日本企業の常識だった「PPAP」
日本のビジネスシーンにおいて、ファイルの送付といえば「PPAP」が長らく一般的でした。
パスワード付きZIPファイルを送付し、その後にパスワードを別メールで送るというこの運用は、セキュリティ対策として多くの企業で採用されてきました。
しかし、近年このPPAP運用には多くの問題点が指摘され、廃止する企業が急増しています。
特に大きな転換点となったのは、2020年にデジタル庁が霞が関でのPPAP運用廃止を宣言したことです。1これ以降、民間企業でも「脱PPAP」の動きが加速しました。
その一方で、金融業界をはじめとするセキュリティやコンプライアンス意識の高い業界では、情報漏洩への懸念から、依然としてPPAPの運用が残っているケースも少なくありませんでした。
そんな中、2025年5月に金融庁が「脱PPAP」の方針を明確に発表したこと2は、金融業界におけるファイル共有のあり方を根本から見直す大きなきっかけとなっています。
脱PPAPにはいくつかの方法があり、それぞれにメリットとデメリットが存在します。
PPAPとは何か?何が問題なのか?
まずは、PPAPの基本的な知識と、なぜこれほどまでに問題視されるようになったのかを改めて確認しましょう。
PPAPとは
PPAPとは、「Password付きZIPファイルを送付」「Passwordを後から送付」「暗号化」「Protocol」の頭文字をとった用語です。具体的には、以下のような手順でファイルを共有する運用を指します。
- ファイルをパスワード付きのZIPファイルにする
- メールでパスワード付きZIPファイルを送付
- 別のメールでZIPファイルのパスワードを送付
PPAPの問題点:セキュリティと生産性
PPAPの問題は、大きく分けて二つの観点から指摘されています。
一つは「そもそもセキュリティ対策として不十分であること」、そしてもう一つは「ユーザーの生産性を著しく引き下げること」です。特に、二つ目の「生産性」の問題は見過ごされがちですが、企業活動全体に与える影響は非常に大きく、重要な検討ポイントとなります。
1.セキュリティ対策として不十分
PPAPのセキュリティ面での不備は、多岐にわたります。
- ZIP暗号化の脆弱性: ZIPファイルのパスワードは、多くの場合、単純な暗号化方式(ZipCrypto)が用いられています。これは、専門的なツールを使えば比較的容易に解除できることが指摘されています。
- 同一経路での情報漏洩リスク: パスワード付きZIPファイルと、そのパスワードを同一のメール経路で送信すること自体が問題です。もしメールが誤送信されたり、途中で傍受されたりした場合、両方のメールが同時に流出してしまい、情報漏洩を防ぐことができません。
- メール誤送信のリスク: PPAPは、メールの誤送信による情報漏洩リスクを根本的に解決しません。むしろ、二段階のメール送信が必要になることで、送信ミスが増える可能性すらあります。
- マルウェア感染源になる可能性: 暗号化されたZIPファイルは、メールセキュリティのゲートウェイで内容を確認することができません。このため、Emotetのようなマルウェアが暗号化ZIPファイルに潜んで送信され、受信者が解凍した際に感染が広がるという深刻な問題が指摘されています。
ユーザーの生産性を引き下げる
セキュリティ面の問題に加え、PPAPは日常業務におけるユーザーの生産性を著しく低下させます。
- 送信側の手間: ファイルをZIP圧縮し、パスワードを設定し、二通のメールを作成して送信するという一連の作業は、送信者にとって大きな手間となります。
- 受信側の負担: 受信者も、メールを二通確認し、ZIPファイルをダウンロード・解凍し、パスワードを入力するという作業が必要です。特に、多数の取引先からPPAPファイルが送られてくる場合、その負担は計り知れません。
- メールスレッドの分断と検索性の低下: パスワードを別メールで送るため、関連する情報が複数のメールに分散してしまいます。これにより、後から特定の情報を検索しようとした際に、非常に手間がかかります。
- スマートフォンでの閲覧不可: スマートフォンやタブレットでは、パスワード付きZIPファイルの解凍が困難なケースが多く、外出先や移動中に必要なファイルを確認できないという問題が発生します。
結論として、PPAPはセキュリティ対策としては不十分であるだけでなく、企業全体の生産性を著しく低下させる運用であり、もはや現代のビジネス環境にはそぐわない方法と言えるでしょう。
脱PPAPに向けた代替手段の比較と最適解
PPAPを廃止するにあたっては、様々な代替手段が考えられます。ここでは、主要な3つの方法を比較し、それぞれのメリット・デメリットを検証していきます。
| 方法 | セキュリティ | 利便性(送信者) | 利便性(受信者) | コスト | 管理の容易性 |
| ① Microsoft 365の外部共有機能 | △ | ◎ | ◎ | ◎ | × |
| ② クラウドストレージ | ○ | ○ | △ | × | ○ |
| ③ ファイル共有ツール | ◎ | △ | △ | △ | ○ |
① Microsoft 365の外部共有機能を用いる
多くの企業で導入されているMicrosoft 365(SharePoint Online, OneDrive for Business)には、ファイルやフォルダーを外部に共有する機能が備わっています。
メリット:
- 追加費用なしで利用可能: 既存のM365ライセンスで利用できるため、新たなコストが発生しません。
- 送付が簡単: 共有リンクを作成し、メールなどで送るだけで共有が完了するため、送信者の生産性向上に繋がります。
- 大容量ファイルの送付が可能: 大容量のファイルもスムーズに共有できます。
- 誤送信対策: 共有リンクを誤って送ってしまっても、後からリンクを無効にしたり、アクセス権を変更したりすることが可能です。
デメリット:
- 管理の難しさ: 外部共有機能をオンにすると、すべてのユーザーが自由に外部共有できてしまうため、意図しない情報漏洩のリスクが高まります。共有リンクの設定(有効期限、パスワード設定など)もユーザー任せになりがちで、一貫したセキュリティポリシーの適用が困難です。
② クラウドストレージを利用する
Box、Dropbox などの専用クラウドストレージサービスを導入する方法です。
メリット:
- Microsoft 365 とは別に管理可能: Microsoft 365 とは独立した環境で外部共有を管理できるため、Microsoft 365 の設定ミスによる情報漏洩を防ぐことができます。
- 大容量ファイルの送付が可能: 大容量ファイルも問題なく共有できます。
- 管理が容易: 外部共有設定の一元管理、アクセスログの監視などが専用管理画面から容易に行えます。
デメリット:
- 導入費用が高くなりがち: 専用のサービスを導入するため、Micorsoft 365 の標準機能を利用する場合と比べるのはもちろん、次に説明するファイル共有ツールと比較してもコストが高くなりがちです。
③ ファイル共有ツールを利用する
セキュアなファイル共有に特化したツールを導入する方法です。
メリット:
- 高機能なセキュリティ: パスワード強制、有効期限設定、ダウンロード回数制限、承認フローなど、きめ細やかなセキュリティ機能により、非常に安全にファイルを共有できます。
- クラウドストレージと比較して導入費用が安い場合がある: サービスによっては、クラウドストレージよりも初期費用や月額費用が抑えられる場合があります。
デメリット:
- ファイルのアップロードに手間がかかる: 専用ツールへのアップロードが必要になるため、M365の外部共有などと比較して、送信者の手間が増える可能性があります。
- 利便性を損なう可能性: 多機能ゆえに操作が複雑になり、結果的にユーザーの利便性を損なうことがあります。
- 大容量ファイルの送付ができない場合がある: 多くのツールでは、一度に送れるファイル容量に制限がある場合があります。
- 受け取り手の生産性が下がる: 受信者側も専用のポータルサイトへのアクセスやアカウント作成が必要になるなど、PPAPと同じように手間がかかるケースがあります。
「脱PPAP」後の新常識―セキュリティと生産性を両立するには?
PPAPの廃止は、単にファイルを送る方法を変えるだけでなく、企業の情報セキュリティと従業員の生産性向上という二つの重要な課題を解決するチャンスです。
上記で比較した通り、それぞれの方法には一長一短があり、自社の状況やポリシーに合わせて最適な選択をする必要があります。
特に金融業界においては、セキュリティ要件が非常に高いため、単に利便性だけを追求するわけにはいきません。
かといって、厳格なセキュリティを追求しすぎて生産性が著しく低下してしまっては、業務効率の悪化を招きます。
セキュリティと生産性の両立こそが、これからのファイル共有に求められます。
DenshoBakoが実現する「いいとこどり」のファイル共有
AvePointのファイル共有ツール「DenshoBako」は、上記で紹介した3つの方法の「いいとこどり」を実現し、セキュリティと利便性の両方を高次元で両立させる運用を可能にします。
利便性:M365の外部共有と同等の手軽さ
- Microsoft 365と連携し、簡単に共有リンクを作成: SharePoint OnlineやOneDrive for Businessから直接共有リンクを作成できるため、M365の外部共有機能と遜色ない手軽さでファイルを共有できます。
- 大容量ファイルの送付が可能: 容量の大きいファイルでもスムーズに共有でき、ビジネスを停滞させません。
② セキュリティ:きめ細やかな管理とポリシー適用
- 外部共有を「させたい部署だけ」に許可: Microsoft 365の外部共有機能全体をオンにする必要がなく、特定の部署やグループにのみ外部共有を許可するなど、きめ細やかなアクセス制御が可能です。
- パスワードや有効期限の強制適用: 共有リンク作成時に、パスワード設定や有効期限の設定を強制できるため、ユーザーによる設定漏れを防ぎ、セキュリティポリシーの徹底を図れます。部署ごとに異なるセキュリティポリシーを適用することも可能です。
- アクセスログの取得と監査: いつ、誰が、どのファイルにアクセスしたかといった詳細なログを取得できるため、監査要件にも対応できます。
③ コスト:クラウドストレージよりも安価な導入費用
- ユーザー課金制で低コスト導入: 1ユーザーあたり月額500円(税別)からのユーザー課金制で、クラウドストレージサービスと比較しても安価に導入が可能です。必要なユーザー数に応じて柔軟に契約できるため、コストを最適化できます。
| 方法 | セキュリティ | 利便性(送信者) | 利便性(受信者) | コスト | 管理の容易性 |
| ① Microsoft 365の外部共有機能 | △ | ◎ | ◎ | ◎ | × |
| ② クラウドストレージ | ○ | ○ | △ | × | ○ |
| ③ ファイル共有ツール | ◎ | △ | △ | △ | ○ |
| DenshoBako | ◎ | ◎ | 〇 | 〇 | 〇 |
DenshoBakoは、金融業界をはじめとする高いセキュリティ要件を持つ企業が、情報漏洩リスクを低減しつつ、従業員の生産性を向上させるための最適なソリューションです。
製品紹介ウェビナーのご案内
「DenshoBako」が、どのようにファイル共有をDXし、セキュリティと生産性を向上させるのか、詳細にご紹介する製品紹介ウェビナーを定期的に開催しております。
PPAP運用からの脱却を検討されているご担当者様、より安全で効率的なファイル共有方法をお探しの皆様は、ぜひお気軽にご参加ください。
