ビジネスの現場でいまだによく見かける情報送信の方法で「PPAP方式」というものがあります。
PPAPとは、ZIPファイル+パスワードを別送することで「セキュリティ対策をした」と見なす、旧来の日本企業で根強く残るメール送付の方法です。以下のプロセスを指して略語が作られています。
- P:Password付きのZIPファイルを送信
- P:Passwordを後から別のメールで送信
- A:暗号化
- P:Protocol(手順)
一見すると安全に見えるこの手法ですが、実は現代のセキュリティ要件において脆弱で危険な手法とされています。
PPAP方式の何が問題なのか?
パスワードとファイルが同じ経路で送られる
最大の問題は、ZIPファイルとパスワードが同じメールサーバー、同じ経路を通って送られることです。もし通信が傍受されていたら、ZIPとパスワードの両方が簡単に抜き取られてしまいます。
メールの添付ファイル自体がリスク
ZIPファイルはウィルス対策ソフトも内部をスキャンできず、マルウェアの温床になりやすいため、多くのセキュリティベンダーはZIPの添付を遮断する方向に進んでいます。受信側のセキュリティポリシーによっては、そもそも開けないこともあります。
なりすましメールでも気付きにくい
PPAPは「2段階送信」のために、悪意ある第三者がメールを偽装しても気づきにくい構造になっています。社会的信頼性を逆手に取られやすい手法です。
なぜいまだにPPAPが使われ続けるのか?
ではなぜ、問題があるとわかっていてもPPAPが廃止されないのでしょうか?以下のような背景が、PPAPを「やめたいけどやめられない文化」にしてしまっているのではないでしょうか。
理由1:慣習化と形式重視の文化
「昔からこれでやってきた」から問題はない、「パスワードを分けて送る=安全」と誤認している、などの可能性があります。
理由2:代替手段の検討が面倒
安全なファイル共有ツールやクラウドサービスの選定に時間がかかる、相手先もPPAPを前提に運用している場合変更に踏み切れない、というように、危険性は認識していても、次の手段になかなか移行できない状況も考えられます。
理由3:社内ルールや指示に従うだけ
個人では危険性に気づいていても、「ルールだから」と従ってしまう、といったケースもあるかもしれません。
大手企業や行政機関も廃止へ
PPAPはもはやセキュリティの標準から逸脱した手法として、すでに多くの企業・行政で廃止が進んでいます。事例として以下のようなものがあります。
- 2020年:内閣府・経済産業省がPPAP廃止を正式発表
- 2021年以降:大手銀行・通信キャリア・IT企業が順次廃止
- 2022年:セキュリティベンダーもPPAPブロック機能を提供
この流れは今後も加速する見通しであり、PPAPを使い続けること自体が「時代遅れ」「リスク管理が甘い」と見なされる恐れもあります。
代替手段は?安全なファイル共有の選択肢
PPAPをやめるには、「何を使えばいいのか?」代替策を立てることが重要です。以下は、セキュリティと利便性を両立した主な代替手段です。
- セキュアストレージサービス(クラウド型)
- ファイルを永続化し、ファイル単位でのアクセス制限、ログ取得、期限付きリンクなどが可能
- ファイル転送専用サービス
- 一時的なファイル転送に特化、パスワード設定やダウンロード通知付き
社内でPPAP廃止を進めるために
情報システム部門からの働きかけ
- 危険性の共有と定期的な啓発(eラーニング、ポスター、社内メール)
- 「なぜダメなのか」「どう変えるか」を具体的に示す
部署ごとの段階的移行
- まずは社内 → 次に社外 → 最後にパートナー企業へ通知
- 共通のテンプレートやFAQを整備し、混乱を抑える
上層部のリーダーシップ
- 情報セキュリティの重要性を経営層が明言することが効果的
- 「安全な方法への移行=企業価値向上」と捉えてもらう
まとめ:慣習にとらわれず、安全な情報共有を目指そう
PPAPはかつての“ベター”な方法かもしれませんが、現代の脅威に対しては無防備な仕組みです。
メールは簡単に盗聴・改ざんされることがあり、「なんとなく安全そう」にと思って頼っていては情報漏えいのリスクを避けられません。
テクノロジーは進化しています。大切な情報を守るには、私たちの意識と仕組みも進化させる必要があります。
最後までお読みいただきありがとうございました。当ブログは日常のICTの困りごとを解決するためのノウハウを発信しているサイトです。トップページもご覧ください。
