サイト内の現在位置

メールの”限りなく安全な”機密情報の送り方3stepを解説

お役立ちコラム

「メールでの機密情報の送り方を知りたい」
「機密情報をメールで安全に送るにはどうすればいいの?」

メールでできる限り安全に機密情報を送る方法は、下記の通りです。

  • メール送信前のチェックルールを確立する
  • メール自体を暗号化する
  • 通信経路を暗号化する

上記に対応した上で送信すれば、機密情報をある程度安全に送ることができます。

ただし、それはあくまでできる限り安全に送る方法であって、「間違いなく安全にメールで機密情報を送る方法」は存在しません。

なぜなら、次の3つのリスクは依然として残るためです。

  • メール誤送信リスク
  • 機密情報の複製・拡散リスク
  • ハッキングリスク

「これなら安全なのでは?」と従来より信じられているパスワードを別送するという送り方についても、セキュリティ対策として不適当であるとの政府見解が出ています。

そこで本記事では、下記について解説します。

この記事を読むとわかること

  • メールでできる限り安全に機密情報を送る方法
  • それでもメールでの機密情報のやり取りに危険が残る理由
  • メールに代わる機密情報の安全な送り方

メールという現行のコミュニケーション手段を用いながら機密情報の受け渡しの安全性を高める方法をお伝えするだけでなく、メールという手段に潜在的に存在するリスクを回避する代替案もご紹介します。

お読みいただければ、これまで通りにメールで機密情報を送る際のより望ましい送り方がわかってリスクを低減できるだけでなく、目指すべきセキュリティ体制も見えてくるはずです。

ぜひ最後までお読みいただき、貴社の情報セキュリティ体制の構築・強化にお役立てください。

1. 【前提】「パスワード保護ZIPファイル+別送パスワード」によるメールでの機密情報の送り方は安全ではない

まず大前提としてお伝えしておきたいのは、メールでセキュアにデータを送る方法として長年親しまれている(?)いわゆる「PPAP*」は、実は安全ではないということです。

*PPAP:ZIP圧縮したデータをパスワードで保護したものをメールに添付して送信し、その保護を解除するのに必要なパスワードを別のメールで続けて送信するというデータの送り方。
「Password付きファイルを送ります」「Passwordを送ります」「Aンゴウ化(暗号化)」「Protocol(プロトコル)」の頭文字をとった略語。

広く知られているこの方法は、セキュリティ対策として不適当であると2020年に内閣府が発表して以来、官公庁だけでなく大手を中心に一般企業でも利用廃止の動きが進んでいます。

[参考]new window 平井内閣府特命担当大臣記者会見要旨 令和2年11月24日(内閣府)

要するに有効性が疑問視されているということですが、その理由は次の3つです。

理由 詳細
1. パスワードもまとめて盗み見られてしまう可能性が高いから ZIPファイルもパスワードも同じネットワークを使って送受信されるため、両方とも盗み見される確率が高い
2. ZIPファイルのパスワードは強固ではないから ZIPファイルのパスワードは、何度入力を間違えてもロックがかからないため、理論的には時間さえかければ突破可能
(近年の高性能な無料解析ツールを使えば時間もかからない)
3. ウイルスチェックができないから パスワード付きZIPファイルはセキュリティソフトによるウイルスチェックが機能しないため、マルウェア*感染リスクが上がる

*マルウェア:コンピュータやプログラムに有害な動作を行わせる意図で作成された、悪意あるソフトウェアやコード

PPAPでのデータの受け渡しは近年ではかなり減ってきているとはいえ、一種の慣習としてまだ根強く残っている部分もあるのが実情です。

実際に、公的研究機関の職員が誤って「送信すべき相手と同姓の人」に宛てて個人情報を含むファイルを送信してしまい、PPAPで送信したにもかかわらず個人情報が流出するという事件も起きています。

(パスワード保護していたのに流出を防げなかったのは、まさに上の表の「パスワードもまとめて盗み見られてしまう可能性が高いから」のケースであったためです)

「ZIPファイルはスマホの標準機能では開けない」という事情もあった

ZIPファイルをスマホ上で開くには、それ用のアプリをインストールする必要があり、標準機能のままでは開けません。

外出先でスマホから内容を確認したいというニーズも高まりつつあった当時、こうした利便性の低下を問題視する向きもあり、PPAPの廃止を後押しした側面もあったようです。

2. メールで機密情報をできる限り安全にやり取りするための送り方3step

ビジネスにおけるデータの受け渡し方法としてかつては広く採用されていたPPAPの危険性が指摘されていることはわかっていても、メールというツールはやはり便利で使いやすいです。

そこで本章では、メールで機密情報をやり取りする際の安全性をできる限り高めるための下記の3stepをご紹介します。

ただし、ここでご紹介する方法はあくまで「メール以外の方法で送ることが現時点ではできない」という方向けであり、決しておすすめするものではありません。

既にお伝えしたように、メールを使った送り方自体にリスク(詳細後述)があり、本来であればメール以外の送り方で送るべきだからです。

現時点で代替案が難しいという方にとっての次善策として受け止めてください。

2-1. 【STEP1】メール送信前のチェックルールを確立する

添付ファイル付きメールを送信する前に行うチェックについてのルールを決めておき、それを各従業員が実践することで、機密情報をメールで送る際のリスクをいくらか低減できます。

日常業務におけるメール送信は基本的に手作業であり、それだけに誤送信などのうっかりミスがつきもの。送信前のチェックをルール化すれば、そうしたミスを減らせるはずだからです。

ルールの例としては、たとえば次のようなものが考えられるでしょう。

  • 送信ボタンをクリックする前に、宛先を読み上げて再確認する
  • 宛先欄のメールアドレスを別の従業員に確認してもらってから送信する
  • 添付したファイルを一度自分でも開いてみて、送るつもりのデータに相違ないか確認してから送る

何度チェックしても人の手による確認であるため、ミスの根絶とはいきませんが、ルールを作ることで一定のミス防止効果は見込めるはずです。

2-2. 【STEP2】メール自体を暗号化する

メールを暗号化することによって、解読や改ざんのリスクを低減できます。

一番シンプルなメール暗号化方法は、メーラー(Outlook、Gmail等)がサポートしている暗号化機能を使って行うものです。

[参考]
new windowGmailでのメールの暗号化について
new windowOutlook.comの暗号化されたメッセージについて説明します

専用ソフトを使って暗号化するという選択肢もあり、その場合は暗号化以外にも様々な搭載機能を利用可能なため、セキュリティ強化はもちろん、業務効率化にも寄与するでしょう。

従業員一人ひとりは意識していなくても、メール本文や添付ファイルを送信内容や設定に応じて自動で暗号化するそうしたソフトを、組織全体として既に導入している場合もあります。

暗号化ソフトの導入やよりセキュアな運用方法を検討するにしても、IT部門や他関連部署との連携が必要ですので、まずはIT担当に導入状況などについての確認を取りましょう。

2-3. 【STEP3】通信経路を暗号化する

メールを盗み見されないための対策として、メール自体を暗号化するほかに、メールの通り道である通信経路を暗号化する方法もあります。

TLSやS/MIMEといった暗号化プロトコル(暗号化の手順・規格)を用いますが、この件は前項のメール自体の暗号化以上にIT担当レベルの話となります。

昨今では大半のメールサービスが対応済みですが、まずはIT担当に対応状況を確認しましょう。

フリーWi-Fiは暗号化されていてもリスク高!

機密情報を送る際にフリーWi-Fiを利用するのはリスクが高いため、避けるべきです。

その理由は次の2つです。

  • 接続するのにパスワード入力が必要な回線(=通信が暗号化されている)であっても、パスワードが誰でも見えるところに掲示されていれば、暗号化されていないWi-Fiとほぼ同等リスクである
  • 正規のフリーWi-Fiに偽装した「なりすましWi-Fi」が紛れている可能性がある

機密情報の受け渡しを行いたいときには、安全のため外出先で受送信はせず、送り手・受け手ともに出社することを強くおすすめします。

3. 安全性を高めてもなおメールでの機密情報のやり取りが危険な理由

できる限り安全に機密情報をメールでやり取りする方法について前章で解説しました。
しかし、繰り返しとなりますが、それはあくまで次善策であり、おすすめするものではありません。

ご紹介したような方法で送るとしても、メールという手段そのものに内在する下記のリスクが残り続けるからです。

  • 誤送信を完全には防げない
  • 「流出させるわけにはいかない情報」が複製・拡散される
  • ハッキングリスクはなくならない

メールという手段に伴うリスクを正しく認識し、今後の運用方針に活かすために、機密情報のメールでのやり取りをおすすめしない理由である上記のリスクを以下で確認しておきましょう。

3-1. 【理由1】誤送信を完全には防げないから

送信前に二重三重のチェックを行おうとも、誤送信防止ソフトを導入しようとも、誤送信の可能性はゼロにはなりません。

実際に、一定以上の情報セキュリティ対策を講じていると想像されるIT企業や政府機関においても、メール誤送信に起因する次のような情報漏洩事故が発生しています。

事例1【IT企業で取引先氏名2,687名分の漏洩】

システムインテグレーション事業を主要ビジネスとして展開するIT企業で、個人名で登録されていた取引先2,687名分の氏名の漏洩事故が起きました。

原因は、社内システム構築目的で使用したファイルをメール添付し送信する際に、

  • 個人情報が記載されているシートがファイル中に含まれていることに気づかなかった
  • 宛先のメールアドレスを誤入力していることに気づかなかった

という二重のミスでした。

事例2【政府機関で内部資料や個人情報675名分の漏洩】

厚生労働省で、岸田総理大臣(当時)の答弁案や未公表の内部資料、民間人や行政職員計675名の個人情報(氏名・電話番号・メールアドレス)が外部に流出しました。

原因は、同省職員が、誤ったアドレスが登録されたメーリングリストを利用してメール送信していたことでした。

休日連絡用のために私用アドレスを追加しようとした職員が、誤ったアドレスを入力・登録してしまいました。しかし、同私用アドレス宛に届いた受信メールを確認する機会がなかったため、同職員は誤登録に気づかず、結果として約半年間もの間、誤登録されたアドレス宛にメールが送られ続けました。

上記の2つの事例はいずれも2024年に発生したものであり、「情報セキュリティというものが今ほど意識されていなかった頃の話」ではありません。

メールそのものや通信経路を暗号化していれば、万一宛先を取り違えても深刻な情報漏洩に至らずに済む可能性はありますが、仮に漏洩が一切なかったとしても。誤送信という行為自体が信用低下を招きます。

メールで機密情報を送ろうとする限り、誤送信リスクはどうしてもついて回るのです。

3-2. 【理由2】「流出させるわけにいかない情報」が複製・拡散されるから

メールに添付して送るということは、もともと手元にあったデータが送信先の手元にも複製されるということに他なりません。

「流出させるわけにいかない情報」の流出リスクを抑えるには、「情報の出所をできる限り少なく留めておく」ことが有効ですが、メール添付によって複製・拡散されてしまいます。

大切に保護しなければならないものが増えれば増えるほど手が回らなくなり、隙が増え、守り抜くのが大変になっていくということです。

情報漏洩の芽を摘んでおこうと、送信先の相手に「以前送ったデータの削除をお願いします」と依頼したところで、本当に削除してもらえるかどうかは相手次第。

一度外に出てしまったデータの独り歩きを止めることはできません。
メール添付という方法は、そうしたデータの独り歩きを否応なしに発生させるということです。

3-3. 【理由3】ハッキングリスクはなくならないから

どれだけ対策を講じても、ハッキングされるリスクはなくなりません。
1. 【まず大前提】「パスワード保護ZIPファイル+別送パスワード」で送るのは安全ではない」でご説明したように、メールで送信する方法には以下のようなリスクがあります。

  • 同じ通信経路上で送る以上、複数のメールに分けたところでまとめて窃取される可能性大
  • ZIPファイルのパスワードはその気になれば簡単に解読可能

暗号化で守りを固めても、何としてでもハッキングしてやろうというハッカーを阻止するのは容易ではありません。

メール添付による受け渡し方法には、常にハッキングリスクが伴うのです。

4. メールに代わる機密情報の安全な送り方

「メールで機密情報を送ろうという考えが危険だということはわかったけれど、では代わりにどんな方法で受け渡しを行えばいいのか?」と思ってしまいますよね。

本章では、そんな疑問にお答えする下記2通りの「メールに代わる機密情報の安全な送り方」をお伝えします。

  • オンラインストレージサービスを利用する
  • 企業間・部門間情報共有プラットフォームを利用する

情報漏洩事故が跡を絶たないどころか年々増加している昨今、メールで機密情報をやり取りすることの危うさは一層増しつつあるといえます。

いかなる方法を採用しようとも、不正アクセスの脅威から完全に逃れることは残念ながらできませんが、上記2通りの解決策がメール添付よりも低リスクであることは間違いありません。

上記の2通りの代替案について以下で解説しますので、今後の機密情報の受け渡し方法を検討するための基礎固めにお役立てください。

4-1. オンラインストレージサービスを利用する

近年、データのやり取り方法の選択肢として急速に一般的になってきているのが、オンラインストレージサービスです。(クラウドストレージとも呼ばれます)

オンラインストレージとは、インターネット上の外部サーバーにデータを保管できるクラウドサービスで、オンラインでデータにアクセスする感覚は社内サーバーのそれに近いといえます。

ただ、データを共有できる範囲が社内に限定されず、取引先などとも共有できるという点が異なります。

主に個人向けの無料のものから、法人向けの有料のものまで幅広くあるため、どれを選ぶか迷ってしまうかもしれませんが、ビジネス利用であれば、やはりセキュリティ性を重視して選ぶのがおすすめです。

具体的には、セキュリティ面については次のような点を目安にして選ぶと良いでしょう。

  • 法人向けを謳っている
  • 自社のセキュリティポリシーの規定と合致している
  • 万全のセキュリティ体制である(例:IPアドレス制限、多要素認証、保存データの暗号化、アクセス権限設定、24時間体制でのシステム監視、ログ管理、等の機能の搭載)

メール添付方式に比べセキュリティ性が高いことのほかに、次に挙げるようなメリットも支持されている理由です。

  • クラウドなので機器のメンテナンス等の手間が不要である
  • インターネット接続できる環境であれば場所を選ばずアクセスできる
  • 大容量ファイルでも気にせずアップロードできる
  • 共有の過程でデータが複製されないので、常に最新版を共有できる

セキュリティと利便性とはトレードオフになる場合が少なくありません。たとえば、過度のセキュリティ対策はデータアクセスをしづらくし、業務効率が落ちてしまう場合があります。

まずはセキュリティ面、それから容量、コスト、操作性といった各種条件でふるいにかけていくのが基本ではありますが、セキュリティと利便性のバランスにも配慮する必要がある点に留意してください。

4-2. 企業間・部門間情報共有プラットフォームを利用する

オンラインストレージサービス同様に、取引先などの社外関係者とのシームレスなデータ共有を可能にするもう一つの選択肢が、企業間・部門間情報共有プラットフォームの活用です。

オンラインストレージサービスの数々のメリットは同じように享受でき、そこに高水準なセキュリティ性が加わるイメージです。

オンラインストレージサービスがシンプルな「共有のデータ置き場」という立ち位置である一方、企業間・部門間情報共有プラットフォームは「法人に特化した安全で高機能な運用基盤」です。

オンラインストレージサービス以上に強固なセキュリティ面に加え、より効率的にデータを管理するための多彩な機能が搭載されていることが多く、「セキュリティ+α」が叶うでしょう。

高度な機能性により「自動でできれば間違いがないのに、手動で行わなくてはならないからミスが発生して情報漏洩につながった」という事態を避けられるという意味でも、一層セキュアであるといえます。

複数あるプラットフォームから自社に最適なものを選ぶには、オンラインストレージサービスと同様に、まずセキュリティ面、続いてコストや操作性などの条件に優先順位をつけながらふるいにかけましょう。

情報共有と文書管理の課題を一挙に解決するPROCENTERシリーズ

機密情報を安全に”共有”できる解決策として挙げた企業間・部門間情報共有プラットフォームの一つとしておすすめなのが、大企業・官公庁にも多数採用されている「PROCENTER/C」です。

社外の相手との機密情報共有の場合には、メールにファイルを添付するのではなくURLを通知する方法を取るため、誤送信による機密情報漏洩リスク減少を目指せます。

(万一間違った相手にメール送信したとしても、相手にアクセス権限がなければ閲覧はおろかデータの存在さえ認識できません)

さらなる安心を実現する次のような機能も搭載していますので、メールでの機密情報送信の不安感を一掃できるでしょう。

  • きめ細かなアクセス権限設定機能(表示・読込・書込・削除)
  • 二次漏えいを防止するファイルダウンロード時の暗号化機能
  • 設定した保管期限に基づき不要文書を削除して安全性を高める自動削除機能
  • 相手がデータを見たかどうかを確認できる授受管理機能 等

上記の他にも下記に挙げるような様々な機能を搭載。利便性を高め、業務効率化に寄与します。

  • 高い拡張性を実現する他システムとのAPI連携機能
  • 探している文書へ容易にアクセスできる高度な検索機能
  • 操作履歴表示機能 等

機密性の高い文書をセキュアに管理したいというニーズに応えるだけでなく、圧倒的な機能性で業務を効率化する「PROCENTER/C」は、情報共有と文書管理の2つを一手に担うプラットフォームです。

なお、クラウド版の「PROCENTER SaaS」も展開しています。

関心を持たれた方は、ぜひお気軽に下記ボタンより資料をダウンロードください。

5. まとめ

▼まず大前提として、「パスワード保護ZIPファイル+別送パスワード」で送るのは、安全な送り方ではない。

▼メールで機密情報をやり取りする際の安全性をできる限り高める方法は、下記の3つの対応を行うこと。

  • メール送信前のチェックルールを確立する
  • メール自体を暗号化する
  • 通信経路を暗号化する

▼上記の方法で安全性を高めてもなおメールでの機密情報のやり取りが危険な理由は、以下の3つ。

  • 誤送信を完全には防げない
  • 「流出させるわけにはいかない情報」が複製・拡散される
  • ハッキングリスクはなくならない

▼メールに代わる機密情報の安全な送り方は、以下の2通り。

  • オンラインストレージサービスを利用する
  • 企業間・部門間情報共有プラットフォームを利用する

本記事が、機密情報の送り方のご検討において、判断材料として役立ちましたら幸いです。

お問い合わせ・ダウンロード