比較記事
金融庁がPPAP廃止を要請。金融業界だけの話ではない?企業が今すぐ進めるべき脱PPAPと安全な代替策
kozutumi-media
「パスワード付きZIPファイルをメールで送り、あとから別メールでパスワードを送る」――いわゆるPPAPは、長年“セキュリティ対策”として使われてきました。
しかし今、その前提は大きく変わりつつあります。2025年5月、金融庁は業界団体との意見交換資料の中で、パスワード付きファイルのメール送付は基本的に行うべきではないと明示し、通信経路の暗号化や安全性の高いオンラインストレージの活用を求めました。
結論から言えば、金融庁の直接の対象は金融機関であっても、脱PPAPの影響は取引先・委託先・士業・中小企業まで広がる可能性が高いです。
受信側がPPAPを危険と判断すれば、送信側の運用も見直しを迫られるからです。
この記事では、金融庁の要請内容を整理したうえで、PPAPが危険とされる理由と、企業が選ぶべき代替策をわかりやすく解説します。
金融庁が求めていることは何か
今回のポイントは、「ZIPファイルを全部やめる」ことではありません。
金融庁が問題視しているのは、パスワード付きファイルをメール添付で送り、その結果として受信側のセキュリティスキャンを妨げたり、実効性の低い運用が残ったりすることです。
パスワード付きファイルの送付は「基本的には行うべきではない」
金融庁は、金融業界に依然として残るパスワード付きZIPファイル送付の慣行について、「基本的には行うべきではない」としています。
これは単なる推奨ではなく、実務見直しを強く促すメッセージとして受け止めるべきです。
まずは通信経路そのものを暗号化する
金融庁は、電子メールの通信経路自体を暗号化することが基本としています。
つまり、添付ファイルごとに人手でパスワードを付ける運用ではなく、通信基盤側で安全性を担保する考え方が重視されています。
難しい場合は安全なオンラインストレージ等へ切り替える
通信経路の暗号化が難しい場合には、安全性の高いオンラインストレージを活用してファイルの安全性を確保する等、ほかの手段を用いるよう求めています。
つまり金融庁は、実質的にPPAPから別方式への移行を促していると言えます。
なぜPPAPはもう安全とは言えないのか
PPAPが見直されている理由は、単に「古い慣習だから」ではありません。
安全性・運用性・説明責任のいずれの面でも、今の実務に合わなくなっているためです。
「暗号化しているから安全」という誤解
PPAPは「ZIPにパスワードをかけているから安全」と思われがちです。
しかし、同じメール基盤や近い経路でファイルとパスワードをやり取りしている以上、本質的な安全性向上につながりにくいケースがあります。
実際、内閣府も同じ経路でパスワードを自動送信する方式は、セキュリティ対策の観点からも利便性の観点からも「適切なものではない」としています。
受信側のウイルススキャンを妨げる
金融庁が特に問題視しているのがこの点です。
パスワード付きファイルは、受信者側でセキュリティスキャンをかけにくくなります。
つまり、送信者は守っているつもりでも、受信者側に新たなリスクを生んでしまう可能性があります。
IPA(独立行政法人情報処理推進機構)もパスワード付きZIPファイルを添付したEmotet攻撃メールについて、暗号化されていることでメール配送経路上の検知・検疫をすり抜け、受信者の手元に届きやすくなると注意喚起しています。
誤送信防止にもなりにくい
PPAPは誤送信対策として導入されてきた面もありますが、実際には宛先を間違えた時点でファイルは相手に届いているため、誤送信防止策としては不十分です。
IPAの脱PPAP講演資料でも、PPAPはSecurity Theater(見せかけのセキュリティ)であり、誤送信防止の根拠としても弱いと整理されています。
なお、デジタル庁の検討の場でも、別メールでパスワードを送るPPAP方式は「論外」との指摘が出ています。
今回の金融庁要請は、こうした官民の流れがさらに具体化したものと考えるべきです。
企業は何に置き換えるべきか
脱PPAPの代替策としては、主に次の3つが候補になります。
メール添付+通信経路暗号化
比較的軽いファイルの送受信にはなじみやすい方法です。
一方で、次のような限界があります。
- 誤送信時の送信取消が難しい
- 厳密な受領確認を取りにくい
- 監査ログや証跡の確保に弱い
そのため、機密情報や重要書類の受け渡しには向かない場面があります。
一般的なオンラインストレージ
保管や共同編集には向いています。
ただし、次の点には注意が必要です。
- 共有範囲や権限設定のミスが起こりうる
- 単発送付の証跡管理には向かないことがある
- 「送った・受け取られた」を業務単位で追いにくい場合がある
保管には強い一方で、重要ファイルの受け渡し管理まで考えると別の課題が出ることがあります。
法人向けファイル転送プラットフォーム
個人情報、契約書、請求書、監査資料、人事資料など、「安全に送れたか」「誰が受け取ったか」「後から説明できるか」が重要な業務では、法人向けファイル転送プラットフォームの方が適しているケースがあります。
特に、以下に当てはまる企業は見直し優先度が高いと言えます。
- 金融機関や大手企業と定常的にファイル授受している
- 個人情報や契約書をメール添付で送っている
- 「送った証拠」「受け取られた証拠」を後から確認したい
- 誤送信時にキャンセルできる仕組みがない
- PPAP廃止を掲げたいが、代替運用が決まっていない
Kozutumiが脱PPAPで選ばれる理由
PPAP代替を考えるうえで重要なのは、単に「パスワード付きZIPを使わない」ことではありません。
実務では、次の観点が重要です。
- 誤送信を止められるか
- 受領状況を追えるか
- 証跡を残せるか
- 取引先が迷わず受け取れるか
そうした観点で、Kozutumiは脱PPAPの要件と噛み合いやすい設計になっています。
PPAPを前提にしない設計
Kozutumiは、パスワード付きファイルの送信を禁止しつつ、送信時のウイルスチェックや暗号化で安全性を担保する設計です。
「PPAPをやめよう」と決めても、現場で再発するケースは少なくありません。
最初から選べない設計であれば、運用統制がしやすくなります。
誤送信時に送信中止ができる
Kozutumiでは、相手がダウンロードする前であれば送信後でもキャンセル可能です。
これは通常のメール添付では難しいポイントで、誤送信時の被害最小化に直結します。
受領確認・追跡・監査に強い
Kozutumiは、次のような機能を備えています。
- ダウンロード状況の把握
- 送受信履歴の表示
- タイムスタンプによる内容証明
- 最大10年のログ保管
そのため、単に送るだけでなく、「後から説明できる送信」を求める企業に向いています。
取引先にも使ってもらいやすい
受信者はゲストとして一時的なURLで受け取ることもでき、ITに不慣れな企業でも使いやすい操作性が訴求されています。
士業や中小企業向けページでも、次の点が強みとして整理されています。
- 送信中止
- ダウンロード状況確認
- サポート体制
- 管理のしやすさ
導入のしやすさは、脱PPAPを現場に定着させるうえで大きなポイントです。
小さく始めて広げやすい
Kozutumiは無料プランから始められ、利用規模に応じて拡張可能です。
さらに、次のような企業向け要件にも対応しています。
- Microsoft Teams連携
- SSO対応
- SAML / SCIM連携
- ISMS / クラウドセキュリティ認証
- プライバシーマーク
そのため、スモールスタートから全社展開まで見据えやすいサービスです。
まとめ 今後は「送れる会社」ではなく「安全に送れる会社」が選ばれる
PPAPは、かつては最低限の配慮として機能していたかもしれません。
しかし今は、受信側のスキャンを妨げ、誤送信にも弱く、説明責任にも耐えにくい旧来運用として見直しが進んでいます。
金融庁の要請は、金融機関だけの話で終わる可能性は低いでしょう。
取引先や委託先まで含めて、安全なファイル送受信を求める流れはさらに広がると考えられます。
今、社内にPPAPが残っているなら、通信経路の暗号化や、安全なファイル共有基盤への切り替えを本格的に検討するタイミングです。
株式会社ハートビーツは、2005年創業以来20年以上にわたりインフラ運用に特化し、24時間365日の体制、150社超の取引、300件超の運用案件、8,000台超のサーバー運用実績を持つ技術会社です。
そうした運用知見を背景に提供されるKozutumiは、脱PPAPを「現場で回る運用」に落とし込みたい企業にとって、有力な選択肢の一つです。
PPAPの見直し、何から始めるべきか迷っていませんか?
金融庁の要請をきっかけに脱PPAPを進めたいと思っても、実際には次のようなところで止まってしまう企業は少なくありません。
- どの部署から変えるべきか分からない
- 取引先にどう案内するか悩んでいる
- メール添付の代わりに何を使うべきか決めきれない
Kozutumiなら、パスワード付きZIPに頼らない安全なファイル送受信を、現場で使いやすい運用に落とし込めます。
誤送信対策、ダウンロード状況の可視化、タイムスタンプ、監査ログなど、実務で必要な機能をまとめて検討できます。
まずは、自社に合う運用の相談から始めてみてください。
無料相談
