多くの企業で使われてきたPPAP（パスワード付きZipファイルと、そのパスワードを別送する方法）は、セキュリティ面などさまざまな問題から、2020年度末から中央省庁では順次PPAPの活用を廃止しています。そのため、PPAPに替わる新たなファイルの受け渡し方法が求められているのです。そこで今回は、PPAPに替わるファイル暗号化やファイルの受け渡し方法を紹介します。

なぜ脱PPAPが推奨されているのか

PPAPとは

PPAPとは、パスワード付き暗号化zipファイルをメールで送信したあと、別のメールでパスワードを送信してファイルを共有する方法です。
「（P）パスワード付き暗号化zipファイル」「（P）パスワードを送る」「（A)暗号化（あんごうか）」「（P）プロトコル（手順）」の頭文字を取って、PPAPと呼ばれています。

PPAPのメリット

〈情報漏洩を防ぐことができる〉

ファイルとパスワードを別々に送信するので、第三者が不正にファイルを見ることを防げます。ファイルを誤送信してしまったりメールを盗聴されたりした場合も、情報漏洩を防ぐ効果があると考えられています。

〈セキュリティ認証の審査に通りやすくなる〉

プライバシーマーク（Pマーク）や情報セキュリティマネジメントシステム（ISMS）の審査に有利という考えもあります。どちらも個人情報を含むファイルを送信する際には、適切な安全措置を講じることが求められており、その方法としてPPAPが推奨されていると考えられていました。しかし実際は、Pマークの運営元「一般財団法人日本情報経済社会推進協会」ではPPAPを推奨していないため、審査で有利になるというのは間違った認識です。

脱PPAPが推奨される理由

〈情報漏洩のリスクがある〉

PPAPは、ファイルとパスワードを別々に送信することでセキュリティ対策をしているので、自動送信システムなどを運用している場合は誤送信対策になりません。
また近年のメール盗聴は、1件ごとではなく、サーバーやアカウントごとに行われることが多くなっており、別々に送信するだけではセキュリティ対策としては不十分です。パスワード自体も強度が高くないため、容易に解析されてしまう可能性があります。

〈ウイルスチェックができない〉

PPAPで用いられるパスワード付き暗号化zipファイルには、通常のセキュリティ対策用のツールではウイルスチェックができないというデメリットが挙げられます。近年は、添付ファイルを経由してウイルスに感染させようとする手口が増えており、パスワード付き暗号化zipファイルの使用自体にリスクがあるのです。
またセキュリティ対策として、パスワード付き暗号化zipファイルが添付されたメールをブロックする企業も増えているため、PPAP方式でのファイルのやり取りができない可能性もあります。

〈生産性が低下する〉

受信者側の負担が大きいのも、PPAPのデメリットです。ファイルを開く度に、パスワードが記載されたメールを探して入力するという作業が発生します。ファイルの数が多いほど、受信者側の時間と労力を奪ってしまうのです。

PPAPに替わるファイル暗号化やファイルの受け渡し方法

クラウドストレージ

クラウドストレージとは、インターネット上に設けられたストレージに、ファイルやデータなどを格納できるサービスのことです。メールでファイルをやり取りするのではなく、ファイルが格納されている場所をメールで伝えるという方法でファイルを共有します。運用、管理の必要がなく、人件費などのコスト削減が可能です。
ただし、機能やサービスが決まっているため、使いづらさを感じる可能性もあります。障害発生時には作業ができなくなるのもデメリットでしょう。また、パスワードさえあれば誰でもアクセスできるので、セキュリティ面での不安があるのも事実です。

SNSやチャットを利用

SNSのようにコミュニケーションツールとして利用できるのがビジネスチャットです。チャット上でファイルの送受信機能を備えているものも多く、ファイルのやり取りも行えます。ダイレクトメッセージなら1対1でメッセージのやり取りができ、他のユーザーに見られる心配もありません。
ただし、サービスによっては、セキュリティ対策が十分ではない可能性もあります。また、誤送信のリスクも防げるわけではありません。

ファイル転送サービス

容量が大きいファイルも送信できるのが、ファイル転送サービスです。使い方は簡単で、送信者側はインターネット上のサーバーにファイルをアップロードします。その後受信者側にダウンロード用のURLを送り、ファイルをダウンロードしてもらう方法です。
ファイル転送サービスは、メールには添付できない大容量のファイルもやり取りできます。さらにファイル暗号化も可能で、無料で使用できるサービスが多いのも特徴です。ただし、無料サービスの場合はセキュリティ対策において不安な点もあるので、重要な情報を取り扱う場合は、有料であっても安心できるサービスを選ぶ必要があります。

ファイル転送サービスを選ぶ際のポイント

セキュリティレベル

さまざまな情報を扱う中で最も重要なのは、セキュリティです。無料のファイル転送サービスではセキュリティの保証がないため、ビジネスで使用するのであれば必ず法人向けの有料サービスを選びましょう。有料サービスであれば、ファイル暗号化の技術的な対策は講じられているので、最低限のセキュリティ対策は期待できます。
他にも、ダウンロードの制限やバックアップ体制、ヒューマンエラー対策などがありますが、サービスによって機能やセキュリティのレベルは異なります。すべての機能が備わっていれば安心ですが、コスト面での負担は大きくなるでしょう。必要最低限の機能を把握し、自社に合ったファイル転送サービスを選ぶことが大切です。

内部統制

セキュリティレベルを決めるためには、”セキュリティポリシー”を策定する必要があります。そして、それを守るために必要なのが内部統制です。セキュリティポリシーが適切に守られているのかを監視する管理者を決定し、セキュリティを確実なものにしましょう。
監視にはログ取得がおすすめです。ログ取得により、「誰がどんなファイルを転送し、誰がダウンロードしたのか」を記録し、管理できます。
また、運用ルールを策定し社内に周知することも大切です。「ファイル転送サービスを使用する人は誰なのか」「どのファイルまでを対象とするのか」など、具体的に定めておきましょう。

利便性

どんなにセキュリティや内部統制が優れていても、使いにくければ意味がありません。シャドーITが発生すれば、ヒューマンエラーによる情報漏洩の危険も高まります。そのため、必ず利便性もチェックしておきましょう。
「回線速度は早いか」「スマホやタブレットからも使用できるか」「サービスを利用していない取引先ともやり取りができるか」などは、多くの企業で重視するポイントです。海外企業とのやり取りがある場合は、多言語に対応しているかも重要になります。自社だけでなく、取引先の環境にも配慮したサービスを選びましょう。

まとめ

PPAPに替わるファイル暗号化やファイルの受け渡しにはさまざまな方法がありますが、最もおすすめなのはファイル転送サービスです。法人向けの有料サービスであれば、セキュリティ対策も万全で機能面も充実しています。脱PPAPをお考えの際は、ファイル転送サービス「eTransporter」の導入をぜひご検討ください。