ドル程度と言われています。ただしこれは市場価格で、キャンペーンやボリュームディスカウント等があるかもしれません。いずれにせよEV SSL証明書と同程度以上のコストがかかると考えておきましょう。

注意点として、複数のロゴ（ブランド）について証明書を取得する場合、それぞれ費用が発生します。例えば親会社ロゴと子ブランドロゴを別々に表示したい場合、それぞれの商標ごとにVMC申請が必要です。また、一枚の証明書に複数ロゴを含めることは現状想定されていないため、数が多い場合コストもかさみます。

証明書発行機関はどこを選んでも最終的な証明書の効力に違いはありません。Google等主要サービスはDigiCert・Entrust双方のルート証明書を信頼ストアに登録しています。ただ、サポート体制や申請プロセスに多少違いがありますので、申し込み前に各社の公式情報をよく読み、自社に合いそうな方を選ぶと良いでしょう。

GmailとVMCの関係

繰り返しになりますが、GmailではVMCが無いとBIMIロゴが表示されません。具体的には、BIMIレコードにタグがない場合やa=selfの場合、Gmailはロゴ取得自体を試みないとされています。このため、いくらDMARCを設定してBIMIレコードを用意しても、Gmailユーザーにはロゴは見えないことになります。Gmail利用者比率の高い日本では、この要件は非常に重要です。

一方Yahoo!メールなどVMC任意のサービスもあるため、「現状はYahoo!だけ狙えればいい」と割り切ってVMC無しで進める企業もあるでしょう。ただ、Gmailでロゴが出ないと結局担当者から「なんでうちのロゴ出てないの？」と問い合わせが来るケースが多いようです。そうなると最終的にはVMC取得に踏み切る、という流れも散見されます。あらかじめ予算を確保しておき、導入初期からVMC込みでプロジェクト化するのが理想的ではあります。

Gmailがこの方針を緩める可能性は低そうです。むしろ今後OutlookなどもBIMIに対応する際にはVMC必須とする可能性があり、証明書ビジネスとして認証局側も普及に力を入れています。認証局の資料によれば、既に数百社以上がVMCを取得済みとされます。日本企業でもグローバルに展開する大企業を中心に取得が進んでいます。自社がその波に乗るかどうか、ブランド戦略やメール戦略に照らして検討する時期に来ていると言えるでしょう。

導入時の注意点とポイント

最後に、BIMI導入プロジェクトを進める上での注意点やポイントをいくつか挙げます。

ロゴが表示されないケースへの対処

導入後、「あるユーザーにはロゴが見えるが、別のユーザーには見えない」といったケースが起こり得ます。考えられる原因は：

• 受信サービスがBIMI非対応（例：Outlookや古いメールクライアント）。
• DMARC認証が受信側でFailしている（サブドメインから送ってAlignmentずれ等）。
• 受信者がロゴ表示を無効化している（Yahoo! JAPANメールで連絡先画像OFFなど）。
• ロゴSVGが受信側のレンダリング制限に引っかかった（一部SVG要素が未対応など）。
• メールがスパム判定され受信トレイ以外に入っている（ロゴ表示はされない）。

こうした場合、まず受信者側の環境を確認します。Outlookなら現状は仕様上無理ですし、GmailならVMC要件、Yahooなら設定状況を疑います。また、送信メールのヘッダーを分析し、Authentication-Resultsでどのステータスになっているか確認します。DMARCがFailしていればalignment設定や署名ドメインの見直しが必要です。

なお、BIMIロゴが出ないとユーザーから問い合わせが来ることはあまり考えにくいですが、社内関係者から「Outlookで見えない」等のフィードバックはあるかもしれません。その場合は、サービス側の対応状況の違いを丁寧に説明し、今後に期待する旨を伝えるしかありません。BIMI対応が完全でない環境もある以上、全ユーザーに統一した体験を提供できない点は割り切る必要があります。

VMC取得のコストとROI

VMC証明書は年間数十万円のコストがかかるため、経営層や財務部門からROI（投資対効果）を問われる可能性があります。「ロゴが表示されるだけでそんなコストかけるの？」という疑問も当然出てくるでしょう。この場合、メールマーケティング効果の向上とフィッシング対策コストの低減という2点で説明するのがおすすめです。

まず、開封率やクリック率が向上すれば、その分売上や顧客エンゲージメントが向上します。仮にメールからの購買転換率が改善すれば、VMC費用以上のリターンが期待できるかもしれません。また、フィッシングによる被害（顧客資産流出やブランド毀損）が防がれれば、その損失リスクを低減できます。「ブランドを守る保険」と捉えると、決して高い買い物ではないという論法です。

ただし、こうした効果は定量的に示しにくいのも事実です。その場合は、競合他社の動向を示すのも一手です。「海外では既に○○社や△△社が導入済み、日本でも某銀行が採用を決めた」といった情報があれば共有しましょう。ブランドイメージ向上のための先進的施策という位置付けで経営層の理解を得るのも有効です。

ロゴデザインと商標の見直し

BIMI導入をきっかけに、自社のロゴデザインや商標ポリシーを見直すケースもあるようです。例えばロゴが非常に横長でBIMIに不向きな場合、将来的にアイコン用途のセカンダリロゴを策定する動きが出たりします。それ自体はブランド戦略次第ですが、IT部門としては「BIMI対応ロゴ」の必要性をブランド部門にうまく伝達する役割が求められます。

また、商標登録されていないロゴを使っている企業もあります。BIMI導入でVMCが必要となれば、その前段階として商標出願が必要になります。このように、BIMIプロジェクトはIT部門だけで完結せず、法務部門やマーケティング部門との連携が重要になります。プロジェクトキックオフ時に関係部署を巻き込んで協議体を作っておくとスムーズです。

メール運用の継続的な監視と調整

BIMI導入後も、メール運用は継続的な監視とチューニングが必要です。DMARCレポートの定期チェックはもちろん、メール配信における不達やスパム判定の情報を収集し、問題があれば対応します。例えば新しくメール送信代行業者を使うことになった場合、その送信元IPをSPFに追加し忘れるとDMARC失敗→BIMI非表示になります。こうした変更にも注意を払う必要があります。

さらに、ドメインを追加取得した場合なども、新ドメインでメールを送るならBIMI設定を検討すべきです。メール送信のフローやドメインが増減したら、その都度BIMIの設定も見直すという運用ルールを決めておくと良いでしょう。

メール運用担当者やIT部門には、BIMI導入を機に改めて自社メールの全体像の管理が求められます。これはBIMIに限らず、迷惑メール対策やメール認証全般に言えることですが、組織内の複数部署がバラバラにメール配信している場合は統制が重要です。ITガバナンスの一環として、BIMI導入はメール運用を一元的に見直す良い契機になるでしょう。

導入プロジェクト計画と社内調整

最後に、BIMI導入を成功させるには社内調整とプロジェクト管理が欠かせません。前述の通り関係部署も多岐にわたるため、プロジェクトマネージャーを立ててスケジュールとタスクを明確化しましょう。特にVMC取得には時間がかかることがあるため、余裕を持った計画を立てる必要があります。

例えば四半期内の導入を目指すのであれば、初月にDMARC等の整備とロゴSVG準備、2ヶ月目にVMC申請、3ヶ月目にDNS設定とテスト、といった具合にマイルストーンを設定します。関係ベンダー（メール配信ベンダーやDNS管理代行など）との調整も発生するかもしれません。そうした場合も含め、全体を見渡して推進できる体制を整えることが重要です。

社内への周知も忘れないようにしましょう。BIMI導入によって受信者側のメールにロゴが表示されるだけなので、社内ユーザーには直接関係ないようにも思えます。しかしカスタマーサポートや営業部門など、お客様と接する部門には、「当社からのメールにはロゴが表示されます」と知らせておくと何かと便利です。逆に「あれ、御社のメールにロゴ出てますね？」と聞かれた際に説明できないと困りますので、簡単なQ&A資料を用意しておくのも良策です。