来年から強まる?「PPAP」への風当たり。PPAPから脱却するためのあれこれについて

2020/12/16


取引先との契約書はじめ業務上センシティブな情報のやり取りにあたっては、普段何気なくやっている習慣があります。
暗号化して圧縮したデータを1通目に送って、2通目のメールでパスワードを知らせる方法です。

管理部門からのお達しでは「セキュリティ上の理由で」と聞いていますが、実際にセキュリティ効果があるのかよく分からないし、かつ面倒、でも会社の規則だからと仕方無く続けている方は多いことでしょう。

また会社の上層部も、専門家の指導によってつくった規則には触れにくい事情があって、関係者全員が「本当にこのやり方でいいのかな?」と胸の内にしながらも「あえて触れない」のが大人の嗜みとされています。

しかし、この習慣を続けているといよいよ世間の目が冷たくなる、という事案が起こりました。

 

そもそもPPAPって何?

PPAP(ピーピーエーピーと読む)とは、電子メールの送信者が暗号化した圧縮ファイルをメールに添付して送ったあと、2通目のメールでパスワードを送ることを指します。

(P)パスワード付き暗号化ファイルの後に
(P)パスワードを送って
(A)暗号化する
(P)プロトコル

という造語で、実際には「セキュリティ効果など殆どない、無駄な施策」という揶揄を込めて名付けられました。

筆者の取引先でもPPAPの普及度が高く、この記事の読者も経験あろうかと思います。
いまや日本全土に広まっている習慣だと言えるでしょう。

 

PPAPを内閣府で廃止すると発表

さて事案は先月の11月17日のこと。
平井デジタル改革担当大臣が「霞が関でのPPAP廃止」を宣言しました。

PPAP廃止を巡っては、政府の意見募集サイト「デジタル改革アイデアボックス」でも最も評価が高く、国民の総意を汲んだ格好。
次いでPPAPの代替手段を同サイトで募集する方針を示したのです。

 


 

JPDECは、従来からPPAPは推奨していないと公表

一方、PPAPが広まった背景としてPマークの認証制度が影響していると言われています。
その総本山がPマーク認証団体であるJPDEC(日本情報経済社会推進協会)です。
政府の発表を受け、JIPDECには問い合わせが多数寄せられたとのこと。そのJPDECから以下の見解が公表されました。

 

メール添付のファイル送信について(11月18日)

この発表を受けて、ネット上では歓迎の声があがる一方で、
「PPAPの総本山だと思われていたJPDECが、そもそもそんなことは推奨してないとは、何と冷たい手のひら返し!」
と驚きの声が上がり、一時騒然となりました。
 

脱PPAPの具体策は何か?

政府機関でPPAP廃止が打ち出された以上、「脱PPAP」への機運が高まり、従来のやり方を続けていると風当たりが強まることが予想できます。
では、どのような具体策があるのでしょうか?

 

1.ZIP暗号化のまま、適切にPPAPを運用する

現状のPPAP運用の問題点は、(1)パスワードを同一の経路で続けて送ってしまう、(2)暗号化したファイルをメールで送る、の2点にあります。まず(1)に関してZIP暗号化を維持したまま、PPAP運用のセキュリティを高めるには「メール以外の経路で伝達する」のが現実的です。しかし(2)に関しての課題は残ります。暗号化したファイルは、中身が何であるのか解析ができないため、受け取る側はなりすましなどのリスクにさられることになります。

 

2.メールの通信経路を署名・暗号化する

S/MIMEという暗号化技術と電子署名を使ってメールを送受信する方式を使います。
主に金融機関のようなセキュリティが重要なメールの送受信で採用されているものです。
間違いなく送信者本人からのメールであることを受信者が確認することができ、送信内容も暗号化された状態で受け渡しができます。

この仕組みを使えば安全にファイルを送信できますが、送る相手の方が、この方式に対応できる環境を持ってなければ何もできません。
ということから現実的には選択肢としては難しいかも知れません。

 

3.クラウドストレージサービスを使う

こちらはそもそもメール以外の経路を使う方法です。
まず送りたいファイルをクラウドサービス上に置き、相手先にURLリンクを送ります。
相手先はそのリンクから認証を受けた後にファイルをダウンロードする仕組みとなります。
この方式であれば相手先の認証を維持しつつ、もし誤送信に気付いた場合はリンクを無効にすることで情報流出を防止できます。

 

クラウドストレージサービスのあれこれ

このように見ていくと企業ユーザーが一番取っつき易い筆頭はクラウドストレージサービスでしょう。
さて利用にあたって気になるのは、送りたい相手がサービスの無料会員である場合です。
そこで筆者の知見の範囲で、代表的なサービスと特徴についてまとめてみます。

 

1.Dropbox

Dropboxの無料会員との共有は無料分(2GB) までが上限です。
アップロードする側が2G以上の情報を相手と共有したい場合でも、無料会員が受け取れる情報サイズは2G までとなります。
個人で使うには申し分ないですが、エンタープライズ用途においては、後発サービスが従来の課題を克服する形で登場しているため、ややかすんで見えるようになりました。
ただ利用者も多く長年支持され続けている良いサービスだと思います。

【参考料金】1,250円/ユーザあたり月額(Standardの場合) ※5TB利用可

 

2.Google Workspace(旧G Suite)

相手が無料会員の場合、無料分としての15Gが最初の壁になります(無料会員側で課金すれば増量可能)。
Dropboxとは逆で、アップロードした側の容量が使用されてしまうことに要注意。
とりあえず共有して、使わなくなったら消すという感じで使うのでしたら、ちょっと連携したい資料があるとか、スポット的な用途では使いやすいかも知れません。

【参考料金】1,360円/ユーザあたり月額(Business Standardの場合) ※2TB利用可

 

3.Sharepoint

Microsoft 365を契約せずにSharePoint単独の契約も可能。
また同じMicrosoftならOne Driveというサービスもあります。
いずれもユーザビリティが独特のため使いこなせるようになるには慣れが必要です。

【参考料金】1,090円/ユーザあたり月額(SharePoint Onlineの場合) ※1~5TB利用可

 

4.BOX

BOX未加入者ともコラボレーションしやすく、付与できるアクセス権限も豊富です。しかも容量無制限。
価格は相対的に高いですが、使い勝手や機能、セキュリティ強度はこの中では最強レベルです。

【参考料金】3,000円/ユーザあたり月額(Business Plusの場合) ※容量無制限

 

以上、ざっと簡単にですがご紹介してみました。

なおクラウドストレージサービスとはやや趣が違いますが、チャットツールを使ってコラボレーションする例も最近は増えています。
これも一つのケースとして検討に値するでしょう。

ただ筆者が思うに、PPAPのようなやり取りは、お互いの普段の環境のまま(Eメール送受信ができればOK)でやり取りできていたことが普及した理由の一つだったと思います。

今後、そのやり方を変えるのであれば「環境の差を埋める」という小さな階段を上がることを、こちら側かあちら側のどちらかが負担しなければなりません。相手(自社が取引する可能性がある全ての相手)から見たときに心理的なハードルが低い選択、というのを検討材料のひとつとしてはと思います。

この記事を書いた人について

谷尾 薫
谷尾 薫
オーシャン・アンド・パートナーズ株式会社 代表取締役
協同組合シー・ソフトウェア(全省庁統一資格Aランク)代表理事

富士通、日本オラクル、フューチャーアーキテクト、独立系ベンチャーを経てオーシャン・アンド・パートナーズ株式会社を設立。2010年中小企業基盤整備機構「創業・ベンチャーフォーラム」にてチャレンジ事例100に選出。