「PPAPは意味なし」といえる理由と今後のお勧めの対応を解説
かつては取引先にメールで添付ファイルを送る際、PPAPという手法が習慣化されていました。しかし、近年では「PPAPをしても意味がない」といわれ、廃止する企業が増えているのが現状です。
今回はPPAPについて、使われていた理由や、意味がないといわれるようになった理由、すぐにやめられない場合に行うべきことなどを解説します。
PPAPとは
PPAPは、本来ファイルとパスワードを別々の手段で送信するセキュリティ対策のことを意味しておりました。具体的には、「メールでファイルを送り、チャットなど別の経路でパスワードを送る」といった形で対応します。
しかし、現状としてPPAPは誤った認識で広まっています。誤った使い方として、「パスワード付きのzip形式で圧縮した暗号化ファイルをメールで送信し、次のメールでパスワードを送信する」という方法が取られています。
PPAPという単語は、下記の言葉の頭文字で構成されています。
| P | Password付きzipファイル |
|---|---|
| P | Password送信 |
| A | Angouka(ファイルの暗号化) |
| P | Protocol(手順) |
PPAPはメールでデータを安全に送る方法として、長い間推奨されてきました。しかし、最近になってその危険性や課題が指摘され、禁止する動きが加速しています。ここでは、PPAPがなぜ普及し、どのような理由で禁止へ方針転換したのかを把握しておきましょう。
そもそもなぜ使っていた?
PPAPが普及した背景には、2005年の個人情報保護法施行や、プライバシーマーク取得が多くの公的機関の入札条件になったことなどがあります。その結果、メール送信時のセキュリティ対策が注目されることになりました。
対応が急がれるなか、当初は パスワードをメール以外(電話やFAXなど)で伝えることが想定されていた にもかかわらず、形式的に規程が整備されてしまい、実効性の低いPPAPが一気に広まりました。
政府の使用禁止が企業にも波及
広く浸透したPPAPでしたが、最近になって脱却を図る流れが加速しています。政府がPPAPを全面的にやめる方針を打ち出したためです。
2020年に、当時のデジタル改革担当相が記者会見において、内閣府や内閣官房におけるPPAPの廃止を表明しました。その後、中央省庁や地方自治体にもPPAP廃止が広まったほか、日立製作所・富士通・NTTデータといった 大手企業も続々とPPAPを廃止 しています。この流れを受け、現在、業界や業種を問わず多くの企業が脱PPAPに取り組んでいる状況です。
PPAPが意味ないといえる3つの理由
「PPAPは意味がない」といわれ、政府や多くの企業が脱却を図るのは、セキュリティ上の危険性や効率性の妨げとなる課題があるからです。ここでは、PPAPを実践する意味がない理由について、詳しく解説します。
ウイルスチェックの不確実性がある
PPAPには、ウイルスチェックの不確実性を高めてしまう問題点があります。添付ファイルをパスワード付きzipファイルで送った場合、 メール受信者側のセキュリティ対策ソフトによってはウイルス検知がスキップされてすり抜けてしまうため です。実際に、この性質を悪用され、zipファイルでばらまかれるマルウェアもあります。
悪意のあるプログラムを検知できず感染すると、情報の流出や改ざん、デバイスやシステムの乗っ取り・停止、新たな感染源になるなど様々な被害が発生します。自社の送った添付ファイルが原因で、取引先や顧客をマルウェアなどに感染させ甚大な被害を出すことは避けなければなりません。
このように、そのまま送っていればセキュリティ対策ソフトで防げた被害を、PPAPで送信したことにより防げなくなるため、PPAPはセキュリティ上危険であるとされています。
情報漏洩が起こりかねない
情報漏洩対策として不十分である点も、PPAPが推奨されない一因となっています。PPAPは本来、zipファイルとパスワードを「異なる通信手段」で送ることを想定していましたが、「別々のメールで送信すれば良い」という誤った認識が広まってしまいました。
しかし、zipファイルとパスワードを別々のメールで送信したとしても、同じネットワークを経由するため、データが盗み見される危険性は依然として存在します。
また、 メールの誤送信や添付ファイルの取り違えなどにより、第三者の目に触れるリスクがある点にも注意が必要です。 そうした場合は、誤って送った先に削除依頼をすることになりますが、添付ファイルの流出を完全に防ぐことは困難でしょう。
ファイルを暗号化してもネットワークのセキュリティは高められないことに加え、暗号は不正に解除され得る点もPPAPが対策として不十分である理由のひとつです。PPAPで情報漏洩対策をしたつもりになって油断し、誤送信や不正アクセスへの対策などを怠ると、かえって情報漏洩のリスクを高めることになります。
リモートワークで使いにくい
近年、新しい働き方として浸透してきたリモートワークにおける、PPAPの使いづらさも脱却の理由となっています。
リモート環境でよく使われる スマートフォンやタブレットは、パスワード付きzipファイルに対応していません。 そのため、PPAPを実践するには別途専用アプリが必要になるなど、余計なコストや労力がかかります。開封時の手間も増えるため、業務効率が下がるのも難点です。
さらに、リモート環境下では社内ネットワークへのアクセスが制限されます。そのため、重要なデータをメール添付などで従業員間でやり取りする機会が増え、セキュリティリスクが高まる懸念もあります。
このような理由から、安全性に不安の残るPPAPよりも、クラウドサービスやチャットツールといったセキュリティ面で信頼できる手法の導入を検討することが賢明といえます。
PPAPでは相手・自分どちらの時間も無駄になる
PPAPは、メールを送信する側・受信する側の双方にとって余計な作業工程を増やしてしまいます。
メール送信者は、データを送信するためにパスワードを設定して添付ファイルをzip形式で圧縮する作業が必要です。さらに、添付ファイルとパスワードを別々に送るため、メールを二度送信する手間がかかります。メールはチャットに比べて、文面の作成などに手間を要するので、何度もデータの送信を行っていると大変煩雑です。
一方、受信者はデータを閲覧するために、ファイルとパスワードの2通のメールが届くのを待たなければならず、 業務効率や生産性が低下 します。また、パスワードを確認しパスワード付きzipファイルに入力するのも負担のかかる作業です。
このようにPPAPを実践すると、セキュリティ面で効果を得られないだけでなく、作業負担が増え、送信側と受信側どちらの時間も無駄にしてしまいかねません。
PPAPをすぐにやめられない場合は?
PPAPにセキュリティや効率性を妨げる課題があるとわかっても、すぐに現在の業務体制を抜本的に見直すのは難しい場合も多いでしょう。まずは可能な範囲での対策を検討することが大切です。
また、コスト面などがネックになり、当面新しいサービスやシステムへ移行できない場合は、本来のPPAPの手法である、パスワードをメール以外の経路で送る方式が有効な対策となります。
具体的には、 zipファイルは現行通りメールで送り、パスワードはチャットや電話などメール以外のルートで伝える方法 です。パスワードをメール以外の方法で伝えるのは手間がかかりますが、メールで送って情報漏洩するリスクを考えれば、速やかに代替策を実行すべきでしょう。
脱PPAPならFinal Documentの活用がお勧め
PPAPの代替には、クラウドサービスの「Final Document」の利用をご検討ください。「Final Document」を使えば、ファイルを安全かつ簡単に共有できます。
アップロードしたデータを自動でウイルスチェックできる機能や、ストレージや通信の暗号化、ログの記録ができる機能など、 充実したセキュリティ対策を搭載しております。
また、上司がメールの宛先や内容をダブルチェックできる機能もあるため、 誤送信リスクの防止にもなります。 万が一、誤送信が発生しても共有を取り消せます。
30日間の無料トライアルを実施していますので、まずはお気軽にお問い合わせください。
まとめ
近年では、PPAPを廃止する流れが顕著です。セキュリティ上の危険性のみならず、業務の効率性を妨げる課題があり、政府に続いて企業が続々と脱PPAPを宣言しています。安全性と生産性の向上のためにも、クラウドサービスなどを活用し、脱PPAPを検討してみましょう。
PPAPの代替案について詳しくは、下記の記事で紹介しています。
- あわせて読みたい
