PPAP とは、パスワード付き ZIP をメールで送り、別メールでパスワードを送る手法のことです。
機密保持などセキュリティを高めるための慣行でしたが、暗号化 ZIP は受信側で検査できず、誤送信や手戻りも招きます。
政府や金融庁も慣行の見直しを促しており、取引先によってはメール添付が遮断・隔離されてしまうケースもあります。取引先とのスムーズなファイル共有のため、権限・期限・ログで統制できる仕組みへ移行しましょう。本記事では代替手段を解説し、セキュリティと生産性を両立する改善策を紹介します。
「脱 PPAP」が今後の新常識になる
日本のビジネスシーンにおいて、ファイルの送付といえば「PPAP」が長らく一般的でした。
パスワード付き ZIP ファイルを送付し、その後にパスワードを別メールで送るというこの運用は、セキュリティ対策として多くの企業で採用されてきました。
しかし、近年この PPAP 運用には多くの問題点が指摘され、廃止する企業が急増しています。
特に大きな転換点となったのは、2020 年に平井デジタル改革担当大臣(当時)が、内閣府・内閣官房での PPAP 運用廃止(自動暗号化 ZIP 廃止)を宣言したことです。これ以降、民間企業でも「脱 PPAP」の動きが加速しました。
その一方で、金融業界をはじめとするセキュリティやコンプライアンス意識の高い業界では、情報漏洩への懸念から、依然として PPAP の運用が残っているケースも少なくありませんでした。
そんな中、2025 年 5 月に金融庁が「脱 PPAP」の方針を明確に発表したことは、金融業界におけるファイル共有のあり方を根本から見直す大きなきっかけとなっています。
脱 PPAP にはいくつかの方法があり、それぞれにメリットとデメリットが存在します。
PPAP とは何か?何が問題なのか?
まずは、PPAP の基本的な知識と、なぜこれほどまでに問題視されるようになったのかを改めて確認しましょう。
PPAP とは
PPAP とは、「Password 付き ZIP ファイルを送付」「Password を後から送付」「暗号化」「Protocol」の頭文字をとった用語です。具体的には、以下のような手順でファイルを共有する運用を指します。
- ファイルをパスワード付きの ZIP ファイルにする
- メールでパスワード付き ZIP ファイルを送付
- 別のメールで ZIP ファイルのパスワードを送付
PPAP の問題点:セキュリティ、生産性、信頼性
PPAP の問題は、大きく分けて三つの観点から指摘されています。
一つは「そもそもセキュリティ対策として不十分であること」、そしてもう一つは「ユーザーの生産性を著しく引き下げること」、さらに、その二つの問題点によって「企業の信頼性が低下すること」です。特に、二つ目の「生産性」の問題は見過ごされがちですが、企業活動全体に与える影響は非常に大きく、重要な検討ポイントとなります。
1.セキュリティ対策として不十分
PPAP のセキュリティ面での不備は、多岐にわたります。
- ZIP 暗号化の脆弱性: ZIP ファイルのパスワードは、多くの場合、単純な暗号化方式(ZipCrypto)が用いられています。これは、専門的なツールを使えば比較的容易に解除できることが指摘されています。
- 同一経路での情報漏洩リスク: パスワード付き ZIP ファイルと、そのパスワードを同一のメール経路で送信すること自体が問題です。もしメールが誤送信されたり、途中で傍受されたりした場合、両方のメールが同時に流出してしまい、情報漏洩を防ぐことができません。
- メール誤送信のリスク: PPAP は、メールの誤送信による情報漏洩リスクを根本的に解決しません。むしろ、二段階のメール送信が必要になることで、送信ミスが増える可能性すらあります。
- マルウェア感染源になる可能性: 暗号化された ZIP ファイルは、メールセキュリティのゲートウェイで内容を確認することができません。このため、Emotet のようなマルウェアが暗号化 ZIP ファイルに潜んで送信され、受信者が解凍した際に感染が広がるという深刻な問題が指摘されています。
2.ユーザーの生産性を引き下げる
セキュリティ面の問題に加え、PPAP は日常業務におけるユーザーの生産性を著しく低下させます。
- 送信側の手間: ファイルを ZIP 圧縮し、パスワードを設定し、二通のメールを作成して送信するという一連の作業は、送信者にとって大きな手間となります。
- 受信側の負担: 受信者も、メールを二通確認し、ZIP ファイルをダウンロード・解凍し、パスワードを入力するという作業が必要です。特に、多数の取引先から PPAP ファイルが送られてくる場合、その負担は計り知れません。
- メールスレッドの分断と検索性の低下: パスワードを別メールで送るため、関連する情報が複数のメールに分散してしまいます。これにより、後から特定の情報を検索しようとした際に、非常に手間がかかります。
- スマートフォンでの閲覧不可: スマートフォンやタブレットでは、パスワード付き ZIP ファイルの解凍が困難なケースが多く、外出先や移動中に必要なファイルを確認できないという問題が発生します。
結論として、PPAP はセキュリティ対策としては不十分であるだけでなく、企業全体の生産性を著しく低下させる運用であり、もはや現代のビジネス環境にはそぐわない方法と言えるでしょう。
3.企業の信頼性が低下する
セキュリティと生産性の課題が放置されると、取引先や顧客からの評価にも影響します。
- 受信拒否のリスク:取引先によっては、パスワード付き ZIP のメール添付をセキュリティ上の理由で拒否される場合があります。また、送付できない、届かない、再送が必要になるなど双方の担当者に余計な手間が発生し、業務遅延を招きます。
- 金融庁による慣行払拭の提起:金融庁は、パスワード付きファイルを電子メールに添付して送る慣行が残っている点を問題視しています。暗号化されていることで受信側ではウイルスを検知できず、マルウェアなどのリスクに晒されやすいためです。代替策として、通信経路の暗号化やオンラインストレージの活用などが示されています。
- セキュリティ意識の低さへの不信:脱 PPAP ができていない状態は、情報漏洩対策や運用統制の遅れと受け取られやすくなります。その結果、セキュリティに対する意識が低いと受け取られ、信頼性低下のリスクにつながります。
他社の脱 PPAP、PPAP 対策の影響を受けるリスク
他社が脱 PPAP を進めていくと、パスワード付きメール添付(暗号化 ZIP)を遮断、あるいは隔離する運用となり、共有リンクやファイル転送サービスの利用が前提になる可能性があります。実際に、パスワード付きファイルのメールに対する受信廃止・受信遮断を表明する企業や公的機関も見受けられます。暗号化 ZIP を悪用した攻撃事例もあるため、後追い対応では案件停滞や機会損失が起きやすく、早期の移行準備が必要です。早い段階で共有手順とツールを標準化すれば、取引先ごとの個別調整や例外対応が減り、移行負荷も抑えられます。
脱 PPAP に向けた代替手段の比較と最適解
PPAP を廃止するにあたっては、様々な代替手段が考えられます。ここでは、主要な 4 つの方法を比較し、それぞれのメリット・デメリットを検証していきます。
| 方法 | セキュリティ | 利便性(送信者) | 利便性(受信者) | コスト | 管理の容易性 |
|---|---|---|---|---|---|
| ① Microsoft 365 の外部共有機能 | △ | ◎ | ◎ | ◎ | × |
| ② クラウドストレージ | ○ | ○ | △ | × | ○ |
| ③ ファイル共有ツール | ◎ | △ | △ | △ | ○ |
| ④チャットツール | ○ | ○ | ○ | ○ | △ |
1.Microsoft 365 の外部共有機能を用いる
多くの企業で導入されている Microsoft 365(SharePoint Online, OneDrive for Business)には、ファイルやフォルダーを外部に共有する機能が備わっています。
メリット:
- 追加費用なしで利用可能: 既存の M365 ライセンスで利用できるため、新たなコストが発生しません。
- 送付が簡単: 共有リンクを作成し、メールなどで送るだけで共有が完了するため、送信者の生産性向上に繋がります。
- 大容量ファイルの送付が可能: 大容量のファイルもスムーズに共有できます。
- 誤送信対策: 共有リンクを誤って送ってしまっても、後からリンクを無効にしたり、アクセス権を変更したりすることが可能です。
デメリット:
- 管理の難しさ: 外部共有機能をオンにすると、すべてのユーザーが自由に外部共有できてしまうため、意図しない情報漏洩のリスクが高まります。共有リンクの設定(有効期限、パスワード設定など)もユーザー任せになりがちで、一貫したセキュリティポリシーの適用が困難です。
- 機能を使いこなす難しさ:秘密度ラベル(Microsoft Purview)を使えば、コンテンツを分類し、暗号化や透かしなどの保護設定を適用できるため、外部共有の統制を強められます。一方で、機能が複雑なことから、設定ミスを完全に防ぐのは困難です。
2.クラウドストレージを利用する
Box、Dropbox などの専用クラウドストレージサービスを導入する方法です。
メリット:
- Microsoft 365 とは別に管理可能: Microsoft 365 とは独立した環境で外部共有を管理できるため、Microsoft 365 の設定ミスによる情報漏洩を防ぐことができます。
- 大容量ファイルの送付が可能: 大容量ファイルも問題なく共有できます。
- 管理が容易: 外部共有設定の一元管理、アクセスログの監視などが専用管理画面から容易に行えます。
デメリット:
- 導入費用が高くなりがち: 専用のサービスを導入するため、Microsoft 365 の標準機能を利用する場合と比べるのはもちろん、次に説明するファイル共有ツールと比較してもコストが高くなりがちです。
3.ファイル共有ツールを利用する
セキュアなファイル共有に特化したツールを導入する方法です。
メリット:
- 高機能なセキュリティ: パスワード強制、有効期限設定、ダウンロード回数制限、承認フローなど、きめ細やかなセキュリティ機能により、非常に安全にファイルを共有できます。
- クラウドストレージと比較して導入費用が安い場合がある: サービスによっては、クラウドストレージよりも初期費用や月額費用が抑えられる場合があります。
デメリット:
- ファイルのアップロードに手間がかかる: 専用ツールへのアップロードが必要になるため、M365 の外部共有などと比較して、送信者の手間が増える可能性があります。
- 利便性を損なう可能性: 多機能ゆえに操作が複雑になり、結果的にユーザーの利便性を損なうことがあります。
- 大容量ファイルの送付ができない場合がある: 多くのツールでは、一度に送れるファイル容量に制限がある場合があります。
- 受け取り手の生産性が下がる: 受信者側も専用のポータルサイトへのアクセスやアカウント作成が必要になるなど、PPAPと同じように手間がかかるケースがあります。
4.チャットツールを利用する
Chatwork などのビジネス向けチャットツールを使えば、パスワード付き添付メールを使わずにグループ内でファイルを共有できます。
メリット:
限られた人とのファイル共有に適している:グループチャットの参加メンバーだけにファイルを送信・共有できます。
ファイルの受信に気付きやすい:モバイルアプリのプッシュ通知により、メッセージやファイルの到着がすぐにわかります。
スマホなどのモバイル端末でも閲覧できる:モバイルアプリでファイルのプレビュー(一部のファイル形式のみ)やダウンロードができ、外出先でも確認可能です。
デメリット:
大量のファイルは送信しにくい:1 回の添付数や 1 ファイルあたりのサイズ上限があり、アプリ内ストレージの容量もプランに応じて制限されます。
データを遡って探す必要がある:受信したファイルがチャットで流れていくため、検索機能を使うか、履歴を遡って探す手間が発生します。
「脱 PPAP」後の新常識―セキュリティと生産性を両立するには?
PPAP の廃止は、単にファイルを送る方法を変えるだけでなく、企業の情報セキュリティと従業員の生産性向上という二つの重要な課題を解決するチャンスです。
上記で比較した通り、それぞれの方法には一長一短があり、自社の状況やポリシーに合わせて最適な選択をする必要があります。
特に金融業界においては、セキュリティ要件が非常に高いため、単に利便性だけを追求するわけにはいきません。
かといって、厳格なセキュリティを追求しすぎて生産性が著しく低下してしまっては、業務効率の悪化を招きます。
セキュリティと生産性の両立こそが、これからのファイル共有に求められます。
脱 PPAP は自社のメリットだけでなく、取引先の解凍・パスワード確認・再送依頼といった手間も減らせます。受信側を不要なセキュリティリスクに晒さない配慮は、取引継続の前提です。相手に負荷をかけない共有方法を採用することが評価を高め、長期的な取引でも信頼される企業として選ばれやすくなります。
DenshoBako が実現する「いいとこどり」のファイル共有
AvePoint のファイル共有ツール「DenshoBako」は、上記で紹介した 3 つの方法の「いいとこどり」を実現し、セキュリティと利便性の両方を高次元で両立させる運用を可能にします。
1.利便性:M365 の外部共有と同等の手軽さ
- Microsoft 365 と連携し、簡単に共有リンクを作成: SharePoint Online や OneDrive for Business から直接共有リンクを作成できるため、M365 の外部共有機能と遜色ない手軽さでファイルを共有できます。
- 大容量ファイルの送付が可能: 容量の大きいファイルでもスムーズに共有でき、ビジネスを停滞させません。
2.セキュリティ:きめ細やかな管理とポリシー適用
- 外部共有を「させたい部署だけ」に許可: Microsoft 365 の外部共有機能全体をオンにする必要がなく、特定の部署やグループにのみ外部共有を許可するなど、きめ細やかなアクセス制御が可能です。
- パスワードや有効期限の強制適用: 共有リンク作成時に、パスワード設定や有効期限の設定を強制できるため、ユーザーによる設定漏れを防ぎ、セキュリティポリシーの徹底を図れます。部署ごとに異なるセキュリティポリシーを適用することも可能です。
- アクセスログの取得と監査: いつ、誰が、どのファイルにアクセスしたかといった詳細なログを取得できるため、監査要件にも対応できます。
3.コスト:クラウドストレージよりも安価な導入費用
- ユーザー課金制で低コスト導入: 1 ユーザーあたり月額 500 円(税別)からのユーザー課金制で、クラウドストレージサービスと比較しても安価に導入が可能です。必要なユーザー数に応じて柔軟に契約できるため、コストを最適化できます。
| 方法 | セキュリティ | 利便性(送信者) | 利便性(受信者) | コスト | 管理の容易性 |
|---|---|---|---|---|---|
| ① Microsoft 365 の外部共有機能 | △ | ◎ | ◎ | ◎ | × |
| ② クラウドストレージ | ○ | ○ | △ | × | ○ |
| ③ ファイル共有ツール | ◎ | △ | △ | △ | ○ |
| DenshoBako | ◎ | ◎ | 〇 | 〇 | 〇 |
DenshoBako は、金融業界をはじめとする高いセキュリティ要件を持つ企業が、情報漏洩リスクを低減しつつ、従業員の生産性を向上させるための最適なソリューションです。
製品紹介ウェビナーのご案内
「DenshoBako」が、どのようにファイル共有を DX し、セキュリティと生産性を向上させるのか、詳細にご紹介する製品紹介ウェビナーを定期的に開催しております。
PPAP 運用からの脱却を検討されているご担当者様、より安全で効率的なファイル共有方法をお探しの皆様は、ぜひお気軽にご参加ください。
関連記事
デフォルト設定がセキュリティリスクの原因に!?Microsoft 365 の設定ミスを防ぐには
Entra ID にバックアップは必要?標準機能だけでは不十分な場合も
Microsoft 365のコラボレーションが情報漏えいの原因に!?事例や対策を紹介
