かつてセキュリティ対策のひとつとして、多くの企業がPPAPを導入していました。しかし、近年は官民ともにPPAPを禁止する動きが見られます。本記事では、PPAPが禁止される状況や、禁止によって得られるメリットなどを紹介します。PPAPの代替手段も紹介するので、参考にしてください。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
目次
PPAPとは?
かつて多くの企業で採用されていたPPAPの概要と、普及に至った背景を解説します。
PPAPはセキュリティ対策のひとつ
PPAPは、メールでデータを共有する際のセキュリティ対策のひとつとして、日本で古くから採用されてきました。PPAPでは、パスワード付きzipファイルを1通目のメールで送信し、解凍用のパスワードを2通目のメールで送信します。
関連記事:脱PPAPとは?PPAPに潜む課題と廃止の背景や対策方法まで解説!
PPAPが普及していた背景
メールが主要な情報共有手段として定着していた時代に、暗号化技術の普及とともにPPAPが広まりました。誰にでも実施できる手軽さと、他のセキュリティ対策が限られていたことから、PPAPを導入した企業は少なくありません。
PPAPの禁止が進んでいる理由
近年は官民ともにPPAPの禁止が進んでいます。PPAPの廃止や代替手段への移行を促しているおもな理由を解説します。
プライバシーマーク制度の運営団体「JIPDEC」の対応
2005年の個人情報保護法施行を契機に、企業のプライバシーマーク取得が活発化しました。プライバシーマーク取得支援に関わるコンサルタントの一部が、当時の総務省ガイドラインを参考に各種規程を整備しました。しかし、各種規定のセキュリティに関する解釈には、さまざまな見方があります。このような背景を受け、制度運営団体のJIPDEC(一般財団法人日本情報経済社会推進協会)は、「PPAPは以前から推奨していない」と発表しています。
政府の対応
2020年11月、デジタル改革担当大臣が、内閣府・内閣官房におけるPPAPの廃止方針を発表しました。内閣府と内閣官房においてPPAPを全面廃止するという発表を受け、日本全体でPPAPを禁止する動きが加速しています。
※参考:平井内閣府特命担当大臣記者会見要旨 令和2年11月24日|内閣府
企業の対応
政府の方針転換を受け、企業においても、PPAPに代わる新たな情報共有方法の検討が進みました。多くの企業がPPAP代替案について言及したり、PPAP廃止を発表したりしています。zip暗号化とパスワード別送のPPAPはセキュリティリスクが高く、情報漏えいの原因となりかねません。
以下の資料では、PPAPの問題点や、代替案として考えられる方法のメリット・デメリットを詳しく解説しています。ぜひダウンロードのうえ、最新のメールセキュリティの状況をご確認ください。
PPAP禁止の状況
PPAP禁止の状況を、国と民間に分けて解説します。各省庁がPPAPを廃止する一方で、民間では未だ検討状態の企業が残っています。
【国の動き】各省庁でPPAPを廃止している
2020年11月に内閣府・内閣官房が宣言したPPAPの全面廃止を受け、2022年1月には文部科学省でもPPAP廃止が決定されました。その他の省庁でも、大臣の会見を受け、PPAPは全面的に利用しない方向で進んでいます。
【民間の動き】依然として検討段階の企業が多い
セキュリティの啓発活動に取り組むJPAAWGは、アンケート調査「PPAP緊急アンケート PPAPの今」を実施しました。
調査によると、2020年時点で76%の日本企業がPPAPを活用していたものの、2021年2月の調査では継続予定の企業が27%まで減少しました。多くの企業がPPAPを廃止した状態、または、廃止検討状態にあると分かります。
一方、JIPDECの2024年1月の調査(JIPDEC IT-Report 2024 Spring)では、PPAPの利用率は27.1%となっていました。2021年のJPAAWG調査時から、PPAPを継続予定の企業数に大きな変化が見られない状況です。また、同調査ではPPAPの制限を設けていない企業が11%強存在することも判明しました。
なお、企業のメールセキュリティ対策の参考として、サイバーソリューションズ株式会社が2023年1月に従業員300名以上の全国の企業社員1,063名を対象に行った調査結果「企業のメールセキュリティへの取り組み」もご参照ください。
【脱PPAPの実態調査2023】 企業の「脱PPAP」は約7割と過渡期 PPAPを利用している企業の8割が代替策を導入または検討
※参考:JIPDEC IT-Report 2024 Spring|JIPDEC
実際にPPAPを禁止した企業事例
政府の発表以来、多くの企業がPPAP禁止・廃止を表明しました。一部事例を紹介します。
・2021年7月:NTTデータPPAPを禁止
・2021年10月:日立製作所が2021年12月から日立グループにおいてのPPAP廃止
・2022年2月:ソフトバンクPPAPの利用廃止
・2022年3月:三菱重工 パスワード付き圧縮ファイルの利用廃止
・2022年8月:小野薬品工業 zipファイル(パスワード付き)添付のメール受信停止
・2022年11月:小学館 圧縮ファイル(パスワード付き)の利用廃止
PPAPの禁止が求められる理由
PPAPの禁止が求められる理由を、セキュリティと作業効率の観点から解説します。
マルウェア感染のリスク
PPAPの禁止が求められる理由のひとつが、マルウェアが仕込まれたファイルが添付され、受け取り先の企業が感染する事例が増加しているためです。パスワード付きzipファイルの内容は、セキュリティソフトによる検査が行えないという技術的な制約があります。
メールの流出や誤送信のリスク
メールの流出や誤送信を防ぐためにも、PPAPの禁止が求められます。パスワード付きzipファイルとパスワードを同一の通信経路で送信することは、メールの盗聴により情報が漏洩するリスクを伴うためです。また、送信先を誤る可能性も考慮する必要があります。
作業効率の悪さ
PPAPでは、やり取りするたびにファイルの暗号化やパスワード設定、複数回のメール送信といった手順が必要です。送信者と受信者の双方に大きな負担が生じる結果、業務効率の低下につながります。
PPAPの禁止で企業が得られるメリット
PPAPが禁止される流れを受け入れ、代替手段へ移行した際に企業が得られるメリットを解説します。
セキュリティの強化
PPAPからより安全な手段へ移行することで、人的ミスを含む情報漏洩のリスクを低減できます。結果として、組織全体のセキュリティレベルの向上が可能です。
生産性向上
ファイルの暗号化やパスワード設定、複数回のメール送信といった煩雑な作業から解放されると、従業員の業務効率が改善されます。余裕ができれば、より本質的な業務に時間を充てられるでしょう。
信頼の獲得
セキュリティ対策への取り組みは、企業の信頼性向上につながります。ステークホルダーから信頼を獲得できると、取引先との関係強化につながり、ビジネス機会の創出も期待できます。
PPAPを禁止した後の代替手段
PPAPを禁止した後の代替手段について解説します。手軽なものから大がかりなものまで、さまざまな代替手段があります。
メールセキュリティサービス
メールセキュリティとは、メールを安全に送受信する対策のことです。メールセキュリティサービスでは、送受信されるすべてのメールにメールセキュリティが施されています。サイバーソリューションズは、低価格かつ高品質なメールセキュリティサービスを提供します。脱PPAPを実現するために、以下のサービスの活用もご検討ください。
関連記事:標的型攻撃メールを防御!失敗しないメールセキュリティ対策の選び方
S/MIME
S/MIMEは、電子証明書を活用して、メールの暗号化と電子署名を組み合わせた2段階のセキュリティ対策です。S/MIMEは、第三者による改ざんを検知できる機能を備えており、なりすましの防止にも効果を発揮します。
ファイルとパスワードの別送信
ファイルとパスワードの別送信とは、パスワード付きzipファイルは電子メールで送信し、パスワードを電話やFAXなど別の手段で伝える方法のことです。通信経路の使い分けにより、情報漏洩のリスクを軽減できます。
ビジネスチャット
ビジネスチャットは、暗号化された通信環境で情報のやり取りができるツールです。誤送信の際にメッセージやファイルの削除が可能なビジネスチャットは、人的ミスへの対応力も備えています。
ファイル転送サービス
ファイル転送サービスは、大容量ファイルの共有に適したサービスです。送信者がファイルをアップロードして、ダウンロード用のURLを受信者に通知する方式で情報を共有する仕組みです。
クラウドストレージ
クラウドストレージは、容量の制限なくクラウド上にファイルを保存できるサービスです。クラウド上でアクセス権限を細かく設定し、パスワードの設定なしに必要な相手とのみ安全に情報を共有できます。
PPAPを禁止した後に代替案を導入する際の注意点
PPAPの代替案を導入する際の注意点を解説します。代替案のメリット・デメリットを把握し、運用しやすいものを導入しましょう。
PPAP代替手段にはメリット・デメリットがある
完璧なPPAP代替手段は存在せず、それぞれの手段にメリット・デメリットがあります。特徴を把握したうえで、自社にとって適切な代替手段を選択しましょう。以下の関連記事では、PPAPの各代替手段のメリット・デメリットを一覧にしているので、参考にしてください。
関連記事:失敗しないPPAP代替案の選び方
運用しやすいPPAP代替案を導入する
情報共有の手段を選ぶ際は、他社の導入実績だけではなく、自社の業務との相性を重視することが大切です。導入や運用の容易さ、費用対効果、取引先との都合など、多様な視点から検討し、組織に適した方法を選びましょう。
PPAPを禁止した後に必要な企業対応
PPAPを禁止して、代替案を運用すれば終わりではありません。禁止後に必要な企業対応について解説します。
ITリテラシーの向上
PPAPが禁止されるに至った理由と、セキュリティ上の課題について、従業員への丁寧な説明が必要です。また、新たに採用する代替手段のメリット・デメリットについても説明し、理解してもらうことでより安全に運用できます。
取引先企業への周知
自社がPPAPを取りやめた旨と新たな代替手段について、事前に取引先企業に説明して理解と協力を得ましょう。サイバーソリューションズのCloud Mail SECURITYSUITE(CMSS)なら、メールの送付先企業に合わせたセキュリティの自動対応が可能です。
まとめ
PPAPを禁止する流れが加速しています。自社に適したPPAPの代替手段を選択し、切り替えを進めましょう。
サイバーソリューションズ株式会社は、メール関連のサービスを幅広く展開し、多様なインフラ環境に対応しています。コストパフォーマンスに優れており、企業規模を問わず導入しやすい価格設定となっています。PPAPの代替手段を検討する際は、ぜひサイバーソリューションズ株式会社にご相談ください。
