PPAP（パスワード付きZipファイルと、そのパスワードを別送する方法）はこれまで多くの企業で採用されてきたファイルの送受信に関するセキュリティ対策ですが、近年その問題点が指摘されています。
PPAPに依存しないセキュリティ対策には、法人向けファイル転送サービスの利用が一つの方法として挙げられます。今回は脱PPAPを実現する法人向けファイル転送サービスについて紹介します。

PPAPについて

そもそもPPAPとは、ファイルを送信する方法の一つです。

P…パスワード（password）付きzipファイルを送ります
P…パスワード（password）を送ります
A…暗号（angou）化
P…プロトコル（protocol、手順のこと）

一般的な手順は、「パスワード付きzipファイル」が添付されたメールを先に送信し、その後で「パスワード」が記載されたメールを送信するというものです。そのパスワードを利用して相手がzipファイルを解凍することで、ファイルを共有できるようになります。PPAPという名前は、2016年に流行した「ピコ太郎」の楽曲からヒントを得て、この一連の流れの頭文字から付けられたと言われています。

PPAPはなぜ広まった？

官公庁や多くの企業でこの方法が採用されていたのは、「情報漏洩を防げる」と考えられていたためです。zipファイルとパスワードを同じメールで送信してしまうと、誤送信した場合に容易に解凍されてしまう可能性があります。しかし別々のメールにすれば、zipファイルが添付されたメールを誤送信してしまっても、その時に気付いてパスワード通知メールの送信を中断することで、ファイルを解凍される被害が防げると考えたのです。

情報漏洩の原因の多くはヒューマンエラーと言われており、メールの誤送信もその一つになります。それによる影響を最小限に抑えられるセキュリティ対策として、PPAPは広く利用されるようになったのです。

PPAPの問題点

2020年11月26日、内閣府と内閣官房でPPAPが廃止されました。その理由の一つとして、「セキュリティ対策として有効性がない」と判断されたことが挙げられます。ヒューマンエラーによる影響を抑えられると考えられていたPPAPですが、誤送信を完全に防ぐことは不可能でした。つまり、PPAPだけではセキュリティ対策が十分とは言えなかったのです。

また、PPAPは本来別々の手段を用いて行われるべきものでした。パスワード付きzipファイルをメールで送信したら、パスワードは同様の方法ではなく、SMSや電話といった別の方法で伝える必要があります。それが、「2回に分けさえすればどちらもメールで大丈夫」と誤解されてしまったことも、セキュリティ対策として有効性が失われてしまった原因といえるでしょう。

パスワードも容易に解読でき、近年ではパスワード解析ソフトも出回っているほどです。かつてはセキュリティ対策のために採用されてきたPPAPですが、それが失われてしまった今、脱PPAPが進んでいくのは当然のことといえるでしょう。

PPAPに依存している理由とは

誤送信に対応できる可能性がある

PPAPによって、ヒューマンエラーを完全に防ぐことはできません。ただ、誤送信に気付き、対応できる可能性があるのは確かです。

例えば、パスワード付きzipファイルを添付したメールの送信直後に誤送信に気が付けば、パスワード通知メールの送信を中断することができます。そうすれば、誤送信先の相手がファイルを開くことは難しいはずです。同じメールで送信してしまえば取り返しがつきませんが、2回に分けることでそのリスクを軽減することができます。

ただし、自動送信システムを利用していたり、アドレスをコピーして2通目を送信していたりすれば意味がありません。また、これはあくまで誤送信に対する対策であり、セキュリティ対策としては不十分といえるでしょう。

PマークやISMSの審査基準に沿うと考えられている

社内の規定により、PPAPを利用せざるを得ない場合もあります。Pマーク（プライバシーマーク）やISMS（情報セキュリティマネジメントシステム）の審査基準に沿うためには、適切なセキュリティ対策を講じなければなりません。数年前には、IPA（独立行政法人情報処理推進機構）でも推奨されていたPPAPですから、セキュリティ対策の一つとして採用している企業があるのは当然でしょう。

ただ、セキュリティ対策としてPPAPを機能させるためには、パスワードの送信にメール以外の手段を使用したり、解読しづらい複雑なパスワードを作成したりする必要があります。PPAPを採用しているだけでは、セキュリティ対策は不十分だと理解することが大切です。

ビジネス上の文化として定着している

PPAPを使用している期間が長いほど、やめることは難しいものになります。また、取引先の会社からパスワード付きzipファイルが送信されてくることもいまだ多いのが現状です。そうなれば、こちらも同様の方法でファイルを送信した方が良いと考えるのも無理もありません。PPAPを利用することで、お互いに信頼関係が成立しているという側面も否定できません。多くの企業で定着してしまったことが、PPAPに依存してしまう大きな原因の一つなのです。

脱PPAPを実現するためには

セキュリティ対策を強化するためには、脱PPAPを進めていくことが重要です。そこで、PPAPに代わるファイル送信の方法としておすすめの「法人向けファイル転送サービス」をご紹介します。

法人向けファイル転送サービスの利用がおすすめ

ファイル転送サービスは、直接ファイルを送受信するものではありません。インターネット上の専用サーバーにファイルをアップロードし、それを相手がダウンロードすることで、ファイルを共有するというシステムです。これにより、大容量のファイルを高速で転送することができます。

また、メールだと送信してしまったファイルを取り消すことはできませんが、ファイル転送サービスであれば削除も可能です。誤送信してしまったとしても、すぐに対応することで情報漏洩を防ぐことができます。さらに法人向けであれば、より高いセキュリティ対策が期待できるのです。

法人向けファイル転送サービスのメリット

法人向けファイル転送サービスは高セキュリティです。自動暗号化・送受信権限の制限・誤送信対策など、セキュリティ機能を多様化し、安全に備えています。オンラインストレージと違い、ファイルが自動削除されるサービスがあるという点もメリットです。これにより、情報がいつまでもオンライン上に残るというリスクを防ぐことができます。不要となったファイルで容量を圧迫してしまう心配もないでしょう。

また、操作しやすいサービスを選べば、専門知識がなくても利用することができます。利用シーンや企業の規模、ファイル送信の目的や量によって自由にカスタマイズできるというのもメリットでしょう。

まとめ

脱PPAPのためには、法人向けのファイル転送サービスの利用がおすすめです。「eTransporter」では、法人向けファイル転送サービスを行っております。ユーザー数や送受信ファイルのサイズは無制限です。企業の環境や要望に合わせ、自社内にサーバーを設置するオンプレミス版も展開しています。もちろん、セキュリティ対策は万全です。脱PPAPをお考えの方は、ぜひ「eTransporter」にご相談ください。