全5286文字
PR

平井卓也デジタル改革担当大臣の宣言が引き金となり、「脱PPAP」が日本中で加速している。暗号化ファイルとパスワードをメールで送る「PPAP」は、セキュリティー対策として無意味だからだ。日立製作所に続いて富士通やNTTデータも脱PPAPに動く。PPAPがなぜ悪いのか。その5つの「大罪」を振り返ると共に、安全に社外へファイルを送る、正しいやり方を紹介しよう。

 ある日本の大手ITベンダーではつい数年前まで、こんな光景が繰り広げられていたという。昼過ぎのオフィスに事業部長クラスの役職者が部下数人と共に現れ、「メール誤送信防止のために守るべき原則」と書かれたパネルの内容の唱和を求める。するとフロア全員が業務を止めて立ち上がり、「添付ファイルは必ず暗号化ZIPにし、パスワードを別メールで送ること」と繰り返すのだ。こうした数日間に及ぶ「PPAPキャラバン」が、このベンダーでは年に1~2度の頻度で開催された。

 PPAPは「Password付き暗号化ファイルを送ります、Passwordを送ります、Aん号化(暗号化)Protocol(プロトコル、手順)」の略。セキュリティー対策として無意味なだけでなく、セキュリティーリスクを高める旧時代的なこの風習を、日本の大手ITベンダーはこよなく愛していた。しかしその状況が大きく変わろうとしている。

 転機となったのは2020年11月。平井卓也デジタル改革担当大臣が、内閣府と内閣官房でPPAPを廃止すると発表した。さらに日立製作所は日経クロステックの取材に対し、2021年度からPPAPを全面禁止すると明らかにした。日経クロステックがこれを2021年1月に報じたところ、同月の時点で脱PPAPは未定としていたNTTデータと富士通が今回、脱PPAPに方針を転じた。NTTデータは2021年度にPPAPを禁止する方向で社内規定を改定する。富士通もPPAPを禁止する方向で検討しているという。

表 大手ITベンダーの「脱PPAP」対応状況
大手ITベンダーの10社に6社が「脱PPAP」へ(注:2020年12月~2021年2月に日経コンピュータが調査)
表 大手ITベンダーの「脱PPAP」対応状況
[画像のクリックで拡大表示]

 NECや日本IBMはもともとPPAPを利用しておらず、日本ユニシスも2019年10月に脱PPAPを果たした。本誌が日本の大手ITベンダー10社を調査したところ、半数を超える6社が脱PPAP済みだったり、今後脱PPAPを予定していたりすると分かった。

PPAPツールは販売終了へ

 日本のITベンダーは自らが社内でPPAPを実践するだけでなく、PPAPの手順を自動化するツールを顧客に販売してきた。社員が添付ファイル付きのメールを社外へ送信しようとすると、添付ファイルを自動で暗号化し、パスワードも自動で追送するものだ。こうした「PPAP自動化ツール」をとりまく状況も変化しつつある。日立の子会社である日立ソリューションズはゲートウエイ型のメール暗号化ツールである「秘文AE MailGuard」をかつて販売していたが、2017年に販売を終了。2022年6月には保守サポートも終了する。NECや日本ユニシス、富士通もグループ会社を通じてPPAP自動化ツールを販売する。しかし日本ユニシスはPPAP自動化ツールを今後は積極展開しない方針であり、NECも今後の方針について「販売中止も視野に入れ製品部門で検討している」という。