PPAPとは？
問題点や禁止の理由、代替案まで解説

UPDATE : 2022.10.28

PPAPとは、データ共有時に暗号化したパスワード付きzipファイルをメール添付し、パスワードを別メールで送信するセキュリティ対策。従来、多くの企業がこの方法を採用してきました。しかしながら、現在ではセキュリティ対策方法として不十分であると指摘されています。本記事では、PPAPが広まった背景や抱える問題点を明らかにし、脱PPAPに向けての代替案までを解説します。

PPAPとは？

PPAPとは、暗号化したパスワード付きzipファイルをメールに添付し、その後解凍用パスワードを別メールで送信するセキュリティ対策の方法です。主に社外の取引先にファイルを共有する際の、企業間のセキュリティ対策手段として浸透してきました。現在では問題点が指摘され、PPAPを禁止する企業が増えています。

PPAPは、「P：Passwordつきzip暗号化ファイルを送ります」「P：Passwordを送ります」「A：Aん号化（暗号化）」「P：Protocol（プロトコル）」の略語です。2019年、プライバシーマーク制度（Pマーク制度）を運営する日本情報経済社会推進協会（JIPDEC）に所属していた大泰司 章氏（現PPAP総研代表）が命名し、問題提起されました。ピコ太郎さんの曲で流行した「PPAP」が「プロトコル※っぽい」と話題となり、比喩に用いられたのが由来といわれています。

※IP、HTTPなど通信上の手順を示すIT用語

その後、2020年に政府がPPAP廃止の方針を発表。コロナ禍によりテレワークの浸透が進み、ファイル共有の機会が増えたことが契機となり、PPAP問題に注目が集まっています。

PPAPが広まった背景

これまで公的機関がPPAPを推奨した事実はありません。それにも関わらずPPAPが広まった背景にあるのは、誤解があったためといわれています。2005年、個人情報保護法施行によりプライバシーマーク取得の動きが企業に拡大しました。この動きに合わせて増加した一部のプライバシーマーク取得のコンサルタントが、総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」を参考に規程を作成。しかしながら、同ガイドラインに記された「パスワードはメール以外の方法で送ること」など、一部の認識が不十分なままだったといわれています。

こうして作成された規定が企業に広がり、不完全なセキュリティ対策であるPPAPが定着してしまったのです。

PPAPの問題点、禁止される理由

ここまで浸透してしまったPPAPが禁止される理由として、問題点を4つに分けて解説します。

zipの暗号強度が脆弱である

zipの暗号化は必ずしもセキュリティ強度が高いとはいえません。暗号化方式には以下、2つの種類があります。

• ●ZipCrypto（Standard ZIP 2.0）
• ●AES-256

AES-256はアメリカ政府が標準で使用する強度の高い暗号です。一方、ZipCryptoは安易なパスワードを設定すると、短時間でパスワードを突破されてしまう脆弱性を抱えています。多くのOSで採用されている暗号化方式はZipCryptoであるため、問題視されています。

メール盗聴のリスクがある

メールを盗聴されるリスクを解消できない点も問題といえます。PPAPの仕組みは暗号化したzipファイルを送ったのちに、同じ通信経路を介してメールでパスワードを送るのが一般的です。この通信経路が攻撃されれば、ファイル・パスワード共に盗聴されてしまい、セキュリティ対策にはなりません。

マルウェア感染のリスクがある

PPAPが禁止される理由として、データの抜き取りや破壊攻撃をするマルウェア感染のリスクが高まる点もあります。セキュリティ対策ソフトを導入している場合、通常のzipファイルは解凍されウイルスチェックが行われます。しかしながらソフトによっては、パスワード付きzipファイルの解凍ができず、ウイルスチェックを回避してしまう恐れがあります。

2020年にマルウェア「Emotet」が流行した際には、パスワード付きzipファイルからの感染を狙い、日本の企業が標的にされました。Emotetの脅威は一時収束しましたが、同様の手法での攻撃が今後もないとは言い切れません。

受信者側の業務効率が低下する

PPAPはセキュリティリスクに留まらず、受信者側の業務効率の低下も問題だといわれています。パスワード付きzipファイルの受信者は、パスワードのメールを開き、入力して解凍する手順を踏まなければなりません。ひと手間ではあってもやりとりの頻度が高ければ、負担は大きくなります。送信者がパスワード送付を忘れてしまえば、受信者にとっては待ち時間になり、催促する手間も発生するでしょう。また、外出先などからスマートフォンで確認する際には、ファイルが開けない可能性も。受信者側の負担にも考慮すべきです。

PPAP廃止への動き

問題点が多く利用が疑問視されてきたPPAPを廃止しようと、現在政府や企業の間で「脱PPAP」の動きが広がっています。

政府の動き

2020年11月、平井卓也デジタル改革担当大臣（当時）が中央省庁で「自動暗号化ZIPファイルを廃止」する方針を示し、内閣府および内閣官房でPPAP廃止を表明しました。国民から意見を募るWebサイト「デジタル改革アイデアボックス」で、「脱PPAP」が投票数1位の支持を得た結果を反映したものです。平井大臣の記者会見は大きな話題となり、2022年1月には文部科学省でもPPAPを廃止すると発表。また、脱PPAPを宣言する民間企業が続くなど大きな影響を与えました。

企業の対応

政府の発表を契機に、民間企業においてもPPAPを禁止する流れが加速しています。当NECグループではPPAPを利用していません。そのほかの企業では、2020年12月にはクラウド会計ソフトのfreee、2021年12月には日立グループ、2022年2月にはソフトバンクなどが廃止を表明しています。今後も企業におけるPPAP廃止への動きは続いていくとみられます。

PPAPの代替案　効果的な対策方法は？

脱PPAPへの流れが加速する中、代替案の模索が不可欠となってきました。「ファイルを暗号化せず、そのまま送付」「ダウンロードリンクを作成する」などの手段も考えられますが、メールが盗聴されてしまえば意味がありません。代替案となり得る対策方法を具体的に見ていきましょう。

ファイルとパスワードを別の通信経路で送る

ファイルとパスワードを別々の通信経路で送る方法は、今ある環境でもすぐに実現できる代替案として有効です。たとえば暗号化zipファイルをメールで送信し、パスワードはチャットや電話で受信者に知らせます。攻撃者はzipファイルとパスワードの両方を入手することが困難となり、安全性が高まります。

しかしながら、暗号化zipファイルのメール添付は、Emotetなどの攻撃対象となるリスクが残ります。別途、PC側のマルウェア対策が欠かせないでしょう。また、電話など別の方法でパスワードを知らせる場合は、受信者側の負担についても考慮する必要があります。

S/MIMEでファイル送信する

「S/MIME」（Secure / Multipurpose Internet Mail Extensions）でメール自体を暗号化する方法も代替案のひとつです。暗号化されているため、万が一盗聴された場合でも内容の解読はできません。また、電子署名を用いることで送信者の身元を証明し、なりすましや改ざんを防止できます。

ただし導入のハードルとして、送信側・受信側の双方がS/MIMEに対応している必要がある点が挙げられます。

ファイル転送サービスを利用する

ファイル転送サービスもPPAPの代替案として、気軽に取り入れやすい手段です。ファイル転送サービスを利用すると、インターネット上でファイルの送受信ができます。送信側はファイルをアップロードし、ダウンロード用URLを取得。ダウンロード用URLを受信側に伝え、受信側がURLへアクセスしダウンロードする仕組みです。無料かつ登録が不要なサービスも存在します。

しかし、ダウンロードできる期間が限定されていたり、URLを誤送信した場合にアクセスされてしまったり、不正アクセスを検知するためのログ管理機能がないサービスがあったりと、いくつかの懸念点があります。利用する際はセキュリティ面に考慮し、必要な機能の有無を確認する必要があるでしょう。

クラウドストレージを利用しファイル共有する

ファイルをクラウドストレージ上に保存し共有する方法は、先述した文部科学省でもPPAPの代替案として採用されています。クラウドストレージとは、インターネット上にファイルをアップロードして格納し保存およびダウンロードできるサービスです。

パスワードの設定が不要でアクセス制限ができるため、共有可能な人や範囲を容易にコントロールできます。受信者にファイルの保存先URLを知らせるだけで済むため、生産性を低下させません。クラウド上でファイルの編集ができるサービスもあり、逐一共有する手間の削減にもつながります。

ただし導入するには、初期費用やランニングコストが必要になる場合もあります。また、サービスによりアクセス権限の設定の有無や認証方法のセキュリティレベル、容量の大きさなどに違いがあります。

PPAP代替案は、クラウドストレージが有効

PPAPの代替案は複数ありますが、「セキュリティの強度」と「生産性向上」を両立させるにはクラウドストレージが最も効果的な対策方法です。ただし無料版のクラウドストレージは手軽に利用できるものの、容量に限度があったりアクセス権限の設定が簡易的だったりと、憂慮すべき点が残ります。

企業で利用するには、セキュリティ強度が高く、容量が十分な有料版のクラウドストレージが適しています。ここではPPAPの代替案としてNECソリューションイノベータの情報共有プラットフォームを紹介しましょう。

セキュアな情報共有プラットフォーム
PROCENTER/C（プロセンターシー）

NECソリューションイノベータの「PROCENTER/C（プロセンターシー）」は、高いセキュリティを確保した情報共有プラットフォームです。社内の部門間での共有はもちろん、社外の取引先やテレワーク環境からでも安全かつスムーズにアクセスが可能です。

PROCENTER/Cには次のような特徴があります。

• ●多要素認証のためログイン時のセキュリティレベルが高い
• ●ファイルへのアクセス権限を細やかに設定可能
• ●ファイルの操作履歴が残るため情報漏洩のリスクが回避できる
• ●ファイルのバージョン管理が可能
• ●大容量ファイルの送受信がスムーズ

PROCENTER/Cは、脱PPAPに適した情報共有プラットフォームです。