当たり前だった仕組みほど、時代の変化に取り残されがちです。
「問題が起きていないから安心」とは限りません。
記事の説明
金融庁が2025年、金融機関に対し「PPAP(パスワード付きZIPファイル+パスワード別送方式)」の廃止を強く要請したことで、ファイル送付の在り方が改めて問われています。
PPAPは2000年代初頭、メール誤送信や盗聴による情報漏えい対策として広まり、特別なツールを使わずに安全性を確保できる“簡易的な仕組み”として定着しました。しかし、2019年にマルウェア「Emotet」がPPAP形式を悪用した攻撃で大きな被害をもたらしたことを契機に、その脆弱性が顕在化。
添付ファイルとパスワードを同じメール経路で送る以上、盗聴リスクは解消されず、ZIP暗号の脆弱性、ウイルス検査をすり抜けてしまう構造など、根本的な問題が指摘されてきました。
2024年のJIPDEC調査では、いまだ27.1%の企業が「PPAPのみ」を利用しているという結果が示され、脱PPAPが進んでいない実態も明らかになっています。
これを踏まえ、代替の方法として
・クラウドストレージの利用
・Teams/Slackなどチャットツールでの共有
・ファイル転送サービスの利用
・異なる経路でパスワードを伝達する方法
・メール添付を自動でダウンロードリンク化するソリューション
などが挙げられています。
特に「メール添付をダウンロードリンク化する仕組み」は、従来の業務フローを変えずに導入できる点が評価され、企業・自治体ともに採用が増えています。
金融庁は今後の検査やモニタリングを通じ、PPAP慣行の廃止をさらに後押しする姿勢を示しており、業界を問わず、安全で利便性の高いファイル送付手段への移行が求められています。
高村の考え
ペンパイナッポ…とは違うPPAPの話です。
時代が変われば、情報の扱い方も当然アップデートしなくてはいけません。
これまで当たり前のように使われてきたPPAP方式も、技術が進歩し、攻撃手法が巧妙化した今となっては、安全性も効率性も限界に来ています。
特に自治体や中小企業では、「昔からの慣行だから」という理由でPPAPを続けているケースが多いのですが、これは組織のセキュリティを危険にさらすだけでなく、業務効率の面でも大きな損失です。
代替となる手段はすでに複数存在し、その多くは“以前より簡単で安全”になっています。
ツール導入や運用の見直しは一見ハードルが高そうに見えますが、実際には一度切り替えてしまえば業務がスムーズになるケースがほとんどです。
また、情報セキュリティの強化は、コストではなく“組織を守る投資”です。
万が一の情報漏えいは、市民・顧客の信頼を失うだけでなく、金銭的な損害も大きい。だからこそ、時代に合わせて運用方法を見直し、柔軟に対応することが必要だと感じます。
吹田市でも、メールセキュリティや情報管理のアップデートは大きなテーマです。
自治体として市民の個人情報を扱う以上、安全性と利便性の両立を図りながら、時代に即した情報管理の体制を整えていくことが求められているのだと改めて思います。
ちなみに、PPAPの代わりとして、個人的に実務で特に有効だと考えられる代替手段を3つ挙げるとすれば、次の方法が現実的かつ高い安全性を確保できる選択肢だと思います。
1)添付ファイルのダウンロードリンク化(メール連携型ソリューション)
メールにファイルを添付すると、自動的にクラウドにアップロードされ、受信者はリンクからダウンロードする方式。
Microsoft 365 や Google Workspace と自然に連携でき、ID認証やワンタイムパスワードでアクセス制御を行えるため、安全性と利便性のバランスがよいと感じます。
企業側が送信後に「公開・非公開」を切り替えられるため、誤送信時のリスク低減にも効果的です。
2)クラウドストレージ(OneDrive、Google Drive、Box など)
フォルダ共有・リンク共有によってファイルを受け渡す方式。
大容量ファイルも扱いやすく、共同編集やログ管理など機能が豊富なのが強みです。
ただし、権限管理が甘いと情報漏えいにつながるため、設定ルールの徹底が必要ですね。
3)ビジネスチャット(Teams、Slack、Chatwork)での共有
チャットツール内でファイルを送ることで、誤送信リスクを大幅に抑えられます。
相手が同じツールを使っている必要はありますが、リアルタイム性が高く、プロジェクトベースのコミュニケーションには最も向いています。
企業によっては外部連携が制限されている場合もあるため、導入前の調整は欠かせません。
