対応必須の脱PPAP、気になる各社の対応は?
2020年11月、当時のデジタル改革担当大臣がPPAP方式を廃止する声明を発表、大きな話題になりました。PPAPは民間企業でも普及したデータ転送手法であり、各事業者の対応が注視されます。本稿では、なぜPPAPが廃止されたのか、また、代替案のメリット/デメリットまでお伝えします。
PPAPとは?
PPAPは日本のビジネスシーンにおいて広く普及したファイル共有方式のひとつです。メールにパスワード付きZipファイルを添付して送信し、別メールでパスワードを後送するという手順を踏みます。名称については知らずとも、多くの方が業務のなかで使用した経験があるのではないでしょうか。
【図解】PPAPとは?
PPAPのメリット
日本においてこれほどPPAPが普及したのは、理由のないことではありません。PPAPでのファイル共有には、それなりに少なからぬメリットがあります。
PPAPでは、既存の電子メールとZip圧縮を利用するため、送信者/受信者が共通の専用システムを導入する必要がありません。パスワード保護によりデータの機密性もある程度は担保できます。利用のハードルが低く、最低限の暗号化が保証される、そうした簡便さから、民間企業/官公庁問わず長らく一般的に使用されてきました。
廃絶に向かうPPAP
日本のビジネスシーンにおいて非常に馴染み深いPPAPは、同時に、セキュリティの脆弱性など多くの問題点が指摘されてきたファイル共有方法でもあります。現在では、官公庁や大企業を中心に、廃止に向かっています。
内閣府が公式にPPAP廃止を表明
2020年11月24日、当時のデジタル改革担当大臣が政府内におけるPPAPの運用について全面的に廃止する声明を発表しました。PPAP時代の終わりを告げる、象徴的な出来事だったといえます。
大企業もそれに続く
内閣府の公式発表を受けて、PPAP問題は民間企業でも大いに物議を醸しました。大企業を中心に、セキュリティ意識の高い事業者は、政府の意向に追随する姿勢を示しています。
代表的な例としては、2021年10月にPPAP利用の廃止を公式表明した日立グループ。続いて2022年には、ソフトバンクグループ(2月)やカシオ計算機(3月)、三菱重工業(3月)、アステラス製薬(7月)、日清食品ホールディングス(11月)など、名だたる大企業が同様の声明を発表しています。
これらの企業では、PPAPを利用したファイル転送についてはシステム上、グループ内外ともに送受信できないというきわめて厳格な措置がとられています。当然にして、その影響は顧客や取引先にまで広く波及することは間違いありません。今後、PPAPがビジネスシーンでみられなくなることは、ほぼ確実といえるでしょう。
PPAP、致命的な3大デメリット
すでに広く普及したPPAPについて、政府や多くの企業が廃止に向けて舵を切ったことは、当然ながら理由があります。PPAPが現代のビジネスの在り方に馴染まないのはもちろんのこと、セキュリティについて致命的な問題を抱えていることが明らかとなったためです。
ひとつひとつ、確認してみましょう。
業務効率の問題
使ったことがある方なら経験があるかと思いますが、PPAP方式では添付ファイル付きメール送信後にさらにパスワードを添えたメールを後送する必要があります。送信の手間が二倍になり、受信者側でも二通のメールを確認して解凍する手順を踏むため、ファイルをやりとりするだけの単純な作業が煩雑になってしまいます。
また、パスワード通知メールの送り漏れ、あるいは受信者側でパスワード通知メールが迷惑メールに分類されてしまうことでの見落としなど、業務効率を下げる場面が少なくありません。なによりもスピードが求められる現代のビジネスシーンには、そぐわない方式であるといえます。
誤送信のリスク
添付メールとパスワード通知メールを送ったあとで誤送信であることに気づいても、PPAP方式ではいったん送ったメールについて、ミスのリカバリーができません。
また、一回目のメール(パスワード付きZipファイル)のみを送信した時点で誤送信に気づいたとしても、総当たり型のパスワード解析ソフトが高機能化している現代では、機密情報が外部に漏れる懸念があります。
マルウェアに対して脆弱
以前、記事でも触れましたが、ロシア発のマルウェア“Emotet”が感染拡大、世界じゅうで猛威を振るっています。その主要因が、PPAPにあるとされています(参考:Emotetにご用心! 2022年、サイバー攻撃最前線)。
“Emotet”はPPAPの脆弱性をピンポイントに突いたランサムウェア(身代金要求型マルウェア)であり、添付Zipファイルに紛れて標的の端末に侵入します。受信者側がウイルスチェックソフトで防御していても、それらのソフトは多くの場合、Zipファイルの中身については検査できません。そのため、ほぼ素通りで端末に侵入されてしまいます。
Emotetはサプライチェーンから侵入するため、セキュリティ意識が強い筈の大企業からも多くの被害が報告されています。同マルウェアに感染した場合、企業機密や顧客の個人情報が流出する危険があり、そうした際の賠償や企業イメージの失墜は、中小規模の企業であれば、進退を迫られかねません(参考:デジタルマーケティングに影響大! 2022年4月、個人情報保護法改正)。
PPAPは、セキュリティ対策としてかえってリスクが高い方式であること、これが最大の問題です。
PPAPの代替策は?
2020年の内閣府の声明時点では、PPAPの代替案について明確に指針が定められていませんでした。当時、官公庁・民間企業ともに、手探りの状態であったといえます。ただ、現在では、各団体ともにそれぞれの方針のもとに対策が講じられています。
急場しのぎの対応は禁物
当時のデジタル改革担当大臣は、PPAPの代替案として自動メールではなく電話でパスワードを伝える運用方法などを一例として挙げました。ただ、あくまで例外的な場面に限られ、こうした退歩的といえる状況が一般化することはまずないでしょう。
USBメモリなど物理メディアを介したデータのやりとりも、手段としては考えられますが、2022年6月に尼崎市が46万件の個人情報入りのUSBメモリを紛失したインシデントは記憶に新しいところ。可能なかぎり避けたほうが賢明といえます。
メールベースでの対応
使い慣れたWebメールでのファイル共有を続ける場合、S/MIME(エスマイム)の利用が考えられます。
S/MIME(Secure/Multipurpose Internet Mail Extensions)とは、電子メールの暗号化方式のひとつで、電子証明書を用いてメールの暗号化とメールへの電子署名を行えるというものです。 ただ、S/MIMEを用いるには、送信者と受信者の双方で対応する電子メールソフトを使用している必要があり、使い勝手についての問題が残ります。
クラウドストレージの利活用
2022年に文部科学省がPPAPの代替策として、クラウドストレージの利用を発表しました。すべてのメール送受信において、ファイルを添付する際にはクラウドストレージに添付ファイルを自動保存、メール受信者はそこからダウンロードする、という仕組みです(クラウドについては参考記事参照:ビジネスを加速させる! クラウド導入ポイントまとめ)。
クラウドストレージは脱PPAPの最有力ツールと見做されており、手軽なものでは無料のデータ転送システムも数多くあります。これらの多くは、ブラウザ上で操作が完結し大容量ファイルのやりとりが可能、取り扱える容量も多くのサービスで数百MBから数GB、なかには200GBまで送信できるサービスもあります。
ただ、2019年に無料データ送信サービスのひとつが不正アクセス被害に遭い、480万件の個人情報流出事故を起こしたこともあり、セキュリティ面を考えれば機密情報を扱うのに相応しいものではないでしょう。
脱PPAPの大本命、UC+ファイルシェア
使い慣れたPPAPから新しいファイル転送方式に切り替えるのは、事業者さまにとっては気の重い問題です。新しいシステムの導入は費用の面でも業務負荷の面でも少なからぬコストがかかります。ただ、政府や大企業がPPAPを問題視しているなか、セキュリティ意識を示すためにも対応しないわけにはいきません。コストや使い勝手を考慮して、新しいワークフローを構築していく必要があります
。
内田洋行ITソリューションズでは、最も効果的でセキュアな脱PPAPソリューションとして、“UC+(ユクタス)ファイルシェア”をお薦めしています。
クラウドサービスラインナップ、UC+シリーズの第二弾となる同システムは、無料サービスにはないユーザビリティと高セキュリティ性を両立し、誤送信防止機能など様々な高機能を備えたクラウド式のデータ転送サービスです。
詳細については無料のPDF資料にまとめていますので、ぜひそちらをご活用ください。
よくある質問
- Q脱PPAPとはなんですか?
- A2020年11月、内閣府と内閣官房からセキュリティ上好ましくないということで、PPAP方式の使用廃止が発表されました。 PPAP問題、あるいは脱PPAPと呼ばれる同問題には、現在まで多くの企業が政府への追随を表明してます。近い将来、ビジネスシーンにおいてPPAPが使われることはなくなるといわれています。
- QPPAPの代替策としてどんなものがありますか?
- A内閣府の発表当時、官公庁/企業はPPAPの代替策については手探り状態でした。2023年現在では、具体的な代替案としてファイル転送サービスやオンラインストレージ、メールセキュリティシステムの導入などが挙げられています。たとえば、すでにMicrosoft 365を導入している場合、SharePointでの共有や秘密度ラベルを使用して暗号化を適用・コンテンツへのアクセスを制限するなどの対応で簡易的な脱PPAPが図れます。
【参考】
・内閣府「平井内閣府特命担当大臣記者会見要旨 令和2年11月24日」
・文部科学省「文部科学省における添付ファイル付きメールの運用に関するお知らせ」
・株式会社日立製作所「日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ」
・ソフトバンク株式会社「当社におけるパスワード付き圧縮ファイルの利用廃止に関するお知らせ」
・カシオ計算機株式会社「パスワード付き圧縮ファイルの利用廃止に関するお知らせ」
・三菱重工業株式会社「当社におけるパスワード付き圧縮ファイルのメール利用廃止について」
・アステラス製薬株式会社「当社におけるメールへのパスワード付きZIPファイル添付の利用廃止について」
・日清食品ホールディングス「パスワード付きZIPファイル添付メール (通称PPAP) の利用廃止に関するお知らせ」
