PPAPは、メールを送受信する際の有効なセキュリティ対策として用いられてきました。しかし、現在ではPPAPを禁止する企業が増えています。この記事では、PPAPの利用を禁止した企業について解説します。PPAPが問題視されている理由や、PPAPの代わりに利用できるセキュリティ対策などをまとめているので、ぜひ参考にしてください。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
目次
そもそもPPAPとは?
PPAPとは、パスワードを設定したzipファイルをメールに添付して送信した後、別のメールにパスワードを記載して送る方法です。「Password付きのzipファイルの送付」「Passwordの送付」「暗号化」「Protocol」のそれぞれの頭文字をとり、PPAPと略されています。
関連記事:脱PPAPとは?PPAPに潜む課題と廃止の背景や対策方法まで解説!
PPAPが問題視されている理由
PPAPは、なぜ問題視されているのでしょうか。その理由について解説します。
ウイルスチェックをすり抜ける恐れがある
セキュリティソフトによっては、パスワードを設定したzipファイルに対して、ウイルスチェックを実行できないケースがあります。その場合、ウイルス感染に気づかずファイルを開くリスクがあります。zipファイルの内容を確認できるセキュリティソフトもあるものの、メールを受信するパソコンにインストールされていなければ、ウイルスチェックは実行できません。
情報漏洩のリスクがある
パスワード付きのzipファイルを添付したメール、またはパスワードを記載したメールを誤送信した場合、第三者に情報が漏洩する恐れもあります。ヒューマンエラーによるメールアドレスや連絡先の間違いは、完全には防げません。また、パスワードを使い回していたり、簡単に推測できるパスワードを設定していたりすると、第三者がzipファイルを簡単に開いてしまうリスクがあります。
zipファイルの暗号強度が脆弱
主なzipの暗号化方式の「ZipCrypto (Standard ZIP 2.0)」で簡易的なパスワードを設定すると、短時間で突破される恐れがあります。安全性が高いと評価されている「AES-256」もあるものの、標準のWindowsでは暗号化された内容を復元できません。
生産性が低下する
PPAPは送信者と受信者の双方にとって負担が大きく、生産性が低下しやすい手法です。送信者は宛先やパスワードを確認し、メールを2通送信する手間があります。また、受信者もメールを2通開いたうえで、zipファイルを開封するためにパスワードを入力する必要があります。
日本政府内ではPPAPが禁止の流れ
日本政府内でもPPAPが全面的に禁止されています。平井卓也デジタル改革担当大臣(2020年11月24日当時)が、記者会見でPPAPのセキュリティの脆弱性や業務負担の多さを指摘し、廃止を発表したためです。これにより、PPAPのリスクが世間に知れ渡りました。
※参考:平井内閣府特命担当大臣記者会見要旨 令和2年11月24日|内閣府
PPAPを禁止する国内企業も続出
政府の発表後、国内企業でもPPAPを問題視して禁止するところが増えました。2021年頃から、大企業を中心に多くの国内企業がPPAPの禁止を表明しています。今後も脱PPAPの動きがますます広がると予想されています。
PPAP禁止に舵を切った企業一覧
ここでは、PPAPの禁止を表明している企業について具体的に紹介します。
1.株式会社日立製作所
株式会社日立製作所は、2021年10月に公式サイトでPPAPの廃止について表明しました。PPAPのセキュリティの脆弱性を問題視するようになったためです。顧客や取引先とデータをやり取りする際は、担当者と適宜相談して対応を決めると発表しています。日立グループ全体でPPAPの利用が廃止されました。
※参考:日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ|日立
2.株式会社NTTデータ
株式会社NTTデータでは、2021年7月に社内規定を改定してPPAPの利用を禁止しました。PPAPに代わる新たな手段として、独自のファイル共有サービスを導入しています。また、クラウドストレージサービスの利用も拡大し、安全かつスムーズにデータをやり取りできるようにしています。
3.伊藤忠テクノソリューションズ株式会社(CTC)
伊藤忠テクノソリューションズ株式会社(CTC)は、2021年からPPAPの廃止に向けたプロジェクトを開始しました。具体的には、老朽化したシステムを見直し、2022年2月に大容量のファイルを転送できるシステムを取り入れています。2022年5月末からグループ全体で運用を始めました。
4.フリー株式会社
フリー株式会社は、2020年11月にPPAPの禁止を発表しています。2020年12月から、メールによるパスワード付きzipファイルの受信を廃止するとしました。パスワードが設定されたzipファイルが添付されたメールを受信すると、メールサーバで自動的に削除される仕組みを採用しています。
※参考:freee、メールによるパスワード付きファイルの受信を廃止|freee
5.ソフトバンク株式会社
ソフトバンク株式会社は、2022年2月に公式サイトでPPAPの禁止を表明しました。2022年2月15日以降、従業員が業務で使用するメールアカウントでは、パスワード付きzipファイルの利用ができなくなっています。顧客や取引先とファイルをやり取りする場合、担当者との確認が必要になりました。
※参考:当社におけるパスワード付き圧縮ファイルの利用廃止に関するお知らせ|ソフトバンク
6.株式会社インターネットイニシアティブ
株式会社インターネットイニシアティブは、2022年1月26日からパスワード付きのzipファイルの受信を停止しています。自社から社外へファイルを送信するための新しい共有手段も導入しました。顧客や取引先に対して順次案内し、PPAPを利用せず安全にファイルをやり取りできるようにしています。
※参考:PPAPに対する当社運用の変更について|株式会社インターネットイニシアティブ
7.キヤノンマーケティングジャパン株式会社
キヤノンマーケティングジャパン株式会社は、2023年4月11日からPPAPの利用を禁止しました。メールにパスワード付きのzipファイルが添付されている場合、メールの本文と添付ファイルの両方がすべて削除されます。また、社外へファイルを送信する際は、ファイルをアップロードしたURLを受信者に提示し、ダウンロードしてもらう方式に変更しました。
※参考:パスワード付き圧縮ファイル(通称:PPAP)の利用廃止に関するお知らせ|キヤノンマーケティングジャパン株式会社
8.日清食品ホールディングス株式会社
日清食品ホールディングス株式会社は、2023年2月からPPAPの利用を順次廃止しています。マルウェアを検知できず、Emotetをはじめとする不正なプログラムの脅威にさらされるケースが増えているためです。パスワードが設定されたzipファイルを添付したメールの送受信は行わず、メールの送信を停止した旨を送信者に通知する仕組みを導入しています。
※参考:パスワード付きZIPファイル添付メール (通称PPAP) の利用廃止に関するお知らせ|日清食品グループ
9.カシオ計算機株式会社
カシオ計算機株式会社は、2022年3月からPPAPの利用を禁止しています。背景にあるのは、悪意のあるメールの受信が目立つようになったためです。パスワード付きのzipファイルが添付されたメールを受信した場合、メールの本文は残りますが、添付されたファイルは削除されます。
※参考:パスワード付き圧縮ファイルの利用廃止に関するお知らせ|CASIO
10.双日株式会社
双日株式会社は、2023年4月からPPAPの利用を取りやめています。主な理由は、zipファイルがマルウェアの感染経路になるケースが多く確認されたからです。セキュリティを強化し、取引先やグループ全体を守るため、ファイルをやり取りしたい場合は担当者と相談するよう促しています。
※参考:双日グループにおけるパスワード付き圧縮ファイルの利用廃止に関するお知らせ|双日株式会社
PPAPが広まった背景
国内でPPAPが広まった理由は、導入が容易であったためです。専用のシステムを用意しなくても導入できるため、多くの企業が採用しました。以前の日本はセキュリティに対する意識が低く、PPAPはメールを2回に分けて送信するため、誤送信の対策としても有効だと考えられていました。
脱PPAPのメリット
PPAPを禁止すれば、自社だけでなく顧客や取引先もセキュリティを強化できます。情報漏洩やウイルス感染が発生するリスクが低下し、より安全に日々の業務に取り組むことが可能です。PPAPは送信者と受信者にとって手間がかかるため、廃止して別の手法に切り替えると業務効率化につながります。
| 代替案 | 特徴 | メリット | デメリット | 導入時の注意点 |
| 別経路送信 | パスワード付きzipファイルとパスワードを異なる経路で送信 | 簡単かつ費用がかからない | ・情報漏洩のリスクが残る ・手間がかかる |
・パスワードの管理の徹底 ・誤送信防止策が必要 |
| メールセキュリティサービス | メール本文と添付ファイルを分離 | セキュリティが高い、操作が簡単 | サービス導入費用がかかる | サービスの選定が重要 |
| S/MIME | メール自体を暗号化 | 高いセキュリティ | ・設定が複雑 ・送信者・受信者双方に対応が必要 |
電子証明書の理解と管理が必要 |
| ビジネスチャット | チャットツールでファイルを送受信 | リアルタイムなコミュニケーションが可能 | セキュリティ設定が不十分な場合がある | ツールの選定が重要 |
| ファイル転送サービス | ファイルをアップロードし、ダウンロードリンクを共有 | 大容量ファイルに対応、無料サービスもある | ダウンロード期間の制限、セキュリティ設定が不十分な場合がある | サービスの比較検討が必要 |
| クラウドストレージ | クラウド上にファイルをアップロードし、URLを共有 | 共有設定が柔軟、大容量ファイルに対応 | クラウドサービスのセキュリティに依存 | アクセス権限の管理が重要 |
それぞれの代替案を検討する際は、自社のセキュリティ要件、運用コスト、操作性などを十分に考慮する必要があります。いずれの方法を選ぶとしても、従業員に対する教育やセキュリティポリシーの徹底が重要です。
まとめ
従来、一般的であったPPAPの問題点が指摘されるようになり、利用を禁止する動きが広がっています。PPAPの利用を禁止する企業は増えており、より安全な方法の採用が求められるようになってきました。PPAPの危険性についてより詳しく解説したガイドブックも公開しているため、ぜひ活用してください。
サイバーソリューションズ株式会社は、メールに関するあらゆるサービスに対応しており、幅広い環境に対応可能です。メールに関する手間を削減してセキュリティを強化するためにも、以下の資料をご覧ください。
