昨日の常識は今日の非常識 ~PPAPの代替策は?~
- PPAP対策
これまでの常識が一転して非常識に
2020年、これまで常識とされてきたビジネス習慣や価値観が変化する場面が数多く見られました。
たとえばリモートワークについて、以前から「ノマドワーカー」といった言葉がもてはやされるなど、リモートワークへの感心は広がりつつありましたが、新型コロナウイルス感染拡大の影響により導入する企業が急増しています。
その現況を数字で見ると、2021年01月22日、東京都が発表したデータ(テレワーク導入率調査結果:第1501報 https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2021/01/22/17.html)によれば、都内の従業員30人以上の企業におけるテレワーク導入率は57.1%におよび、企業規模が大きくなるにつれて導入率も高くなると報告されています。
また同日、公益財団法人日本生産性本部が発表したデータ(第4回「働く人の意識調査」 https://www.jpc-net.jp/research/detail/005059.html)によれば、テレワーク実施率は1都3県で32.7%。コロナ禍収束後もテレワークを望む回答は76.4%にもおよぶといいます。
次に常識でなくなってしまった事象と思い浮かぶのがハンコレス(脱ハンコ)です。ハンコレスは、コロナ禍で人の移動が制限される中、行政手続きのデジタル化やオンライン化を促すため政府機関や自治体に対して打ち出された方針ですが、業務の効率化やスピードアップを図ることにもつながるため、民間企業においてもハンコレスは急速に広がりつつあります。
非常識となったPPAPに関する2つ問題点
そして、ハンコレスと同様、政府の動向により、これまでの常識が大きく変わろうとしているのが「PPAP」です。PPAPは、以下の頭文字から作られた「パスワード付きzipファイルを送信する運用」を示す通称となります。
- P:Password付きzipファイルを送ります
- P:Passwordを送ります
- A:Aん号化(暗号化)
- P:Protocol
PPAPは、これまで国内におけるセキュリティ対策として標準的に実施されてきました。すなわち、メールにファイルを添付して送付する際、ファイルにパスワードを付けてzip暗号化し、さらに別のメールにてそのパスワードを通知することが、誤送信や情報漏えいの対策の常識として実施されてきました。しかし、中央省庁においてPPAPが廃止される方針であることが明らかになったことがきっかけとなり、民間企業においてもメールに添付されたパスワード付きファイルの受信を廃止すると発表したり、電子メールへの暗号化ファイルの添付を社内で禁止する方針を打ち出したりするなど、PPAPを廃止する動きが広がっています。
PPAP廃止に向けた民間企業の動向
- 「添付ファイルの暗号化ZIP廃止のお知らせ」(株式会社リサーチワークス)>
https://www.researchworks.co.jp/information/ppap/ - 「freee、メールによるパスワード付きファイルの受信を廃止」(freee株式会社)
https://corp.freee.co.jp/news/filepassword_abolished.html - 「zip圧縮した添付ファイルをお送り頂いた場合の手数料について #stopZipPassword」(株式会社サムライズム )
https://samuraism.com/2020/04/01/11319 - 「日立がPPAP全面禁止へ、「秘文」の添付ファイル自動暗号化ツールも既に販売終了」(日経クロステック)
https://xtech.nikkei.com/atcl/nxt/column/18/00001/05086/
では、PPAPの何が問題なのか。現状、大きく2つの問題点が指摘されています。第一の問題点としては、添付ファイルを復号化(解凍)するパスワードを、添付ファイルと同一経路・同一の宛先に送信するということが、セキュリティ的に意味をなさないという点にあります。すなわち、zipファイルを添付したメールを不正に入手できるのであれば、同じ経路・宛先に送信される復号用パスワードも入手できると考えられることから、セキュリティ面において本質的な対策になっていないという見解です。
もう1つの問題点は、マルウェアやウイルスの侵入を許してしまう可能性があるという点です。zip暗号化されたファイルは、メールの通信経路におけるマルウェア製品やアンチウイルス製品による検知が難しいため、セキュリティ対策をすり抜けてしまう可能性があうという点が問題視されています。
このようなPPAPの問題点に関して、「プライバシーマーク制度(Pマーク制度)」を運営する団体である一般財団法人日本情報経済社会推進協会(JIPDEC)は次のコメントを公表しています。
「プライバシーマーク制度では上記の方法(PPAP)による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。」
(「メール添付のファイル送信について」https://privacymark.jp/news/system/2020/1118.html)
このコメントからは、すでにPマークやISMS(情報セキュリティマネジメントシステム)などを取得している企業、または更新を控えている企業においても、PAPPに替わる対策が急務となる可能性が示唆されています。このように、企業として情報セキュリティ向上のための外部認証を取得している企業ですら必要な対策を講じる可能性があることもあり、PPAPはビジネストレンドの1つとして大きな注目を集めているのです。
脱PPAPを実現する代替策としてのオンラインストレージ
このような状況下、PPAPの代替策として注目されているのがオンラインストレージです。オンラインストレージは、次の手順で、ファイルを受け渡す方法となります。
- 相手に送りたいファイルをクラウド上のストレージにアップロード
- アップロードしたファイルにアクセスするためのURLを相手に通知
- ファイルをダウンロードしてもらう
オンラインストレージでは、受取時(ダウンロード時)にパスワードや有効期限、アクセス権などを詳細に設定したり、ダウンロード用のURLを任意のタイミングで無効化したりできますので、メールよりも安全にファイルを受け渡すことができ、誤送信対策としても有用だと言われています。
ただし、オンラインストレージには無料で使えるサービスなどもあり、ビジネスで利用する際にはセキュリティ対策や安全性が十分かどうかを確認したり、社内のセキュリティポリシーやクラウドサービスの利用ポリシーをクリアしているかどうかを確認する必要があります。
日本ワムネットが提供しているビジネス用オンラインストレージサービス「GigaCC ASP(以下、GigaCC)」では、ダウンロードに必要なパスワードや有効期限の設定のほか、サーバ内でのファイル暗号化やウイルスチェック、証跡管理のための履歴ログ管理など、企業間でセキュアかつ効率的にファイルのやり取りをするための機能を網羅しています。
一方、新たにサービスを導入するとなるとコストや時間がかかるといったイメージもあるかもしれませんが、GigaCCは大容量で機密性の高いファイルをクラウドで共有できる仕組みを簡単に導入でき、スモールスタートから大規模運用まで、セキュリティレベルや利用容量に合わせた3つのプランを用意しています。
詳細は、お気軽に日本ワムネットまでお問い合わせください。
