「パスワード付きZIPファイルを送ります」という慣習、いわゆるPPAPが、今やビジネスマナー違反になりつつあることをご存じでしょうか?
かつては日本のビジネスシーンで「セキュリティ対策」として推奨されてきたこの手法が、なぜ今「禁止」されているのか。
本記事では、政府や大手企業の動向を交えながら、PPAPの危険性と 中小企業が今すぐ取り組むべき「代替案」について解説します。
2020年11月、平井卓也デジタル改革担当大臣(当時)が、内閣府および内閣官房において「自動的に暗号化ZIPファイルを送信する運用(PPAP)」を廃止すると公式に発表しました。
これまでは「とりあえずパスワードをかけて送れば安全」と盲信されてきました。
しかし、この政府の決定によりPPAPは「効果が薄い上に利便性を損なう古い慣習」であると公に認定された形となりました。
この発表を皮切りに、IT業界だけでなくセキュリティ意識の高い民間企業の間でも、メール運用を根本から見直す動きが一気に加速しました。もはやPPAP廃止は一部のトレンドではなく、組織の標準となりつつあります。
政府の動きに続き、民間企業でも「脱PPAP」の大波が起きています。
特に2022年以降、マルウェア「Emotet(エモテット)」の被害が急拡大したことを受け、ソフトバンクや双日、日清食品HDといった日本を代表する大手企業49社が、次々とPPAPからの脱却を宣言しました。
これらの企業は、単に自社からZIPファイルを送るのをやめただけではありません。
取引先からの「パスワード付きZIPファイルの受信」自体をセキュリティリスクと見なし、受け取りを拒否または廃止する運用に切り替えています。
つまり、PPAPを使い続けていると、これらの大手企業と安全にファイルをやり取りすることすらできなくなる未来がすぐそこまで来ているのです。
※実は筆者も以前の職場で困った場面がありました。
当時取引のあった大手企業へ見積書を送りましたが、一向に返信がもらえませんでした。
のちのちPPAPをブロックしていたことが発覚しましたが、期日が過ぎていたため不採用となりました。
このようにPPAP対策が出来ていない場合、社外との業務における円滑なコミュニケーションにも支障をきたす可能性があります。
PPAPが禁止される最大の理由は、企業のセキュリティゲートウェイを無力化してしまう構造上の欠陥にあります。
通常、企業のメールサーバーにはウイルスチェック機能がありますが、パスワード付きZIPファイルは中身が暗号化されているため、システムが解凍して中身を検査することができません。
最恐のマルウェアと呼ばれる「Emotet」は、まさにこの穴を突きました。
ウイルスが入ったファイルであっても、「暗号化されている」という理由だけで検知をすり抜け、受信者の手元に届いてしまいます。
受信者がパスワードを入力して解凍した瞬間に感染し、組織全体に被害が広がるケースが後を絶ちません。
そもそもPPAPは、情報漏洩対策としても効果が極めて薄いことが指摘されています。
PPAPという考え方が生まれた当初は、ファイルをメールで送り、パスワードはFAXや電話で伝えられていました。
しかし徐々に形骸化していき、現在はファイルをメールで送り、その後パスワードもメールで送るような流れが定着しました。
結果として両方が同じ通信経路を通るため、片方が盗聴できればパスワードも容易に盗まれてしまいます。
つまり、鍵のかかった金庫と鍵を、同じ泥棒に渡しているようなものであり、セキュリティ対策として意味を成していません。さらに、ZIPファイルの暗号化方式自体も強度が低く、解析ツールを使えば容易にパスワードが突破されてしまうのが実情です 。
ヒューマンエラーによる情報漏洩リスクも見逃せません。
メール業務において「宛先を間違えた」「BCCに入れるべきをCCに入れてしまった」「社外秘のファイルを誤って添付した」というミスは誰にでも起こり得ます。
しかし、メールの仕組み上、一度送信ボタンを押してしまえば取り消すことは不可能です 。
相手の受信ボックスに届いてしまったが最後、電話で平謝りをして削除をお願いする以外に打つ手がありません。
PPAPの場合、宛先を間違えていればパスワードも同じ間違った宛先に送ってしまうことが多く、結局ファイルの中身を見られてしまい、情報漏洩事故へと直結します。この「送ったら最後」という不可逆性が、メール添付の大きなリスクなのです。
脱PPAPの代替案として、Google DriveやOneDriveなどの「オンラインストレージ」と、Kozutumiなどの「ファイル転送サービス」の2つが挙げられます。
これらは「データ境界」を意識して使い分けることが重要です 。
オンラインストレージは社内での共同編集には最適ですが、社外との共有に使う場合、「共有リンクの設定ミス」で誰でも閲覧可能にしてしまったり、退職者がアクセス権を持ち続けたりするリスクがあります。
一方、ファイル転送サービスは「渡す」ことに特化しており、ダウンロード期限が来れば自動で消去されるなど、社外とのやり取り(データ境界)を安全に管理する機能が充実しています。
社内はストレージ、社外への送信は転送サービスと使い分けるのが最善の方法と筆者は考えています。
Kozutumiは、PPAPの問題を根本から解決するために設計されたファイル転送サービスです。
最大の特徴は、システム側で「パスワード付きZIPファイルの送受信を禁止」できる点です。
ユーザーがファイルをアップロードすると、Kozutumiのサーバー上で自動的にウイルススキャンが実行されます。
暗号化されていない状態でチェックを行うため、Emotetなどの脅威を確実に検知・遮断できます。
受信者は安全が確認されたファイルだけを発行されたダウンロードリンクから受け取る仕組みです。
これにより、「危険なファイルを受け取らない、送らない」環境を強制的に作ることができます。
Kozutumiにはメール添付にはない強力な誤送信対策機能が備わっています。
まず送信時には、宛先やファイル名の確認を強制する画面が表示され、うっかりミスを防ぎます。
万が一誤って送信してしまった場合でも、相手がダウンロードする前であれば「送信取消」ボタン一つでリンクを無効化できます。
さらに重要なのが「証拠保全」です。誰がいつファイルを送ったかのログが残るだけでなく、特許技術である「タイムスタンプ」機能により、そのファイルがその時刻に存在し、改ざんされていないことを10年間証明できます 。これは、言った言わないのトラブル防止や、電子帳簿保存法などの法令対応においても強力な武器となります。
「セキュリティツールは高額で導入が大変そう」と思われるかもしれませんが、Kozutumiはスモールスタートに最適です。
5名以下の利用で、月間送信量が100MBまでであれば、「無料プラン」を期限なく利用し続けることができます。
無料プランであっても、ウイルススキャンや監査ログといった基本的なセキュリティ機能は有料プランと同様に使用できます。
大掛かりなサーバー構築や設定変更も一切不要で、ブラウザからログインするだけですぐに利用開始可能です。
まずは特定のプロジェクトや部署だけで試験的に導入し、その便利さと安全性を実感してから、全社展開を検討することができます。
本記事で解説してきた通り、パスワード付きZIPファイル(PPAP)は、もはや「古い慣習」ではなく、企業のセキュリティを脅かす「明確なセキュリティホール」となっています。
Emotetのようなマルウェアは、PPAPの仕組みを悪用してあなたの会社に侵入し、さらにはあなたのメールアドレスを使って取引先へウイルスを拡散させます。
つまり、漫然とPPAPを使い続けることは、自社を危険に晒すだけでなく、大切な取引先を加害者として攻撃してしまうリスクを抱え続けることと同義なのです。
「これまでのやり方を変えるのは面倒」
そう思われるかもしれません。しかし、Kozutumiのようなファイル転送サービスを使えば、「ファイルをドラッグ&ドロップするだけ」で、圧縮の手間もなく、自動でウイルススキャンが行われた安全なファイルを届けることができます。
セキュリティ対策は、自社を守るためだけのものではありません。
ビジネスパートナーからの信頼を守るためにも、まずは「脱PPAP」の第一歩を踏み出してみませんか?