「ファイルをZIPで圧縮してパスワードをかけ、パスワードは別メールで送る」——この手順に見覚えはありませんか。日本のビジネスシーンで長年使われてきたこの慣行は、「PPAP」と呼ばれます。一見セキュリティ対策に見えますが、実は根本的な問題を抱えています。

この記事では、PPAPとは何か、なぜ危険とされているのか、そして実際に安全なファイル送付方法を具体的に解説します。

PPAPとは何か

PPAPとは以下の頭文字をとった言葉です。

  • Password付きZIPファイルを送ります
  • Passwordを送ります
  • Angouka(暗号化)します
  • Protocol(プロトコル)

つまり、ZIPファイルを暗号化してメールで送り、パスワードを別のメールで送るというセキュリティの手順のことです。2000年代から日本企業で普及し、現在でも多くの職場で「標準的なやり方」として残っています。

2020年に当時のデジタル改革担当大臣がPPAPの廃止を表明したことをきっかけに、日本全体でその問題点への認識が一気に広まりました。

PPAPの問題点と安全な代替手段

なぜPPAPは危険なのか

PPAPがセキュリティ対策として機能しない理由は、大きく4つあります。

① パスワードが同じ経路で届く

ZIPファイルもパスワードも、どちらも「メール」で送っています。メールが盗聴・傍受された場合、2通のメールを手に入れれば簡単にファイルを開けてしまいます。「鍵と錠前を同じ封筒に入れて送っている」のと同じ状態です。

② ウイルス検知をすり抜けやすい

パスワード付きZIPファイルは、多くのセキュリティソフトやメールゲートウェイが内部をスキャンできません。マルウェアがZIPに含まれていても、パスワードがかかっていると検知されずに相手のPCに届いてしまいます。むしろPPAPは、悪意あるファイルを送り込む手口として悪用されるリスクがあります。

③ パスワード自体が弱いことが多い

業務効率を優先するあまり、「1234」「password」「会社名」といった推測しやすいパスワードが使われがちです。また、毎回同じパスワードを使い回している組織も珍しくありません。パスワードが弱ければ、暗号化の意味がほとんどなくなります。

④ 誤送信対策にならない

PPAPが最も期待されていた用途のひとつが「誤送信対策」です。しかし現実には、ZIPファイルを誤った相手に送った後、パスワードも同じ相手に送ってしまうミスが頻発します。パスワード送信を自動化しているシステムでは特に起きやすく、誤送信対策として機能していないケースが多いです。

政府・大企業での廃止の動き

PPAPの問題点は、個人・中小企業だけでなく、国や大企業レベルでも認識されています。内閣府・デジタル庁はPPAPの廃止を宣言し、公的機関との文書やり取りでも利用しない方針が示されています。大手企業でも、社内規程としてPPAP禁止を明記するところが増えています。

「取引先から求められるから仕方なく使っている」という声も聞かれますが、取引先の多くもPPAPの問題を認識し始めており、代替手段を提案することで喜ばれるケースも増えています。

安全な代替手段:何を使えばいいか

PPAPをやめた後、どうやってファイルを安全に送ればよいでしょうか。主な代替手段を整理します。

  • ファイル転送サービスの活用:URLで共有し、閲覧キーを別の手段(電話・SMS)で伝える方法。ZIPとパスワードの組み合わせより実質的に安全
  • クラウドストレージの共有リンク:Google DriveやOneDriveの共有設定を使う。相手にアカウントが必要な場合もある
  • 社内向けにはチャットツールのファイル共有:SlackやTeamsを使った社内送付はPPAPよりはるかに安全

どの方法も「暗号化されているか」「相手の手間が増えないか」「誤送信した場合に取り消せるか」を基準に選ぶと良いでしょう。

CleanReceiveで実現できる安全な送付方法

CleanReceiveを使えば、PPAPの問題点をすべて回避した送付が実現できます。

  • 閲覧キー機能:URLを別ルート(メール)で送り、キーは電話やSMSで伝える。ZIPとパスワードを同じメールで送るPPAPより確実に安全
  • ダウンロード回数制限:1回だけダウンロードできたらURLを無効化。誤送信しても、相手がまだ開いていなければ「削除」で取り下げられる
  • 自動削除:保存期間を1〜14日に設定。ファイルが長期間残り続けるリスクをなくせる
  • 削除キー:誤送信に気付いたらすぐにファイルを削除できる。PPAPでは一度送ったファイルを取り消すことができない

受け取る相手はアカウント登録不要で、URLを開くだけでダウンロードできます。相手への手間を最小限にしながら、PPAPより高いセキュリティを実現できます。

まとめ:PPAPからの脱却チェックリスト

  • パスワード付きZIPとパスワードを同じメールで送っていないか
  • 自動でパスワードを送信するシステムを使っていないか
  • 「慣習だから」という理由だけでPPAPを続けていないか
  • 取引先が求める場合は、より安全な代替手段を提案できるか

PPAPは「やっている感」があるだけで、実質的なセキュリティはほとんど確保できていません。ファイルを安全に送るために、今日から代替手段への切り替えを検討してみてください。