脱PPAPとは

PPAPとは「Password付きZIPファイルを送ります」、「Passwordを送ります」、「Angouka（暗号化）」、「Protocol（プロトコル）」の頭文字をとった略語です。一般的にPPAPの廃止を脱PPAPと表現します。資料などをZIPファイルにし、パスワードをかけて添付ファイルとしてメールで送信、別途パスワードを送る手法のことで、セキュリティリスクが高く、問題視されるようになりました。

脱PPAPが注目される理由と時代背景

PPAPの問題点（セキュリティリスク）

PPAPの最大の問題点は、セキュリティリスクの高さです。ZIPファイルにパスワードをかけるだけでは、マルウェアの侵入を防ぐことができません。また、パスワードを別のメールに分けても同じ経路で送信することになるので、第三者に漏洩する危険性もあります。これにより、情報漏洩のリスクが高まり、企業の信用を損なう可能性があります。ZIP暗号の脆弱性やメール盗聴リスクが指摘されており、Gmailの外部メールTLS暗号化率が96～98%※に達する一方で、PPAPの限界が顕在化しています。
※参考：Google透明性レポ―ト

国内外企業で進む脱PPAPの流れ

国内外で進む脱PPAPの流れは、セキュリティ強化の一環として注目されています。日本国内では、2020年の内閣府・デジタル庁の廃止宣言を起点に、多くの企業が脱PPAPに向けて動き出しました。文部科学省も2022年1月以降、PPAPを廃止しました。 海外でも同様に、より安全な情報共有手段への移行が進んでいます。クラウドストレージや暗号化メール、セキュアファイル転送サービス、チャットツールなど、さまざまな代替手段が検討されています。また、中小企業では大企業と比較してやや導入が遅れています。これらの動向を把握し、自社に最適な手法を選定することが重要です。

脱PPAPのための代表的な代替案4選

この章ではPPAPに代わる代表的な代替案を4つ紹介し、それぞれの特徴やメリットを詳しく解説します。それぞれの特徴を理解し、自社にあったサービスを検討してください。

クラウドストレージを活用したファイル共有

暗号化メール（S/MIME・TLS）の利用

暗号化メールは、S/MIMEやTLSといったプロトコルを用いて、メールの内容を暗号化し、第三者による不正なアクセスを防ぎます。S/MIMEは、メールの送信者と受信者の間でデジタル署名を行い、メールの改ざんを防止します。一方、TLSは、通信の暗号化、送信者（サーバー）の認証、データの改ざん防止という3つの機能を提供します。これにより、機密情報を含むメールの安全性を確保し、情報漏洩のリスクを大幅に低減します。

セキュアファイル転送サービスの導入

セキュアファイル転送サービスは、大手ベンダーが提供するBtoBソリューションで、企業間のファイル転送を安全に行うための手段です。これらのサービスは、ファイルの暗号化や転送ログの記録、アクセス制御などの機能を備えており、セキュリティを強化します。また、ユーザーインターフェースが直感的で使いやすく、導入後の運用負担を軽減します。

チャットツールの活用（Slack・Microsoft Teams）

チャットツールは、SlackやMicrosoft Teamsなどのプラットフォームでファイル共有を行い、リアルタイムのコミュニケーションを可能にします。権限管理と監査ログ機能により、セキュリティを確保し、緊急時の迅速な共有を実現します。

各代替手段の比較表と選び方

脱PPAPの代替手段を選ぶ際には、コスト、運用負担、セキュリティのバランスが重要です。以下では、各代替手段の特徴を比較し、自社に最適な選択をするためのポイントを提供します。具体的な比較表を通じて、どの手段が自社のニーズに最も適しているかを判断材料になります。

代替手段	コスト（初期/ランニング）	運用負担	セキュリティレベル	適したシーン
クラウドストレージ (Box/OneDrive)	低/中	低	高（暗号化・アクセス制御）	日常ファイル共有、バージョン管理が必要な場合
暗号化メール (S/MIME/TLS)	中/低	中	最高（通信・内容暗号化）	機密メール中心の業務、専門知識がある場合
セキュアファイル転送 (クリプト便)	中/中	低	高（ログ記録・ワンタイム）	BtoB大容量転送、金融業界
チャットツール (Slack/Teams)	低/低	低	中高（権限管理・ログ）	リモートチーム、リアルタイム共有

自社に最適な脱PPAP手法の選定ポイント

運用フローの変化と現場負担の考慮

脱PPAPを実施することで、運用フローには変化が生じます。従来のZIP＋パスワード方式から、クラウドストレージや暗号化メールへの移行は、現場の負担を軽減します。例えば、ファイル共有の手間が減少し、セキュリティリスクも低減されます。しかし、新しいシステムへの適応には一定の時間が必要です。現場の声を反映しつつ、スムーズな移行を目指すことが重要です。

社員教育とITシステムとの連携

新しいセキュリティ対策を導入する際には、社員教育が欠かせません。脱PPAPに伴う新しいツールやプロセスを理解し、適切に運用するためには、全社員がその重要性を認識する必要があります。また、既存のITシステムとの連携も考慮しなければなりません。システム間の互換性を確保し、効率的な運用を実現するための教育プログラムを設計することが必要となります。

まとめ

脱PPAPを先送りすることは、情報漏えいのリスクを増大させる可能性があります。特に、取引先からの信用低下や、セキュリティ監査での指摘が増えることが懸念されます。PPAPはZIPファイルにパスワードをかけて別メールでパスワードを送信する方法ですが、パスワード漏洩やマルウェア侵入のリスクが高く、現在も中小企業で被害が続いています。クラウドストレージや暗号化メール、セキュアファイル転送サービス、チャットツールなどの代替手段を導入することで、情報の安全性を高めることが可能です。これにより、業務効率の向上やセキュリティ監査の通過率向上といった効果が期待できます。将来的なリスクを回避し、企業の信頼性を高めることができます。

富士ソフトの脱PPAP対策サービス「ULEXIT（ウレキサイト）」

「ULEXIT」は、情報システム部門のニーズを徹底的に追及した、メール添付ファイル分離配送サービスです。添付ファイル付きメールの送受信手順を極限まで軽減し、簡単導入・即時運用を実現します。送信メールや監査証跡等の情報収集・可視化・分析により運用も万全です。送信者・受信者・管理者の全員が手間をかけずに添付ファイル付きメールのセキュリティ強化を実現します。情報システム部門の方の声を聞いて、本当に必要な機能だけを厳選することで、使いやすさとセキュリティを両立しました。

※記載の会社名、製品名は各社の商標または登録商標です。