ある日、セミナー案内のPDFがメールで届きました。内容は公開情報で、秘密でも何でもありません。ところが添付ファイルはパスワード付きZIP。直後に「パスワードはXXXXです」とだけ書かれたメールがもう一通。
――こんな「二度手間」に、うんざりした経験はありませんか?
この“パスワード付きZIP&パスワード別送”方式、いわゆる「PPAP」は、今なお多くの企業で使われています。意味がないということもかなり広まっているはずなのに、なぜこの方法はなくならないのでしょうか。
PPAPとは何か?なぜセキュリティ的に意味がないのか
PPAPとは、「Password付きZIPファイルを送り、Passwordを別メールで送る、暗号化(Archive)、Protocol(手順)」の頭文字を取った日本独自のファイル送信手法です。
一見、セキュリティ対策に見えますが、実は多くの専門家や政府機関が「意味がない」と指摘しています。
主な問題点
- 同じ経路で盗聴されるリスク
ZIPファイルとパスワード、両方ともメールで送るため、仮に通信経路が盗聴された場合、両方まとめて第三者に渡ってしまいます。 - ウイルスチェックができない
パスワード付きZIPファイルはウイルス対策ソフトで中身を検査できません。マルウェア(例:Emotet)に悪用される事例も続出し、IPA(情報処理推進機構)も注意喚起しています。 - ZIPファイルのパスワード自体が脆弱
現代のコンピュータ性能では、パスワード解析ツールを使えばZIPのパスワードは比較的容易に突破されてしまいます。 - 業務効率の低下
送信者はZIP化・パスワード設定・2通のメール送信、受信者は2通のメールを探して解凍――双方に余計な手間がかかります。
こうした理由から、2020年には日本政府もPPAPの廃止を宣言。大手企業も次々と脱PPAPに動いています。
それでもPPAPがなくならない理由
これほどはっきりと廃止への動きがある中、まだまだ使い続けている企業が多い理由はなんでしょうか。
1. システム化による「楽さ」と「慣れ」
多くの企業では、メール送信時に自動でパスワード付きZIPを作り、パスワードを別送するシステムが導入されています。
この仕組みの導入後は、「送る側の手間がほとんどない」「せっかくシステムを入れたのだから使わないと損」という意識が根強いたのではないでしょうか。
2. 取引先の慣習・ルールへの配慮
「取引先がPPAPを求めている」「大企業が発注先にPPAPを強要する」といった力関係もあり、やめたくてもやめられない現実があります。
3. 形だけの“安心感”と情報がアップデートされない環境
「パスワードをかけているから大丈夫」という“安心の演出”が、実効性よりも優先されてしまう文化的側面も指摘されています。
また、PPAPの問題点を知らず、過去に「このようにすべきだ」と教育されたことを墨守している人もいます。筆者も実際に取引先の担当者に「PPAPは無駄なので、できればやめていただきたい」と伝えたところ、「セキュリティ意識の低い人」扱いされ、うんざりした経験があります。
4. 代替策への知識・合意形成の遅れ
「PPAPをやめた後、何を使えばいいのか分からない」「新しいシステムの導入や教育が面倒」といった理由も、現場の抵抗感につながっています。
実際、2023年時点でも3割の企業がPPAPのみ、3割強がPPAPと他の方法を併用しており、完全な脱却には至っていません。
PPAPを使い続ける企業は周囲からどう見られているか
PPAPを使い続けることで、次のような評価やリスクが生じます。
「セキュリティ意識が低い」「時代遅れ」とみなされる
セキュリティが不十分なデータ共有方法を継続する企業は、リスク対策の未熟さやデジタル化の遅れを取引先に印象付けてしまいます。世の中が脱PPAPに向けて動く中、対応が遅れることで「信頼できない」「変化に対応できない」と判断されることもあります。
取引機会の損失リスク
PPAPの受信自体を拒否する企業が増加しており、今後は「PPAPしか使えない」ことで新規取引や既存取引の継続が難しくなる可能性も高まっています。将来的なビジネス機会の損失につながるリスクです。
情報漏洩時の信用失墜
万が一情報漏洩やマルウェア感染などのトラブルが発生した場合、取引先や顧客からの信用を大きく損なうことになります。被害の大きさによっては損害賠償や契約解除など、企業存続に関わる深刻な影響も生じます。
PPAPを廃止し、社員教育を進めるには
では、根強く使い続けられているPPAPを廃止するにはどうしたらよいのでしょうか。
下記4つのステップで実行しましょう。
1. 社内ルール・ガイドラインの見直し
まずは「PPAP禁止」を明記した新しいガイドラインを策定し、全社員に周知します。
2. 代替手段の導入・定着化
クラウドストレージやファイル転送サービスなど、新しい仕組みを導入し、実務に組み込みます。
3. 社員教育・意識改革
「なぜPPAPが危険なのか」「新しい方法の使い方」を研修・マニュアルで徹底し、定期的なセキュリティトレーニングも実施します。
4. 取引先との調整
取引先にも新しい方法を説明し、理解・協力を得る努力が必要です。どうしてもPPAPを求められる場合は、柔軟な運用も検討します。
PPAPに代わるセキュリティ手段
脱PPAP後の代替手段としては、次の表のようなものがあります。各企業の実情に合わせて選択しましょう。
| 代替策 | 特徴・メリット |
|---|---|
| クラウドストレージ | OneDrive, Googleドライブ, Boxなど。暗号化・アクセス制限・有効期限・ログ管理など多機能。 |
| ファイル転送サービス | Gigaファイル便など。大容量ファイルも簡単に送信でき、URL発行・有効期限・パスワード設定が可能。 |
| メールセキュリティシステム | 添付ファイルの自動隔離、ダウンロードリンク化、認証付きアクセスなどを実現。 |
ポイント:
- どの代替策も「アクセス権限の細かな設定」「送信後のリンク無効化」「操作ログの管理」など、PPAPにはない高度なセキュリティが実現できます。
- 社員が新しいツールを使いこなせるよう、ハンズオン研修やサポート体制も重要です。
「安心の形骸化」から脱却しよう
PPAPは「安心している“つもり”」を生み出す日本的な慣習の象徴です。しかし、実効性のないセキュリティは、むしろリスクを高めます。
今こそ、「形だけの安心」から脱却し、実効性あるセキュリティと業務効率化を両立させる一歩を踏み出しましょう。
脱PPAPは、単なるシステム変更ではなく、企業文化や働き方をアップデートする絶好の機会です。
