ZIPファイルをメールで送るのは止めて

中小企業診断士 長瀬勝好

営業資料や営業資料など、機密情報を取引先とファイルで共有する必要は多いでしょう。その際に、「パスワード付きのZIPファイルを送る」「次のメールでパスワードを送る」という2段階の手順を踏めば安全である、そう思っていませんか。

昔から慣れ親しんだ手順ですが、近年、その危険性が指摘されています。セキュリティポリシーで禁止する企業も増えており、ZIPファイルを自動で削除するシステムを導入している企業も見られます。

この手順には名称があって、「PPAP（ピーピーエーピー）」といいます。

「P:パスワード付きzip」「P:パスワード送信」「A:暗号化」「P:プロトコル(＝手順)」

のそれぞれの頭文字をとっています。

2020年に誕生したばかりのデジタル改革担当大臣が「内閣官房でPPAPを廃止」する方針を発表し、話題になりました。PPAPの手順は安全などころか、むしろ問題があると判断されたためです。

一般財団法人日本情報経済社会推進協会（JIPDEC）の「企業IT利活用動向調査2022」の結果によると、PPAPによるファイル共有を受信しない方針の企業は、およそ15%です。

また、今後は33％の企業は今後受信を禁止予定と回答しています。つまり、1～2年後には約半数の企業で、PPAPによるファイルが受信できなくなる可能性があります。

PPAPの何が問題なのでしょうか。理由は大きく2つあります。

(1) セキュリティ向上の効果があまり期待できないわりに煩雑である

悪意のある第三者にメールを傍受されていた場合、zipファイルはいとも簡単に開封されてしまいます。また、メールの宛先を間違える誤送信にも何ら効果はありません。それにも関わらず、「zipファイル作成」「メール2回送信」「（受信者側で）パスワードメールと照合」など手間がかかるためです。

(2) マルウェア（ウイルス、トロイの木馬等）攻撃に悪用される

メールの添付ファイルがzipで暗号化されていると、セキュリティ対策ソフトが、その中身まで十分にチェックができなくなる場合があります。メール経由で感染するウイルスEmotet（エモテット）が大規模感染した背景に、PPAPのようなファイル授受が常態化していたことも問題とされています。

このようにPPAPには送信手段に危険性があるため、今すぐ止めてください。

現在では、PPAPより安全なファイル共有方法（ログインできるユーザーや端末を制限することで安全性を確保するサービス）があります。以下に代表的なサービスを紹介します。

・ファイル共有サービス：Googleドライブ、Box、OneDrive

・ファイル転送サービス：ギガファイル便、データ便、クリプト便

・ビジネスコミュニケーションツール：Slack、Chatwork、MicrosoftTeams

クライアントから重要な資料をお預かりすることが多い仕事です。思わぬところで足を救われないように、セキュリティ対策には常日頃から注意を払う必要があると考えます。

以上