〜脱PPAPに向けて企業が持つべき視点とKozutumiが目指すファイル共有のあり方〜

パスワード付きのZIPファイルを送り、そのパスワードを別メールで送信する手法「PPAP」。ファイル送信の手段として多くの企業で利用されてきましたが、セキュリティや運用の観点から課題が指摘され、現在では脱PPAPの動きが広がっています。

今回は「PPAP」の名付け親である大泰司様をお迎えし、ハートビーツのメンバーとともに、PPAPという言葉が生まれた背景や脱PPAPの現状、そして今後のファイル共有のあり方について、座談会形式で意見交換を行いました。

＜座談会参加メンバー＞

1. PPAPという言葉はなぜ生まれたのか、その背景と問題視されたきっかけ

―PPAPという言葉が生まれた背景や、問題視されたきっかけを教えてください。

大泰司様
PPAPは専門用語ではなく、現場の雑談から生まれた造語です。2016年8月に本家PPAPの楽曲が発表され話題になっていましたが、当時はメールのなりすまし対策をテーマに、メール環境や一斉配信サービスを提供するベンダーが集まる場が定期的にありました。

そのなかで「PPAPってプロトコルっぽいよね」という話題になり、みんなで当てはめながら考えていったのです。そこで私が「Password付きZIPファイル」「Password送付」「Angouka（暗号化）」「Protocol（プロトコル）」と当てはめたところ、「これいいね、流行らせよう」という流れでPPAPという言葉が生まれました。

なお、PPAPの運用自体は、2000年代前半にはすでに存在していたと認識しています。その後ほどなくして、添付ファイルを送付すると自動でZIP化し、パスワード送信まで行うツールも出回りました。送る側としては丁寧に対応している印象を与えますし、数が少なければ受信側の負担も大きくありません。

一方で、毎日多くのファイルが送られてくると、「メールを開くのが面倒」「スマートフォンでは解凍できない」といった不便さを感じる人も増加しました。さらに、2015年から2016年頃には、EmotetによってPPAPが悪用される事例も発生しています。こうした背景から、セキュリティと業務効率の両面で課題が浮き彫りになり、PPAPの運用が問題視されるようになりました。

佐野氏
私も正直、当初は周囲でも当たり前のようにPPAPが使われていたため、特に疑問を抱くことはありませんでした。しかし、あるタイミングで改めて調べてみたところ「これは危ないな」と感じ、運用方法を見直す必要があると考えるようになりました。パスワード付きZIPファイルは暗号化されているため、メールサーバや受信側で元のファイルの中身を検査できず、マルウェア検知をすり抜けるリスクがあります。また、総当たり攻撃によってパスワードが解読されるおそれもあります。

2. 脱PPAPの現在地 ― 政府や企業の動き、海外と比較した日本の現状

―脱PPAPに向けて、政府や企業の動きをどのように見ていらっしゃいますか？

大泰司様
2020年に政府の「デジタル改革アイデアボックス」において、PPAPの廃止を求める投票が第1位となりました。これを受けて同年11月には、当時の平井卓也デジタル改革担当大臣が、政府としてPPAPを廃止する方針を打ち出しています。

この動きを契機に、社会全体で脱PPAPの流れが一気に加速したと感じています。日立製作所をはじめとする大手企業でも、PPAP廃止の方針が相次いで発表されました。また、政府全体として統一的な運用ルールが明確に示されているわけではありませんが、各省庁においても対応が進んでおり、2021年には文部科学省が廃止を決定しています。さらに2025年には、金融庁が業界団体との意見交換会において、パスワード付きファイルの送付は基本的に行うべきではないとの考えを示しました。私自身も、2023年にFISCの会合でPPAP廃止についてお話しする機会があり、その後ガイドラインとして整理されるなど、業界全体での議論も進んでいます。

一方で、こうした動きが進んでいるにもかかわらず、現場レベルでは依然としてPPAPの運用が残っているのが実情です。

―大企業と中小企業では対応スピードに違いはありますか？

大泰司様
JIPDECが公表している「IT-Report」の調査によると、大企業と中小企業の間で、PPAPの対応状況に大きな差は見られませんでした。一方で、大企業のほうがパスワード付きファイルの受信を拒否する傾向がある点は特徴的です。

―海外と比較して、日本の状況はいかがでしょうか？

大泰司様
PPAPは海外にはほとんど存在しない運用であり、日本特有の文化といえます。実際に、海外からPPAP形式のメールが届いた場合には、珍しい事例として報告されたり、コミュニティ上で話題になったりするほどです。完全にゼロではありませんが、極めて稀なケースといえるでしょう。

佐野氏
私が以前LINEに在籍していた頃は、海外企業と仕事をする機会が多くありました。例えば韓国では、過去に住民登録番号（日本でいうマイナンバー）の大規模な情報流出事故が発生しました。それをきっかけに、政府主導でセキュリティ意識が大きく高まりましたね。そのため、PPAPのような運用は一般的ではなく、受け入れられにくいと考えられます。

―脱PPAPの議論が進むなかでも、実際の運用が変わらない理由は何だとお考えですか？

佐野氏
日本では、そのような大規模かつ社会的インパクトの大きい情報漏洩事故がこれまで起こっていないこともあり、セキュリティに対する危機意識が十分に高まっていないと感じています。重大な事故が発生していれば、全社的な取り組みとして推進しやすいのですが、そうしたきっかけがない場合、社内での優先度を高めるのは容易ではありません。

また、脱PPAPの取り組みは費用対効果が見えにくい側面もあります。「導入によってどのような効果が得られるのか」を定量的に示しにくいため、企業内での優先度が上がりにくい構造になっています。

大泰司様
そうですね。加えて、効率を多少落としてでも丁寧に仕事をすることが評価されるカルチャーも、少なからず影響しているのではないでしょうか。

さらに、一度定着してしまったPPAPの運用をやめること自体、容易ではありません。新しい運用方法を検討するには、社内で主体的に取り組む人材やトップの意思決定が不可欠であり、現場の判断だけで変えていくのは難しいのが現実です。

3. 脱PPAPに向けて、企業が持つべき視点や対策

―脱PPAPに向けて、特に中小企業が持つべき視点は何とお考えでしょうか？

大泰司様
大企業・中小企業を問わず、PPAPはあくまで送信側の都合による運用だと思います。受信側の手間を少しでも考えれば、このような運用は見直すべきだという発想になるのではないでしょうか。メールをやり取りする際は、自社だけでなく、相手にとっても業務効率が良い方法かという視点を持つことが重要です。

―企業が脱PPAPを進めるうえで、どのような進め方や考え方が重要でしょうか？

大泰司様
信頼できるオンラインストレージや、電子契約・EDIなどのファイル送受信が可能なサービスは、今後ますます活用が進むはずです。そうしたツールの利用を前提に業務を見直していくことが、脱PPAPの実現につながると考えています。

佐野氏
ファイル共有の方法を検討する際は、データの性質によって使い分けることが脱PPAPの第一歩です。例えば、契約書のように永続的な保管を要するデータは、専用の管理システムを活用するのが適しています。一方で、一時的な受け渡しについては、共有ストレージのURL送付などが一般的です。

ただし共有ストレージの場合、送信先の選択ミスによる誤送信リスクや、不要なデータが残り続けるといった課題もあります。そのため、一時的なファイル共有については、一定期間後に自動で削除される機能を持つツールを活用することが有効です。

枦氏
業務効率化の流れの中で、ファイルをクラウド上で共有するケースは増えていますが、一方で、「どのようなデータをどこまで共有するか」という点については、リスクと利便性のバランスを踏まえて判断することが重要だと考えています。

―企業に脱PPAPを提案する際、どのような点を意識されていますか？

遠藤氏
私たちが普段関わっている企業様の場合、「脱PPAPを進めなければならない」という背景から、対応方法を模索しているケースが多く見られます。特に取引先から脱PPAPを求められたことを機に検討を始める企業が多い印象です。脱PPAPをご提案する際は「まずはこれだけ取り組みましょう」といった形で、負担の少ない方法から始めていただくようにしています。

4. Kozutumiが目指す脱PPAP、日本のファイル共有の今後

―Kozutumiはどのような思想で作られたプロダクトでしょうか？

枦氏
Kozutumiは、もともと社内の「PPAPをどうしてもやめたい」という課題意識から生まれたプロダクトです。自社の課題を解決するために、まずは社内向けツールとして開発を進めてきました。その後、実際にお客様からも「このツールを使いたい」という声をいただくようになり、SaaSとして再設計した経緯があります。

さらに2023年には、多くのお客様のご要望に応え、Microsoft Teams上でもKozutumiを利用できるようになりました。これにより、Teamsの画面上でファイルの送受信が可能となり、受信通知もアクティビティ上で確認できるようになっています。

―従来のファイル共有サービスやPPAP対策製品と比べて、どのような点が特徴でしょうか？

枦氏
Kozutumiが最も重視しているのは、UI/UXの部分です。お客様が現在利用している既存システムと大きく変わらない操作感で使えること、また多少の違いがあっても直感的に扱えることを意識して設計・実装しています。

また、ファイルに対してタイムスタンプを付与できる点も特徴の一つです。これにより「その時点でファイルが存在していたこと」や「改ざんされていないこと」の証明が可能になり、ファイルの信頼性を担保する仕組みとして活用できます。

さらに、ファイルはウイルススキャンを実施したうえで送信されるため、受信側も安心してダウンロード可能です。こうした使い勝手の良さや安全性が評価され、自然と利用が広がっていくようなプロダクトでありたいと考えています。

―実際にKozutumiを利用しているお客様には、どのようなお声をいただくことが多いですか？

遠藤氏
Kozutumiの導入企業様からは、「社員が違和感なく使えている」「操作が簡単なので即座に導入できた」というお声を多数いただいています。

また「初期費用は本当にいらないのですか？」といった驚きの声をいただくこともあり、導入のしやすさに良い意味でのギャップを感じていただけるケースも多いですね。

―日本のファイル共有は今後どう変わっていくと思われますか？

佐野氏
現在、世の中にはさまざまなファイル共有サービスが存在しており、今後は用途に応じた使い分けがさらに進むと考えています。そのなかでKozutumiの認知を高め、より多くの企業に選ばれるサービスへと成長させていきたいですね。

大泰司様
電子契約サービスやEDIサービスなど、各分野で最適化された仕組みはすでに存在しますが、今後はそれらを連携させることが重要になります。

また、各サービスの信頼性のよりどころとしての第三者による認証もますます重要になってくるので、JIPDECに求められる役割も大きいですね。

Kozutumiのように、既存の業務フローに寄り添いながら安全なファイル共有を実現するサービスは、こうした流れのなかで重要な役割を担うものだと感じています。単独のサービスとして完結するのではなく、多様なサービスと連携しながらスムーズにファイルをやり取りできる仕組みを構築することが理想です。

こうした取り組みを通じて、より安全で効率的なファイル共有のあり方が社会に広まることを期待しています。

※本記事の内容は、座談会実施時点（2026年3月）の情報に基づいています。