PPAPの問題点とは？危険性や代替案についても詳しく解説

PPAPにおける問題点

• P：パスワード付きZIPファイルをメールに添付して送付
• P：パスワードを別のメールで送付
• A：暗号化
• P：プロトコル

PPAPとは、上記の頭文字を取って名付けられたといわれており、ファイルを送付する際によく行われていた手法です。パスワード付きZIP自体にパスワードが無いと、セキュリティ製品でファイルの中身を検査できないという問題があります。そのほか、パスワードもメールで送っているので、同様に盗聴されてしまうリスクがあります。

盗み見・誤送信が原因の情報漏えい対策にはなりにくい

PPAPの場合、パスワードを平文をメールで記載するので、直接パソコンの画面を覗き込んで情報が盗み見られるのを防げません。また、誤送信してしまった場合、ファイルを添付したメールと同様にパスワードを記載したメールも送ってしまう可能性が高いです。

送る側も受け取る側も効率が下がりやすい

PPAP方式では、メールを２通送付します。したがって、送る側も受け取る側も２回メールを送ったり、確認したりする作業が発生して効率がよくありません。送る側はパスワードZIPを作成してメールに添付して送付し、その後パスワードが記載されたメールを再度送る必要があります。

受け取る側はパスワードZIPを受け取った後、パスワードが記載されたメールを探して、パスワードを取得する手間がかかります。スマホで受信した場合は、ZIP解凍するアプリをインストールする必要があるかもしれません。

ウイルス感染状況の確認が難しい

パスワード付きZIPファイルがメールで送られてきた場合、セキュリティシステムがウイルスチェックできない場合があります。また、パスワード付きZIPファイルは、セキュリティチェックからスキップされたりします。

それ以外にも、パスワードを解析してチェックする場合でも時間がかかったりで手間です。パスワード付きZIPの中に仕込まれたウイルスが、セキュリティシステムをかいくぐって侵入してくるリスクもあり確認は難しくなります。

ファイルの中身やパスワードを第三者に把握されやすい

パスワード付きZIPファイルの場合、ファイルの中身を解析されたり、パスワードを探し当てられたりするのが難しくありません。低い暗号化強度の場合、パスワードがなくても簡単に解析されてしまいます。パスワードの入力回数も制限されていないので、解析ツールを使えば無制限に試行して突破できるでしょう。

PPAPが使われなくなった理由と流れ

2020年11月17日に平井デジタル担当大臣が会見で、「中央省庁の職員はPPAP方式を使ってはならない」という方針を打ちだしました。これをうけ、プライバシーマーク制度を運営しているJIPDECも「メール添付のファイル送信について」というお知らせで、推奨していないことを明言しています。

また、内閣府のHPでも平井内閣府特命担当大臣記者会見要旨で、PPAPに関する問題が語られています。このように政府関係者や公的機関が問題を指摘したことで、PPAPの問題は一般にも認知されました。

PPAPの問題点における代替案

PPAPの問題点を踏まえたうえで、安全にファイルを送付する代替案を紹介します。

メール以外のツールでファイルを送る

メール以外のファイル転送方法としてクラウドサービスの活用があります。ファイルをクラウド上に配置することで、簡単に共有が可能です。共有の簡易さに加え、アクセスログの管理やダウンロード制限・アクセス権限設定などをおこなうことも可能です。

メール暗号化ソフトを使う

メール暗号化ソフトを使えば、簡単に暗号化したファイルを送れます。受信者側にソフトをインストールするなど特別な対応が必要ないこともメリットです。万が一メールを誤送信してしまった場合でも、相手に開封させないように対応できます。メール開封時のアクセス権限設定や、送信済みメールの追跡が可能なログ管理機能などがあるツールもあります。

PPAPの問題点や代替案を知って対策しよう

PPAPの問題点や、使われなくなった経緯を紹介しました。政府関係者や公的機関が問題を指摘しており、PPAPに替わるファイル共有の仕組みを検討しましょう。

代替案は下記のとおりです。

• ・メール以外のツールでファイルを送る
• ・メール暗号化ソフトを使う

問題点や代替案を踏まえ、PPAPに替わるファイル共有の方法をどうすべきか対策してください。