PPAPとは、パスワードつきのzipファイルをやり取りするデータ送信手法です。本文中に「パスワードは別送します」と書かれたパスワードつきzipファイルが送られてきた経験のある方は多いのではないでしょうか。

• Password（パスワード）つきzipファイルの送信
• Password（パスワード）の送信
• Angou-ka（暗号化）
• Protocol（プロトコル）

これら4ステップの頭文字をとって「PPAP」と名づけられました。膨大なデータでもzip化すればメール添付で送りやすいこと、手軽かつ誰でもできるセキュリティ対策であることから、多くの企業でこの手法が採用されてきました。

しかし、近年はセキュリティリスクが高いとして廃止される傾向が強まっています。政府でもPPAPを廃止する動きを取っており、下記にて詳しく解説します。

政府が廃止する背景

2020年11月24日に実施された内閣府特命担当大臣記者会見において、「中央省庁の職員はPPAP方式を使ってはならない」という方針が発表されました。

（参考：内閣府「平井内閣府特命担当大臣記者会見要旨 令和2年11月24日」）

データやドキュメントが含まれるzipファイルの送信と、そのzipファイルのパスワードを記したメールとを同じ経路で送信することは、セキュリティ対策としてほとんど意味がないと改めて明言されています。このような手法を採用するのであれば、パスワードだけは別の手法でやり取りするなどの対策が求められます。

また、PPAP方式は受け取り手の利便性を欠く方式でもあり、DX化や業務効率化が急務とされている時代に合わないともされています。政府の廃止意向と利便性の問題により、市区町村など地方自治体でもPPAPを廃止する動きが取られ、少しずつ別の方法に置き換わるようになりました。

PPAPによって、具体的にどのようなセキュリティリスクが生じるか解説します。

メール盗聴のリスク

普段使用しているネットワーク自体が監視されてしまっている場合、メールの内容も簡単に盗み見されてしまいます。送受信しているメールは全て筒抜けになるので、たとえzipファイルのパスワードを別送していても意味がありません。

zipファイルを添付したメールはもちろん、パスワードが記載されたメールもセットで盗聴され、セキュリティ対策として有効なものにはならないのです。

情報漏洩のリスク

PPAPは、ヒューマンエラーによる情報漏洩に弱いという側面も持ち合わせています。zipファイルやパスワードが記載されているメールを全く関係のない第三者に送信してしまったり、パソコン自体を電車内や喫茶店に置き忘れてしまった場合、PPAP方式であっても情報漏洩を防ぐことができません。

情報漏洩はネットワークへの介入だけで起きるものではないことを理解し、対策することが重要です。

マルウェア感染のリスク

暗号化されたzipファイルの危険性をウイルス対策ソフトが見落としてしまい、マルウェアに感染する危険性があります。

近年はウイルス対策ソフトの抜け穴を使ったサイバー攻撃もおこなわれるようになり、自身がマルウェアに感染していると気づかずファイルを相手に共有してしまうことも増えました。知らないままメールもしくはドキュメントを開き、相手がマルウェアに感染するなど、被害が拡大するケースも少なくありません。

万が一悪質なマルウェアに感染してしまった場合、当該メールに添付されているデータのみならず、パソコンに保管しているドキュメントや共有フォルダのなかも見られてしまう可能性が高いので注意しておきましょう。

ときには個人情報や機密情報を漏洩して社会的な信用を失うなど、会社全体に多大なダメージを与えることもあります。早期のうちにPPAPに代わる対処法を確立し、切り替えていきましょう。

さまざまなリスクが内在するPPAPに代わる手法として、クラウドストレージの活用およびファイルとパスワードの送付手段の変更が挙げられます。

ただし、送信する側の手間や受け取り手の利便性を考えると、クラウドストレージの活用が今後一般的になっていくかもしれません。それぞれの概要を見ていきましょう。

クラウドストレージの活用

クラウドストレージとは、ドキュメント・画像・動画・音声などさまざまなデータを格納・管理できるサービスです。zip形式で圧縮しないと送信できない大容量ファイルでもやり取りでき、格納場所が決まっているので毎回メールを探す手間も省けます。

また、相手ごとに共有ストレージを分けられるので、ひとつのツールで社内でのドキュメント共有から取引先とのやり取りまで完結できるのも利点です。

複数のクラウドストレージがありますが、代表的なサービスとして「Microsoft365」が挙げられます。Microsoft製品なのでWord・Excel・PowerPointなど日常的によく使うoffice系ソフトと相性がよく、デバイスを紛失したときのためにバックアップやデータ保護をすることも可能です。

もちろんモバイルフレンドリーであり、パソコンだけでなくスマートフォンやタブレットからも使えるので、外出先での閲覧に困ることもありません。Microsoft365に限らず、自社に合ったクラウドストレージを探し、安全なデータ共有を叶えましょう。

関連記事：Microsoft 365とOffice 365の違いとは？機能や活用シーンを紹介！

ファイルとパスワードの送付手段を変える

PPAP方式による基本的なやり方は変えず、ファイルの送信手段とパスワードの送信手段を変えることでセキュリティレベルを高めることも可能です。

例えば、メールにzipファイルを添付した場合、パスワードは電話やチャットを使って送るなどの手法が挙げられます。CD-ROMでデータを郵送する公官庁・市区町村・健康保険組合や年金事務所では、CD-ROMを郵送する封筒とパスワードを記した封筒を別送するなど工夫しています。

PPAPと大きな変更はないので、PPAPに慣れ親しんでいる人でも無理なく移行できることが利点です。ただしドキュメントとパスワードを管理するチャネルが別々になるので手間がかかり、利便性は損なわれやすい点に注意しなくてはなりません。

PPAPのように、同じ手法でデータとパスワードを共有することはセキュリティ的に問題があると危険視されるようになっており、公官庁や地方自治体ではPPAPを禁止とする動きが大々的に行われています。

だからこそ、今後PPAPに代わる手法として、クラウドストレージによる共有が大きな選択肢になります。

コネクシオでは、クラウドストレージ機能を有する「Microsoft365」などを提供しています。「自社に合ったクラウドストレージがわからない」「クラウドストレージの活用方法やセキュリティレベルの上げ方を知りたい」などの相談も承っているので、お気軽にお問い合わせください。