全942文字
PR

暗号化ZIPファイルをメールで送り、パスワードを別送する「PPAP」。平井卓也デジタル改革担当大臣は一部政府機関でPPAP廃止を打ち出した。ベンチャー企業を中心に「脱PPAP」の機運が高まっている。

 平井大臣は2020年11月24日、PPAPを内閣府と内閣官房で廃止すると発表した。PPAPの廃止を巡っては、デジタル改革のアイデアを国民から募る「デジタル改革アイデアボックス」で280件超の賛成意見が集まっていた。

 PPAPのメール受信を拒否する「脱PPAP」の動きはベンチャー企業を中心に以前からあった。例えば開発者向けツール販売のサムライズムは2020年4月、PPAPによるファイル送信元企業に対して手数料負担の要請を検討すると発表した。11月24日時点で手数料請求の実績はないが、山本裕介社長は「今後改めて周知し、半年程度の猶予期間を設けて適用したい」と話す。

 クラウド会計ソフトのfreeeは11月18日、メールによるパスワード付きファイルの受信を12月1日から原則廃止すると発表した。同社はパスワード付きファイルがメール受信時のマルウエア検査を迂回(うかい)させることでリスクが増大しているとする。受信メールにパスワード付きファイルが添付されていた場合には自動で削除する仕組みを導入する。

表 「脱PPAP」に向けた動き(平井大臣の宣言前から実施済みのものを含む)
外部企業から受信したパスワード付きファイルを自動削除する企業も
表 「脱PPAP」に向けた動き(平井大臣の宣言前から実施済みのものを含む)
[画像のクリックで拡大表示]

 暗号化ZIPに代わるファイルの送信手段としては、クラウドストレージの活用が広まりつつある。ブロックチェーンビジネスを支援するLayerXの鈴木研吾シニアセキュリティアーキテクトは「共有リンクを相手に送る形式であれば、誤送信に気付いた場合はリンクを無効にすることで情報流出を防止できる。だが無効にする前に相手先がファイルを取得する可能性もあるため、リスクを認識しダブルチェックなどの運用を考えることが重要だ」とファイル送信におけるセキュリティーの考えを話す。

 現状では誤送信を完全に防ぐことは難しい。セキュリティーコンサルティングなどを手掛けるS&Jの三輪信雄社長は「パスワードを相手先と事前に共有するか、メールとは別の経路で伝えるのが現実的だ」と話す。クラウドストレージを使ったファイル共有も誤送信防止の観点で完全ではなく、LayerXのように運用ルールと併せて考えていく必要がある。