PPAPとは？問題視される4つの理由と代替案、効果的な対策方法を徹底解説

PPAPが注目された背景

そもそもPPAPは公的機関が広めたものではありません。PPAPが多くの企業に根付いたのは、「ある誤解」がきっかけだとされています。

2005年以降、政府によって個人情報保護法が施行されたことで、企業の間でプライバシーマークを取得する動きが広がりました。

この動きに便乗し、一部のコンサルタントは総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」を参考にし、新たな規程を作成しました。

プライバシーマークとは

事業者の個人情報を取り扱う仕組みと、その運用が適切であるのかを評価したもの。その証として、事業活動においてプライバシーマークの使用が認められる。

しかし、同ガイドラインに記載された「パスワードはメール以外の方法で送ること」など、一部文言の認識が不十分だったとされます。誤った解釈による規程が多くの企業に広がり、不十分なセキュリティ対策であるPPAPが強く根付いてしまったのです。

【関連記事】情報セキュリティ対策の具体例とは？対策を怠った場合のリスクについても解説

メールの内容が漏洩する可能性がある

PPAPでは、1通目のメールで暗号化されたZIPファイルを送り、2通目でパスワードを送るという方法を取ります。しかし、この方法では結果的に同じ経路を使用することになるため、安全性が高いとは言えず、場合によってはメールの内容が漏洩する可能性があるのです。

例えば、もしも第三者に1通目のメールを盗み見された場合、同じサーバー内に送られた2通目のメールを見ることは難しくありません。また、2通とも誤った相手にメールを送ってしまい、内容を知られてしまうといったリスクも存在します。

つまり、PPAPは一見高いセキュリティ対策が施されているように思えますが、第三者からすればZIPファイルとパスワードを同時に知ることは容易であることから、メールの内容が完全に保護されているとは言えません。

ZIPの暗号強度が脆弱である

ZIPの暗号強度は必ずしも高いとは言えず、悪意のある第三者に短時間で解読される危険性があります。暗号化方式には、主に以下の2種類が存在します。

▼暗号化方式の主な種類

1. ZipCrypto（Standard ZIP 2.0）
2. AES-256

AES-256は、アメリカで2001年に標準暗号として定められた暗号化方式であり、暗号鍵長が長く、安全性が高いと評価されています。一方で、ZipCryptoは計算能力を応用するためのシステム開発が進んでいることもあり、単純なパスワードだと短時間で突破される可能性があります。

その上、ZIPファイルの暗号解読は何度でも入力できるため、時間をかければいずれはパスワードを突破できてしまうのです。

ウイルスチェックが難しい

通常、ウイルス対策ツールを導入していれば、自動でメールのウイルスチェックが実施されます。パスワード付きのZIPファイルも同様に、このウイルスチェックにより安全性が保たれているように思えます。

しかし、パスワード付きのZIPファイルは内容を開かないとウイルスチェックができません。そのため、もしもファイルの中にウイルスが潜んでいた場合、ウイルスチェックをすり抜け、そのままデバイスに感染する危険性があります。

中にはZIPファイルの中身を確認してくれるウイルス対策ツールもありますが、これでも100％安全とは言い切れません。PPAPを採用する場合は、ウイルスやマルウェアの感染リスクがあることを覚えておきましょう。

【関連記事】マルウェアとウィルスの違い｜マルウェアとは何なのか、特徴や感染時の対策を解説

送信側・受信側の業務負担が大きい

4つ目の理由は、送信側と受信側の業務負担が大きいという点です。送信側は、まず情報をZIPファイルにまとめ、それをパスワードで暗号化してメールを送信します。その後、別のメールでパスワードを送信するという一連の作業が必要です。

受信側もまた、2つのメールを受け取り、それぞれに含まれる情報を使用してZIPファイルを解読するという手間が求められます。場合によっては、2通目のメールが他のメールに埋もれてしまい、メールボックスの中から探す手間が発生します。

このように、PPAPは送信側と受信側の両方に負担を強いるため、効率を重視する現代の働き方に適しているとは言えません。

政府の動き

2020年11月、当時のデジタル改革担当大臣が「自動暗号化ZIPファイルを廃止」する方針を示し、内閣府・内閣官房で採用していたPPAPの廃止を発表しました。内閣府はその当時行われた記者会見の様子を、「平井内閣府特命担当大臣記者会見要旨 令和2年11月24日」として公表。

この記者会見が大きな波紋を呼び、2021年12月に文部科学省の公式サイトで2022年1月4日以降、全てのメール送受信においてPPAPを廃止すると発表しました。これら政府の動きが影響し、多くの企業で脱PPAPの動きが促進されました。

企業の動き

政府の発表を機に、企業でも脱PPAPの動きが強まりました。クラウド会計ソフトのfreeeは2020年11月に、12月1日からPPAPを廃止すると公式サイトで発表。そのほか、以下のような企業が脱PPAPに乗り出しました。

2022年2月にはソフトバンクが公式サイトで、従業員が業務で使用するメールアカウントにおけるPPAPの利用を廃止すると発表しています。今後も、脱PPAPの動きは加速すると予想されています。

クラウドストレージを用いてファイルを共有する

クラウドストレージを活用すれば安全な環境でファイルを共有でき、わざわざパスワードを設定する必要もありません。時間と場所を選ばず、ファイルに自由にアクセスできることも利点の1つです。

このクラウドストレージは、前述した文部科学省の代替案として導入されている方法です。しかし、無料のサービスだと権限を細かく設定できないなどの難点があります。セキュリティをより強固にしたい方は、有料のサービスを選択しましょう。

別の通信経路でファイルとパスワードを送信する

すぐに実施できる代替案として、別の通信経路でファイルとパスワードを送信する方法が挙げられます。例えば、ZIPファイルはメールで送信し、パスワードはチャットや電話など別の経路で伝えます。

この方法を取ることで、現在の業務フローに大きな変更を加えることなく、パスワード漏洩のリスクを軽減することが可能です。ただし、ZIPファイルをメールで送信すると、マルウェアの1種であるEmotetなどの感染リスクが伴います。安全に利用するためには、別途でセキュリティ対策の強化が必要です。

【関連記事】マルウェアの対策方法とは？感染前後の対処法を詳しく紹介！

ファイル転送サービスを活用する

ファイル転送サービスも気軽に導入しやすい方法の1つです。ファイル転送サービスとは、インターネット上でファイルを送受信するサービスのことです。

サービスには無料と有料のものがあり、代表的なものとしては「ギガファイル便」や「クリプト便」、「SECURE DELIVER」などが挙げられます。

▼ファイル転送サービスを活用する主な流れ

1. 送信側がファイル転送サービスを通じてファイルをアップロードする
2. ダウンロード用のURLとパスワードを取得する
3. 受信側にURLとパスワードを伝える
4. 受信側がURLにアクセスしてダウンロードする

ファイル転送サービスの難点は、ダウンロードできる期間が限られていたり、URLの誤送信による情報漏洩のリスクが発生したりすることです。また、セキュリティ面を考慮する場合は、有料のサービスを選ぶ必要があります。

チャットツールを介してファイルを送受信する

ビジネスチャットを通じてファイルを送受信するという手もあります。他の方法に比べて容易に実現できるほか、誤送信のリスク軽減にも繋がります。

▼ビジネス向けの主なチャットツール

• Chatwork
• Slack
• Microsoft Teams
• LINE WORKS
• Talknote

しかし、この方法を用いる場合は、前提として送信側・受信側が同じサービスのアカウントを所持していなければなりません。またチャットツールによってはファイル容量に制限があるため、大容量のファイルを送信できない可能性があります。

S/MIMEでファイルを送る

S/MIME（Secure / Multipurpose Internet Mail Extensions）とは、電子メールのセキュリティを向上させる暗号化方式のことです。暗号化されているため、メールを盗み見されても内容は解読されません。

また、電子署名を行うことで送信者の身元を証明できるほか、なりすましを防止できるといった利点があります。しかし、導入までのハードルが高く、送信側と受信側の両方がS/MIMEに対応していなければなりません。