PPAPを使い続けると何が問題なのか？ 5つのリスクと3つの代替手段とは

PPAPとは

PPAPとは、以下の4つの単語の頭文字を取った略語です。

• Password付きZIPファイルをメールに添付して送信します
• Passwordを先のメールに続けて送信します
• Aん号化（暗号化）
• Protocol（プロトコル）

ZIP形式で暗号化したファイルを添付メールで送信し、後から復号化用のパスワードを送信するというこの方法は、長い間多くの企業で使用されてきました。1通目の添付メールが誤った宛先に送信された場合でも、2通目の復号化用のパスワード通知メールがなければ、ファイルを開くことができません。そのため、添付ファイルの誤送信対策として有効な手段とされていました。しかし、最近ではセキュリティ上の問題や利便性の課題が指摘されており、この方法の廃止や禁止を求める動きがあります。実際、2020年11月24日に当時の平井デジタル改革担当大臣が内閣府・内閣官房において「自動暗号化ZIPファイルの廃止」を表明^[※1]しました。

本記事では、PPAPとは何か、どのような問題があるのかに加え、PPAPからの脱却に向けた具体的な策について説明します。

PPAPによる添付メール送信

PPAPの問題

日本国内で広く普及しているPPAPですが、実際には以下のような問題点があります。

2通目もそのまま誤送信する可能性がある

どんなに手間をかけても、人的ミスによる誤送信を100%防ぐことは不可能です。1通目を誤った宛先に送信していたことに気付かず、2通目もそのまま誤った宛先に送信してしまうことは十分に起こりえます。

メールが盗聴され情報が漏えいする可能性がある

メールサーバやネットワークにセキュリティホールがあり、盗聴されていた場合、メールを2通に分けたところで同じ経路で送る以上、セキュリティ対策にはなりえません。「盗聴」というリスクは常に念頭に置くべきでしょう。

マルウェアに感染する可能性がある

上述のとおり、PPAPはファイルを暗号化しメールに添付して送信します。この場合、メールサーバ側でウィルスチェックの仕組みがあったとしても、暗号化された状態のままではこの仕組みをすり抜けてしまいます。暗号化ファイルにマルウェアが混入し、これが原因で送信先に迷惑をおかけするような事態になりかねません。

手間がかかる

一つのファイルを共有するために、送信者は受信者に2通のメールを送らなければなりません。パスワード付きメールを送ることを失念する可能性もあります。また受信者側も、後続のメールを確認し、復号キーで暗号化を解除し、ファイルの解凍など、共有されたファイルを見るまでに複数の作業をしなくてはなりません。セキュリティリスクとは別の観点の問題点ですが、双方に手間がかかり、非効率的な方法です。

取引先にファイルを共有できない可能性がある

原則PPAPを禁止する企業も増えてきました。ルールとして設定しているだけでなく、パスワード付きZIPファイルが添付されたメールの送受信を抑制するような仕組みを取り入れている企業もあります。このため、今後もPPAPを続けている場合、業務に大きな支障が生じる可能性があります。

このように、PPAPではセキュリティリスク、手間の問題、さらには取引先とのコミュニケーションに影響する可能性があります。特にセキュリティリスクは、会社の信用を損なうことになりかねません。さて、次では、PPAPの代替手段を見ていきましょう。

PPAPの代替手段

脱PPAPを実現するには、次のような代替手段があります。

法人向けのチャットツール

TeamsやSlackなどのチャットツールを使ってファイルを共有する方法です。チャットツールでは、あらかじめ招待されたメンバーのみがファイルを閲覧やダウンロードができるため、メールサーバを介さずに情報漏えいなどのリスクを抑えることができます。

法人向けクラウドストレージサービス

Boxなどのストレージサービスを利用することで、PPAPを回避できます。セキュリティが確保されたストレージ上にファイルをアップロードし、外部へ共有する際にはダウンロード可能なURLを発行します。受け取る側は、共有されたURLをクリックすることで安全にファイルをダウンロードできます。また、チャットツールと同様に、あらかじめ招待されたメンバーのみが閲覧やダウンロードができる共有フォルダを運用する方法もあります。

添付ファイル分離サービス

添付ファイル分離サービス

添付ファイル分離サービスは、メールを送信する際にメール本体と添付ファイルを自動で分離し、一時的にサーバ上に保存します。送信者がファイルをメールに添付して送信する手順は変わりません。分離サービスには、自動ダウンロードURL発行機能や保留機能などがあります。自動ダウンロードURL発行機能は、受信者がダウンロードする前にダウンロードURLを無効にすることで、誤った宛先への送信でも添付ファイルの流出を防ぐことができます。保留機能では、チェックや確認を第三者に依頼することも可能です。 チャットツールやストレージサービスを導入していても、メールの使用が必要な業務では、「うっかりPPAPしてしまった」を完全に防ぐことはできません。その点、添付ファイル分離サービスを利用すると、添付ファイル付きのメール全体が対象となるため、完全な脱PPAPを実現できるでしょう。

今後もPPAPを継続するか、脱PPAPを目指すか

本記事では、これまで国内で広く使われてきたPPAPという手法について、そのリスクや問題点、そして代替手段について解説しました。ひと昔前には、PPAPを用いれば十分なセキュリティ対策ができると考えられていました。しかし、これまで解説してきたように、PPAPだけでは十分な対策とは言い難いでしょう。

デジタル化などの業務改革が進み、見積書や契約書など、従来は紙媒体が中心だったものも段々と電子データでのやり取りが当たり前になりつつあります。その流れは、業種や業務内容を問わず、今後も加速するでしょう。それに伴って、企業に求められるセキュリティ対策も変化しています。

先延ばしにせず、脱PPAPに向けて自社でも実践可能な方法を模索してみましょう。本記事でも紹介したように、脱PPAPによってメール誤送信を防ぐためのさまざまなサービスが提供されています。自社の規模や環境に合わせて、コストや手間、導入までに要する期間などを見積もり、効果的な解決方法を見つけましょう。

アイテック阪急阪神でも、「safeAttach」というメール添付ファイルを分離するサービスを取り扱っています。詳細は「safeAttach」サービスページや「safeAttach」サービス紹介資料をご確認、またはお問い合わせください。

脱PPAPに取り組むことで、よりセキュアかつ効率的なファイル共有が実現できます。今後もPPAPを継続するか、脱PPAPを目指すかを検討してみてください。

関連資料をダウンロード

出典

• [※1]内閣府「平井内閣府特命担当大臣記者会見要旨 令和2年11月24日」