平井卓也デジタル改革担当大臣は2020年11月24日の記者会見で、暗号化ZIPファイルをメールで送付した後に別のメールでパスワードを追送する手順、通称「PPAP」を内閣府と内閣官房で11月26日に廃止すると発表した。PPAPの廃止を巡っては、国民からデジタル改革のアイデアを募る「デジタル改革アイデアボックス」で280件を超える賛成意見が集まり、平井大臣は11月17日の記者会見で廃止の方針を表明していた。
11月18日にはクラウド会計ソフトを提供するfreeeが2020年12月1日から、メールによるパスワード付きファイルの受信を原則廃止すると発表した。背景にはマルウエア「Emotet(エモテット)」によるセキュリティーリスクの高まりがある。同社は「パスワード付きファイルがメール受信時のマルウエア検査を迂回(うかい)させる」ことでリスクが増大しているとする。受信メールにパスワード付きファイルが添付されていた場合には自動で削除する仕組みを導入する。
新型コロナウイルスの感染拡大で多くの企業がテレワークを導入し、GMOインターネットグループをはじめとしたベンチャー企業が素早い動きを示したことは記憶に新しい。脱PPAPに関してもベンチャー企業のフットワークは軽そうだ。
| 企業名 | 主な事業 | 受信時の対策 | 送信時の対策 |
|---|---|---|---|
| freee | クラウド会計ソフトの提供 | パスワード付きファイルの受信時にメールサーバーでファイルを自動削除 | クラウドストレージにファイルを格納し、共有リンクを取引先に伝える。請求書などは自社のサービスを使って取引先と共有 |
| LayerX | ブロックチェーンビジネスの支援 | PPAPでファイルを送付する取引先には、LayerXまたは取引先のクラウドストレージを利用するよう働きかけることを検討。パスワード付きZIPでも別経路でパスワードを連絡する手順についてはこれまで通り受け入れる方針 | クラウドストレージにファイルを格納し、共有リンクを取引先に伝える |
| サムライズム | 開発者向けツールの販売 | PPAPでファイルを送付する取引先に対して手数料負担を依頼することを検討。今後、取引先に周知し、半年程度の猶予期間を設けて適用する予定 | メールに添付するファイルは暗号化しない。宛先メールアドレスの手入力を禁止し、誤送信を予防する |
| スタディスト | マニュアル手順書ツールの提供 | パスワード付きファイルの受信時にメールサーバーでファイルを自動削除する仕組みの導入、並びにPPAPを使用しないよう対外的に要請することを検討 | 暗号化ZIPは不要であることを社内ルールに明記 |
| プレイド | データ活用ツールの提供 | 受信したパスワード付きZIPを復号する際にウイルスチェックする仕組みを以前から導入済み | クラウドストレージでファイルを共同編集する。取引先がクラウドストレージのアカウントを取得できない場合には共有リンクを伝える |
開発者向けツールを販売するサムライズムは約8カ月前の2020年4月1日、PPAPによるファイル送信元企業に対して手数料負担の要請を検討すると発表した。11月24日時点で手数料請求の実績はないというが、山本裕介社長は「今後改めて周知し、周知後半年程度の猶予期間を設けて適用したい」と話す。
ファイルの送信手段としてはクラウドストレージの活用が広まりつつある。LayerXの鈴木研吾シニアセキュリティアーキテクトは「共有リンクを相手に送る形式であれば、誤送信に気付いた場合はリンクを無効にすることで情報流出を防止できる。だが無効にする前に相手先がファイルを取得する可能性もあるため、リスクを認識しダブルチェックなどの運用を考えることが重要だ」とファイル送信におけるセキュリティーの考えを話す。
