PPAPとは

PPAPとは、「ファイルを安全に共有するために考えられた手法」に対する日本語の造語です。具体的には、以下の手順を指します。

①電子メールにパスワード付きのZIPファイルを添付して送信する
②後から別のメールで、そのZIPファイルの解凍パスワードを送信する

これらの頭文字をとって、PPAPとしています。

従来、多くの日本企業ではPPAPが「セキュリティ強化に効果がある」と考えられ、慣習化していました。しかし現在、PPAPにはセキュリティ対策としての効果は期待できないことや安全性が低いこと、むしろセキュリティ的な多くの問題が指摘されており、「脱PPAP」として廃止の動きが高まっています。

PPAPが発案された当時は、以下のようなメリットがあると考えられていました。

1. メールを2回に分けて送信することで、宛先を間違えて送信した場合でもファイル流出が防止できる
2. 片方のメールが外部に流出したとしても、2通に分けているため、どちらかのメールが無ければパスワードがわからずファイルが流出しない
3. 電子メールを利用するため、専用システムなどの導入が不要

しかしこれらは、現在では特にセキュリティを高める効果はなく、むしろセキュリティリスクを高め、場合によってはマルウェアを拡散してしまうおそれもあることなどがわかっています。そのためPPAPを利用しないよう国も推奨しており、これを「脱PPAP」と呼び2020年頃から話題となりました。

PPAPの主な問題点は以下のとおりです。

【問題点1】添付ファイルつきメールの脆弱性の問題

1. 添付ファイル付きの電子メールは、エンドポイントセキュリティシステムなどをすり抜けてしまう
2. 上記から、特にEmotetなど添付ファイルにマルウェアを仕込み感染させるタイプのサイバー攻撃には対策にならない
3. 添付ファイルを確認して開封するという手間が発生するため、人がその添付ファイルの安全性を確認しなければならず、ヒューマンエラーを引き起こしやすくなる

【問題点2】ZIPファイルの脆弱性に対する懸念

1. パスワードをかけ圧縮したZIPファイルは安全性がそもそも高くない
2. ZIPファイルのパスワード解析は簡単にできてしまうため秘匿性が低い

【問題点3】生産性の低下を招く

1. 一度のやりとりで二度の電子メール送信が必要なため、必然的に従業員の手間が増え、生産性が落ちる

【問題点4】根本的な手法そのものの問題

1. 別のメールから送信することを推奨しているが、現実には多くの場合、同じメールアドレスからファイルとパスワードを2通に分けて送っているだけのことが多く、安全性の担保にならない

2024年現在までの、PPAPに関する動きはおおむね以下のとおりです。

1. 2020年11月
   国民からのPPAP廃止意見を受け、平井卓也デジタル改革相（当時）が中央省庁でPPAPを廃止する方針を示す
2. 2021年1月
   日立製作所がPPAPの禁止を表明。これ以降、多くの日本企業が追随

一方、PPAPの利用を継続している日本企業が多いことも、現実問題として挙げられています。そのためセキュリティに問題がある企業もいまだ多数あるのが現状です。

PPAPに代わる手段として、以下のようなものが挙げられます。(3)の国産オンラインストレージによるファイル受け渡しが最も安全といえます。

（1）添付したいファイルのアプリケーション側でパスワードをかけ、ファイルをZIP化せずに送信する

コストをかけずにすぐ実行可能。ただし、パスワードを手動で送らなければならず、工数が増えること、人的ミスが起こるおそれがある。パスワードを後送する手間は変わらず、パスワードが盗まれるリスクもある。

（2）ビジネスチャットツールを使って社内外の関係者とファイルをシェアする方法

最近になって一般的になっている方法。ただし、相手も同じツールを使っていることが前提となる。不特定企業とのやりとりには現実的ではない。またこれも、パスワードを後送する手間がかかること、パスワードが盗まれるリスクは同じ。

(3)オンラインストレージを利用し送りたいファイルをクラウドにアップロードし、ダウンロードするためのURLを相手に送る方法

安全にファイルの受け渡しが可能。サービスによってはパスワードを異なる経路で送ることができる。海外製より国産が安心。