暗号化ファイルとパスワードをメールで送る「PPAP」を廃止する動きが大手ITベンダーで進んでいる。かねてPPAPはセキュリティー対策として無意味との指摘は多く、2020年11月に平井卓也デジタル改革相(当時)が内閣府と内閣官房でPPAPを廃止すると発表してから、民間企業にも廃止の波が広がった。
関連記事: ピコ太郎氏も驚いた「PPAP全面禁止」、3分でまるわかりPPAP平井氏の発言直後の2020年12月から2021年2月にかけて、日経クロステックは大手ITベンダー10社にPPAPの廃止状況を調査した。すると、NECと日本IBM、日本ユニシスの3社は既に廃止しており、2社が2021年度中の廃止を検討するとしていた。
関連記事: ITベンダーが次々「脱PPAP」、日立に続き富士通やNTTデータも2021年10月8日、日立製作所が「2021年12月13日以降PPAPの利用を禁止する」旨を公表したことを受け、2021年10月に再度IT大手の「脱PPAP」状況を調査した。結果を見ていこう。
最大手で残るは富士通
NTTデータは2021年7月にPPAPの使用を禁止した。禁止は社内規定の改定を伴う。前回調査時には「2021年度にPPAPの使用を禁止する方向で社内規定を改定予定」としていた。PPAPの代わりに独自のファイル共有サービスを使い、利用できるクラウドストレージを増やすことで代替手段をさらに拡大している。
| 「脱PPAP」の状況 | 「脱PPAP」の時期 | PPAPの代替手段 | |
|---|---|---|---|
| NTTデータ | 社内規定を改定し、PPAPの使用を禁止した。社内規定で使用を禁止するとともに、社内啓発を実施している。 | 2021年7月に社内規定を改定済み | 独自のファイル共有サービスに加え、利用できるクラウドストレージサービス等を拡大、代替手段を拡充している |
| SCSK | PPAPは原則禁止である旨を社内に展開した。今後社内規定も改定する予定 | 2021年度中に社内規定を改定する予定 | 取り扱う情報の重要度レベルを4段階で定義し、レベルごとに適切なデータ送付方法を定義するガイドラインを提示している。レベルが高い情報の送付時は、多要素認証やアクセスログ取得・保存が可能なストレージサービスを利用するといったルールを定めている |
| TIS | 2021年10月時点では、顧客との情報授受において利用するケースがある。今後情報セキュリティーポリシーを見直し、原則PPAPの代替手段を利用するように定義することを検討中 | 2021年度中に情報セキュリティーポリシーを見直す予定 | クラウドストレージサービス、EDIなど |
| 伊藤忠テクノソリューションズ(CTC) | 今年度中に代替手段となる製品の導入を目指す。ただし、管理策を実施せずに添付ファイルを送付することは漏洩リスクが残ることから、完全廃止する予定はない | 2021年度中にPPAPによるメール送信の大半はなくなる予定。完全に脱PPAPとはならない | (クラウドストレージサービスの)Boxでの社外共有と、メールと添付ファイルを分離するツールの導入など、代替手段となる製品を検証している。顧客都合によりこれらの手法が使えない場合、PPAPを継続する |
| 野村総合研究所(NRI) | ファイル転送サービスの利用を定めているが、相手先企業の事情などにより利用できない場合はその限りではない。引き続き、取りまく環境や動向を踏まえて適切な対応を検討していく | ― | ファイル転送サービス(NRIセキュアの提供する「クリプト便」) |
| 日立製作所 | 社内規定でPPAPの利用を廃止することとし、具体的な改定時期を決定した | 2021年12月13日からPPAP利用を廃止予定 | グループ外の関係者とデータを授受する際は、適宜担当者間で相談、クラウドのコラボレーションツールなどの利用を推奨する。パスワード付きZIPファイルが添付されたメールは日立グループにて送受信しない設定とする。日立グループ従業員が、パスワード付きZIPファイルが添付されたメールを送信、受信する際には、配送を抑止した旨がメールで通知される |
| 富士通 | 2020年度から継続して検討中。PPAPを廃止する方向は変わらない | 現在代替手段などを検討しているので、具体的な時期については現時点では回答できない | 代替手段として何が適しているのか、より安全な仕組みとしてどうすべきなのかを協議・検証しながら検討している |
日立も社内規定を改定し、前述の通り2021年12月13日以降PPAPの利用を禁止する。前回調査時は「2021年度の社内規則改正時に利用禁止とすることを検討している」とし、NTTデータ同様、予定通りに脱PPAPを進めた格好だ。メールシステムをパスワード付きZIPファイルが添付されたメールを送受信しない設定とすることで、脱PPAPを徹底する。今後はクラウドストレージを含むコラボレーションツールの利用を推奨していく。
富士通は前回調査時「廃止する方向で検討中」としており、2021年10月時点で検討を続けている。代替手段として適した仕組みを協議、検証しているという。
