セキュリティも業務効率も向上!?
加速する「脱PPAP」とは。

PPAPとは、「パスワードで暗号化したZIPファイルをメール添付で送信し、その後、別のメールでパスワードを送る」というファイル共有手段の通称です。手軽で便利な情報漏えい対策として官民あげて採用され、いつしかファイル共有のデファクトスタンダードとされてきました。実際にそうしたメールを送受信した、あるいは今でも送受信している方もいるのではないでしょうか。

PPAPとは

しかし、PPAPは日本だけで普及したガラパゴス的な対策で、セキュリティ面でも業務効率の面でも多くの問題点があるといわれています。では、いったいなぜPPAPが広まったのでしょうか？

その背景には、1990年代後半から2000年代初頭にかけての、インターネットの急速な普及があります。これにより、メールの誤送信や盗聴・盗み見などによる情報漏えいのリスクが高まりました。そこで総務省は「地方公共団体における情報セキュリティポリシーに関するガイドライン」において、公的機関ではメールおよびメール添付で漏えいさせてはならない情報を送る場合は、「暗号化された状態」または「パスワード設定」して送ることをルールとして定めました。

また、独立行政法人情報処理推進機構（IPA）の「電子メール利用時の危険対策のしおり」（現在は廃止）では、「添付ファイルとするドキュメントを事前に暗号化しておき、メール送信で添付する方法が、お手軽です」と添付ファイルの暗号化が推奨されました。

ただし、どちらにも「パスワードはメール以外の方法で送る」ことが明記されていました。PPAP以前には、パスワードとして「相手先や自分の電話番号」や「プロジェクトの略称」など、関係者だけに通じる符丁が使われることも少なくありませんでした。

こうした中、2005年の個人情報保護法施行に伴い、プライバシーマークの取得が一種の“ブーム”となります。審査する側もされる側もセキュリティについての知見が乏しかったこともあったためか、いつしか「パスワードを別経路で送る」という要件が抜け落ち、パスワードをかけたファイルもパスワードも同一経路で送信するPPAPがプライバシーマーク取得の条件であるかのように認識され、一般化したのではないかと考えられています。さらに、大手企業や官公庁がPPAPを採用したことから、日本人ならではの“右へならえ”体質も普及に拍車をかけた面があるかもしれません。

ちなみに、プライバシーマーク制度を運営する一般財団法人日本情報経済社会推進協会（JIPDEC）は、2020年11月、PPAPを推奨したことはないとする見解を発表しています。

セキュリティ対策の定番として広まったPPAPですが、今となっては問題ばかりがクローズアップされる手段となりました。問題の一つがセキュリティの脆弱性です。PPAPには、次のような弱点があると指摘されています。

• 情報漏えいを防ぎにくい
  そもそもパスワードをかけたZIPファイルと、そのパスワードを同一経路で送ることに大きなリスクがあります。攻撃者がZIPファイルを入手できるのなら、同じ手段で送られるパスワードも入手できる可能性が高いと考えるべきです。また、ファイルのZIP化とパスワード送信がセットで自動化されている企業も多く、パスワード送信前に誤送信に気付くことは困難でしょう。
• アンチウイルスソフトで検知されない
  暗号化されたZIPファイルはアンチウイルスソフトウエアでスキャンできず、マルウエアに感染していても検知できません。現に2020年度には、自分自身をパスワード付きZIPファイルで暗号化することでウイルススキャンを回避するEmotet（エモテット）と呼ばれるマルウエアが猛威を振るいました。
• 容易にパスワード解析される
  PCの性能向上に伴いZIPファイルのパスワード解析が容易になり、ファイルだけが入手された場合でも情報を盗まれる可能性があります。

さらに、PPAPは受信者にとって負担が大きく、業務効率低下の一因にもなりえます。

• パスワード入力の手間
  ZIPファイルを復号する手間がかかり、ファイル管理も煩雑です。例えば、ZIPファイルが添付されたメールとパスワードメールの間に他のメールを受信してしまうと、パスワードメールが埋もれて探し出す手間が生じ、内容確認が困難になります。
• PC以外では使いにくい
  スマートフォンやタブレットでは、パスワード付きZIPファイルの閲覧に専用のアプリケーションが必要な場合もあり、使い勝手がいいとはいえません。
• 国内だけで普及
  海外では一般的ではなく、国際的なビジネスやコミュニケーションに支障が出る可能性があります。

こうしたこともあり、2020年11月には当時のデジタル改革担当大臣が内閣府と内閣官房でPPAPを廃止すると発表。PPAPの廃止や代替案の導入が行政機関や民間企業で進みはじめ、“PPAPメール”を受信しない企業も現れました。さらに、多くの国内ITベンダーやシステムインテグレーターもPPAPの利用廃止を実施したり、その検討を進めたりしています。

それでは、PPAPから脱却するためにはどうすればいいのでしょう。

脱PPAPのポイントとしてまず重要なのが、組織や個人の意識を改革することです。PPAPは長年にわたって定着してきた方法であるため、変えることに抵抗感や不安感を抱く人もいることでしょう。ですので、セキュリティや業務効率の面でデメリットが多い方法であることを理解・浸透させることが大切です。そのためには、トップダウンでの方針決定や啓発活動、教育・研修などが有効だといわれています。

次のポイントは、ファィルを共有するための適切なツールやサービスを選択することです。現在では「クラウドストレージ」や「ファイル転送サービス」「S/MIME（電子証明書を用いてメールの暗号化および電子署名を行う暗号化方式）」「ビジネスチャットツール」など、さまざまなファィル共有手段が登場しています。自社のセキュリティポリシーや利用実態に応じて最適な方法を選ぶことができます。選択する際には、セキュリティや利便性だけでなく、コストや運用管理なども考慮する必要があります。

そして、ファイル共有方法を変更する際には、運用ルールやマニュアルを作成することも重要なポイントです。運用ルールでは、ファイル共有時のアクセス権限や公開期限などの基本的な方針を定めます。マニュアルには、具体的な操作手順やトラブルシューティングなどを記載します。運用ルールやマニュアルを作成することで、ユーザーの理解度や満足度を高めるとともに、運用上のミスやトラブルを防ぐことができます。

PPAPから脱却し、代替のファイル共有方法への移行を急ぐことが、世の中の大きな流れのようです。また、新たなデジタルツールの導入や運用をも促す脱PPAPは、DX推進の一助になるかもしれません。さて、あなたの会社や取引先の状況はいかがでしょうか？