【2026年6月速報】三菱UFJ銀行がPPAP廃止を発表｜金融機関と取引先が今やるべき対応

2026年6月8日、三菱UFJ銀行が長年使われてきた「パスワード付きZIPファイル＋パスワード別送」、いわゆるPPAPを原則廃止すると発表しました。2026年7月18日以降、顧客向けのファイル送付は、添付ではなく専用ダウンロードサイトへのURLをメール本文に記載する方式へ順次切り替わります。

メガバンクの一角がここまで明確に動いたことで、「PPAPは金融取引の標準として、もう使われない」という事実が確定したと考えてよい段階に入りました。

ただ、現場で気になるのはむしろこの3点のはずです。

• なぜ今頃なのか？　金融庁のPPAP廃止要請から1年以上も経過している
• 他のメガバンク・地銀・信金はどう動くのか？
• 銀行とやり取りする自社は、何を、いつまでに、どう変えるべきか？

この記事では、銀行や金融機関と日常的にファイル授受がある業種（経理・財務・法務・士業・不動産・建設・卸売・コンサル等）を対象に、事実関係・遅れた背景・今後の波及・取引先企業が今やるべき具体策を整理し、現場で実行可能なレベルまで落とし込んで解説します。

1. 三菱UFJ銀行は何を発表したのか──事実関係を3行で

まずは2026年6月8日の発表内容を、ぶれない形で押さえておきます。

• 三菱UFJ銀行は、同行から顧客に送信するメールで、パスワード付き添付ファイル（PPAP）を原則として取りやめる
• 2026年7月18日から順次、添付ファイルを送る場合は専用ダウンロードサイトへのURLをメール本文に記載する方式に切り替え
• 受信者は、メール本文のURLにアクセスし、別途送られるダウンロード用パスワードでファイルを取得する

つまり、「ZIPの中にファイルを入れる」のをやめ、「ダウンロードサイトを経由させる」形に統一されます。受信側企業から見ると、MUFGからの添付ファイル付きメールは、今後ほぼ届かなくなるということです。

廃止の理由は「マルウェアスキャン妨害」と「サイバー攻撃悪用事例」

三菱UFJ銀行は廃止理由について、

①PPAPはファイルが暗号化されているため受信時のマルウェアチェックが困難であること　②パスワード付きZIPファイルを悪用したサイバー攻撃の事例が確認されていること　　　　を挙げ、顧客のセキュリティ確保を目的に運用を改めるとしています。

これはIPA（独立行政法人情報処理推進機構）や金融庁がこれまで指摘してきた論点と完全に一致しています。詳しくは「金融庁がPPAP廃止を要請」の記事もあわせてご覧ください。

2. なぜ「今頃」になってしまったのか──遅れた3つの理由

PPAPの問題は、2020年11月時点で中央省庁が廃止を決定しており、技術的・政策的には何年も前から「やめるべきもの」として整理されていました。

金融庁も2025年5月、業界団体との意見交換会で「パスワード付きファイルのメール送付は基本的に行うべきではない」と明言し、検査・モニタリングを通じてPPAP慣行の払拭を促進する方針を打ち出していました。それでも、メガバンクのPPAP廃止が2026年6月になった理由は、大きく3つあります。

理由①　金融機関ほど「送信側のPPAPやめます」が難しい

金融機関は、取引先の規模・ITリテラシーが極端に幅広い業種です。上場企業から個人事業主、ITに不慣れな高齢顧客まで含まれます。

「専用ダウンロードサイトへ誘導するURL方式」に切り替えるということは、全顧客が新しい受け取り手順を踏める前提を作らなければならないということです。これには、顧客向けの周知フロー、行員側の運用ルール変更と再教育、なりすましフィッシング（偽ダウンロードサイト誘導）への対策、システムの構築・検証・段階リリースが必要で、「決めてから動くまで」に1年以上かかるのが普通です。

理由②　メガバンクが先に動くほど「フィッシング詐欺の標的」になる

三菱UFJ銀行は、過去から「サポート詐欺」や同行を名乗る偽メール・偽SMSに繰り返し注意喚起を行ってきた銀行です。

ここで一気に「MUFGから送るメールにはダウンロードサイトへのURLが書かれている」という運用に切り替えるということは、攻撃者にとって「偽MUFGメールでURLを踏ませる」シナリオが急に通りやすくなるということでもあります。

つまり、金融機関のPPAP廃止は、「廃止することで生まれる新しいリスク（偽サイト誘導）」を抑える運用が整って初めて発表できる性質のものなのです。三菱UFJ銀行はすでにBIMI（メールに正規ロゴを表示する仕組み）やDMARC、S/MIMEの導入を進めてきており、「正規メールであることを視覚的に確認できる土台」を先に作り終えています。そのうえで、今回の発表というタイミングになったと見るのが自然です。

理由③　「金融機関だから後回しにできなかった」

金融庁は2026年4月にも「金融機関のサードパーティ・サイバーセキュリティリスク管理」に関するレポートを公表しており、外部委託先を含むサプライチェーンを悪用した攻撃で金融機関が被害を受けるケースが顕著に増えていることを指摘しています。

PPAPは、まさにこの「サプライチェーンの末端からマルウェアが入り込む典型的な経路」です。実際、アサヒGHD・アスクルの事例に学ぶランサムウェア対策でも、メール添付経由の侵入が起点になったケースを整理しています。

金融庁の要請、サイバー攻撃事例の蓄積、サードパーティリスク管理の高度化──この3つが揃った今だからこそ、「メガバンクが原則廃止に踏み切らない方が、むしろ説明がつかない」状態になっていたわけです。

3. これは三菱UFJ銀行「だけ」の話ではない──今後の波及シナリオ

ここがこの記事の本題です。今回の発表の重要性は、「1行のニュースとして終わらない」点にあります。

他メガバンク・地銀・信金が追随する可能性は極めて高い

金融庁の要請は、メガバンクだけでなく主要行・地方銀行・第二地方銀行・暗号資産交換業者などを含む業界全体に向けられたものです。メガバンクの一角が公に廃止を打ち出した以上、

• 「うちはまだPPAPです」と説明し続けることが、各金融機関にとってリスクになる
• 金融機関同士のファイル授受（コルレス、決済、シンジケートローン、IR資料、契約書）も連鎖的に方式統一が進む
• 地銀・信金・保険・証券・カード会社も、半年〜2年程度のうちに同様の発表を行うと見るのが妥当

という流れになります。業界内では脱PPAP製品選定セミナーが各所で開催されており、選定フェーズが本格化していることが伺えます。

「金融機関と取引する企業」全体に押し寄せる

ここが、銀行と日常的にやり取りがある業種にとって最も大事なポイントです。

JIPDECの「企業IT利活用動向調査2024」によると、2024年1月時点でも国内企業の27.1%が依然PPAPのみを利用しています。前回調査からほぼ変化が見られず、PPAP利用抑制は進んでいないとされています。この状況で、銀行側が動けばどうなるか。

• 銀行から自社へ：PPAPで届かなくなる（→ 受信側の運用ルールを直す必要）
• 自社から銀行へ：PPAPで送ったら「受け取れません」と言われる可能性が出てくる
• 取引先全体へ：「銀行が脱PPAPなのに、御社はまだPPAPなんですか？」という説明責任が発生する

つまり、今回のMUFGの発表は、金融機関のニュースのように見えて、実態は「銀行と取引するすべての企業のニュース」です。背景の詳しい解説は「2026年版・なぜPPAPは禁止されるのか」もあわせてご覧ください。

4. 銀行と多くやり取りする業種が、特に対応を急ぐべき理由

以下のような業種は、他業種よりも対応の優先度が高いと考えてください。

• 経理・財務部門：請求書・支払通知・取引明細・残高証明など、銀行とのファイル授受が日常的
• 法務・契約部門：融資契約書、保証契約、シンジケートローン関連書類
• 税理士・会計士・社労士・弁護士などの士業：金融機関向けの監査資料、デューデリ資料、各種証憑
• 不動産・建設：プロジェクトファイナンス、担保関連資料
• M&A・FAS・コンサル：銀行を巻き込むディール資料
• 卸売・商社：与信、ファクタリング、保証関連でのやり取り

これらの業種では、「銀行が標準を決めればそれが業界の標準になる」性質があります。金融機関側のセキュリティ基準が上がるということは、取引先である自社のセキュリティ水準も同等以上を求められるということです。

すでに金融庁はサードパーティ（外部委託先）経由のサイバー攻撃が増えていることを問題視しており、銀行は今後、取引先のファイル授受方式・セキュリティ運用を質問・評価してくるフェーズに入ります。「うちは取引先だから関係ない」では済まなくなる、ということです。

なお、グループ会社・関連会社を含めた一括契約でコストを抑えたい場合は「子会社・関連会社も同一契約でOK」もご参照ください。

5. 取引先企業が今すぐ取るべき3つのアクション

「方針はわかった。で、具体的に何から？」という方向けに、優先度順に整理します。

アクション①　受信側のルールを先に決める（今月中）

• PPAPメールが届いたときの社内ルールを明確にする（受け取る／受け取らない／隔離する／削除する）
• 金融機関からのメールにダウンロードURLが書かれてくる新方式への運用変更を周知
• 偽ダウンロードサイトを踏まないためのチェックポイントを全社に共有（正規ドメインの確認、BIMIロゴの確認、社内の照会先）

これはコストゼロで今月中にできる対応であり、最も優先度が高い項目です。

アクション②　自社から外へ送るときの方式を切り替える（3か月以内）

• 自社がPPAPで送り続けている運用を棚卸しする
• 通信経路の暗号化、または安全なファイル送受信プラットフォームへの移行を決定
• 取引先（特に金融機関側）に対して、「自社はこの方式に切り替えます」とアナウンス

金融庁は、まずはメールの通信経路自体を暗号化することが基本とし、それが難しい場合は安全性の高いオンラインストレージ等の活用を求めています。クラウドストレージとファイル転送サービスは性格が異なるため、用途に応じた使い分けが重要です。詳しくは「ファイル転送サービス vs オンラインストレージ どちらが正解？」で整理しています。

アクション③　「説明できる送信」を運用に組み込む（6か月以内）

金融機関と取引する以上、求められるのは「送れる」ではなく「安全に送れたことを後から説明できる」状態です。具体的には次の機能が重要になります。

• 誤送信時の送信キャンセル
• 誰がいつダウンロードしたかの追跡
• タイムスタンプによる内容証明
• 長期のログ保管（監査・金商法・電子帳簿保存法対応）
• 大容量ファイルへの対応（融資資料、不動産関連、M&A資料）
• SSO・SAML・SCIM対応（IT統制）
• ISMS・プライバシーマーク等の第三者認証

これらは、金融機関側がサードパーティリスク評価で確認してくる典型的なチェック項目です。

6. よくある質問（FAQ）

Q1. 三菱UFJ銀行のPPAP廃止は、いつから始まりますか？

A. 2026年7月18日以降、順次切り替わります。同行の役職員から顧客に添付ファイルを送る場合は、メール本文に専用ダウンロードサイトのURLを記載する方式に変わります。

Q2. 三菱UFJ銀行が廃止しただけで、なぜ取引先まで対応が必要なのですか？

A. 「金融機関の基準」がそのまま「取引先に求められる基準」になるためです。金融庁は外部委託先・サプライチェーン経由のサイバー攻撃を重大リスクとして位置づけており、銀行は今後、取引先のファイル送受信方式も評価対象に組み込んでいくと見られます。

Q3. 自社からMUFGへPPAPで送るのは、これまで通り問題ないですか？

A. 短期的には届きますが、続けるべきではありません。金融庁は「パスワード付きファイルのメール送付は基本的に行うべきではない」と明示しています。受信側がPPAPを問題視している以上、送信側だけが続ける合理性はもうありません。

Q4. 他のメガバンクや地銀も追随しますか？

A. 追随する可能性は極めて高いと見られます。金融庁の要請対象は主要行・地方銀行・第二地方銀行・暗号資産交換業者などを含む業界全体です。業界内で脱PPAP製品選定の動きが本格化しています。

Q5. クラウドストレージ共有リンクなら大丈夫ですか？

A. 「保管」と「都度の送受信」を分けて考える必要があります。共有範囲・権限ミス・証跡管理の弱さといった課題があり、金融機関とのやり取りで求められる「誰がいつ受け取ったかの追跡」「誤送信時の取消」「長期ログ」を満たさないケースがあります。重要書類のやり取りには、法人向けファイル転送プラットフォームの方が適しています。

Q6. 偽の「MUFGダウンロードサイト」を装ったフィッシングが心配です。

A. 正当な懸念です。三菱UFJ銀行は2026年2月よりBIMI（メールに正規MUFGロゴを表示する仕組み）を順次導入しており、正規メールであることを視覚的に確認できる土台を整えてきました。受信側企業でも、正規ドメイン、BIMIロゴ、DMARC認証結果を確認するルールを整備しておくことが推奨されます。

7. Kozutumiが、金融機関・取引先企業の「脱PPAP」で選ばれる理由

PPAP代替の判断軸は、もはや「ZIPをやめる」かどうかではなく、「金融機関とその取引先に求められる水準を満たすか」に移っています。Kozutumiは、その基準で設計されています。

PPAPを「最初から選べない」設計

Kozutumiは、パスワード付きファイルの送信そのものを禁止したうえで、送信時のウイルスチェックや暗号化で安全性を担保する設計です。「やめよう」と決めても再発しがちなPPAPを、運用統制レベルで防ぐことができます。

誤送信時に送信中止ができる

相手のダウンロード前であれば、送信後でもキャンセル可能です。メール添付方式では決して実現できないこのポイントは、金融機関とのやり取りで起こりがちな「宛先間違い → 即情報漏えい」を直接的に防ぎます。

受領確認・追跡・監査に強い

• ダウンロード状況の把握
• 送受信履歴の表示
• タイムスタンプによる内容証明
• 最大10年のログ保管

金融機関がサードパーティ評価でチェックする項目をカバーしています。

取引先（士業・中小企業・個人顧客）にも使ってもらいやすい

受信者はゲストとして一時的なURLで受け取ることも可能で、ITに不慣れな取引先にも案内しやすい操作性になっています。これは、銀行のように顧客の幅が広い業種にとって極めて重要なポイントです。

企業要件にも対応

• Microsoft Teams連携
• SSO対応 / SAML / SCIM連携
• ISMS・クラウドセキュリティ認証 / プライバシーマーク

スモールスタートから全社展開、関連会社まで含めた一括契約まで見据えやすい設計です。

8. まとめ──「銀行が動いた」は、取引先への号砲です

整理します。

• 2026年6月8日、三菱UFJ銀行がPPAPの原則廃止を発表。2026年7月18日以降、専用ダウンロードサイト方式へ移行
• 背景には、金融庁の要請（2025年5月）、サードパーティ経由のサイバー攻撃の増加、フィッシング対策基盤の整備完了がある
• 今後、他メガバンク・地銀・信金・保険・証券も同様の方式へ追随する可能性が高い
• 銀行と取引する企業にとっては、「自社のファイル授受方式が、金融機関の基準で評価される」フェーズに入った
• 受信ルール → 送信方式 → 監査・証跡対応の順で、3〜6か月以内の対応が現実的なライン

株式会社ハートビーツは、2005年創業以来20年以上にわたりインフラ運用に特化し、24時間365日体制・150社超の取引・300件超の運用案件・8,000台超のサーバー運用実績を持つ技術会社です。その運用知見を背景に提供されるKozutumiは、「銀行と取引する企業が、現場で回せる脱PPAP」を実装するための有力な選択肢の一つです。

金融機関対応の「脱PPAP」、まず何から始めるべきか相談しませんか？

三菱UFJ銀行の発表をきっかけに脱PPAPを進めたいと考えても、実際には以下のような壁にぶつかりがちです。

• 受信側のルールから直すべきか、送信側から直すべきか判断がつかない
• 金融機関の評価項目（送信キャンセル・タイムスタンプ・監査ログ）にどう対応すべきか分からない
• 取引先・顧客への案内文をどう書けばいいか決まらない

Kozutumiなら、金融機関とその取引先に求められる水準のファイル送受信運用を、現場で使いやすい形に落とし込めます。