PPAPとは?現在推奨されていない理由と代替案について解説します。

PPAPとは?


社内外でデータをやり取りする際に、一通目のメールにパスワード付きのzipファイルなどを添付し、続けて二通目でパスワードを伝えるという手段がこれまで多く取られてきました。この手法のことを「PPAP」と言います。
名称だけではピンとこない方も、データ送信の方法として実際に行ったことがあるという方も多いと思います。
 
PPAPとは、以下の略です。

P:Password付きZipファイル
P:Passwordを記載したメール
A:Angouka(暗号化)
P:Protocol(手順)

 
昨今、このPPAPというデータのやり取りの手法はあまり推奨されておらず、セキュリティの観点からより安全性に配慮した方法を取ることが望ましいとされています。
 
ではなぜ今まで広く取られてきた方法であるPPAPは現在非推奨とされているのでしょうか?今まで利用されてきた背景と非推奨とされた理由、代替案までを解説していきます。

PPAPが広く利用されていた理由と背景

前述したように、日本ではデータのやり取りの方法としてPPAPが広く使用されてきました。
PPAPの手法は、主に以下を目的として利用されていました。

メールの盗み見防止

PPAPを行う最大の理由としてこちらが挙げられます。メールをもし第三者に盗聴された際に、データを添付したメールを入手されてもパスワードを別のメールに記載して送信していれば、添付ファイルを開くことはできないというものです。
しかし、実際にはメールを同じアドレスなどの同様の経路で送信しているのであればあまり効果はありません。

誤送信対策

送信先を誤ったとしても、パスワードと分けて送っていればもし片方の送信先が誤っていたとしても情報漏洩に繋がりにくいという考え方もあります。
ただし、連続してメールを送信する場合、同じ手順で同じ送付先に送信してしまうことがほとんどであり、こちらも非常に不確実な対策方法と言えるでしょう。

ソフトウェアなどの準備が不要

PPAPでは通常のメールに添付してデータなどを送るため、送信側を受信側も特別なソフトウェアの導入やサービスへの登録が必要ありません。
これはある意味、現在でもPPAPのメリットとして挙げられる唯一の点かもしれません。

PPAPのデメリット

上記のように、特別なサービスが不要という点以外はあまり有力なメリットがあるとは言えないPPAPですが、デメリットに関してはかなり深刻なものが挙げられます。

セキュリティ製品でウイルス検知ができない

メールの添付ファイルなどからのウイルスチェックなどを行う多くのセキュリティ製品は、パスワード付きzipファイルの中身を閲覧でないためウイルスなどを検査できずに送信・受信が行われてしまうという大きなデメリットがあります。
PPAPを装ってウイルスチェックをすり抜け、組織内に侵入するマルウェアも存在します。

業務負荷が大きい

人力でzipを作り、パスワードを後から送信するという方法は送信者と受信者双方に手間の多いやり方であり、業務上の負担や妨げとなる可能性があります。受信側もすぐに開くのでなければパスワード記載のメールを見失うなどする可能性もあり、スムーズなやり取りができない場合があります。

おすすめできないPPAPの代替案

平文でのファイル送信、パスワードなしzip、パスワードなしリンクなど

PAPPの手法を取らないからといって、そのままのデータを添付したりダウンロードリンクを添付したりするのは重要なデータのやりとりには不向きと言えます。
これでは、第三者からの盗聴リスクを防ぐことができません。

メールでパスワード付きzipを送付し、別の手段でパスワードを伝える

PPAPの二通目に当たるパスワードの情報をSMSなどの別経由で送る方法です。こちらは一見問題なさそうに思われるかもしれませんが、前述した通りパスワード付きzipはセキュリティソフトでウイルスを検知することができないという危険性を残してしまうことになります。

PPAPの代替策の紹介


では今後PPAPの代わりにどのようにデータをやり取りしていくのが得策なのでしょうか?
機密性が保持されること、セキュリティ、利便性の観点から検討していく必要があります。

クラウドストレージサービスの利用


クラウドストレージ(オンラインストレージ)を利用すると、インターネット上でデータを保管することができます。そのデータを他社と共有することが可能です。複数人で共有が必要な場合もアクセス権限により閲覧者を制限することができるため、セキュリティ面や利便性の面でも有用です。

メールを暗号化する

データの内容を第三者が覗き見することができないように暗号化するという方法もあります。添付ファイルを暗号化するのではなくメールそのものを暗号化し、万が一盗み見られても解析しにくい状態にすることがセキュリティ面で有効であると言えるでしょう。

ファイル転送サービスの利用

データファイルの送受信をするサービスを利用するのも良いでしょう。送信者側からインターネット上のサーバーにファイルがアップロードし、それを受信者がダウンロードすることでやり取りができるサービスです。その場合は、必ずセキュリティ対策が適切に行われているものを選ぶようにしましょう。

まとめ

パスワード付きデータを添付したメールを先に送付し、二通目でそのパスワードを伝えるというこのPPAPの手法を使ってやり取りをしたことがある方は多いのではないでしょうか?
今回解説したように現在ではこちらの方法は推奨されておらず、2020年11月24日には内閣府・内閣官房でこの方法を廃止すると政府が発表しており、これが大きなターニングポイントにもなっています。
もし大切なデータのやり取りにPPAPを使用している場合は、新しい共有方法を検討してみることをお勧めします!