「ファイルを添付しました。パスワードは別途送ります」——日本のビジネスシーンで長年当たり前のように使われてきたこのやり取り。いわゆる PPAP(パスワード付きZIPファイルとパスワードを別メールで送る慣行) は、今や「セキュリティ対策どころか逆に危険」として廃止の動きが加速しています。

2020年11月、平井卓也デジタル改革担当大臣(当時)が内閣府および内閣官房での PPAP 廃止を公式に発表し、2021年から全中央省庁での対応が始まりました。ソフトバンク、双日、日清食品 HD などの大手企業も相次いで脱 PPAP を宣言。取引先からのパスワード付き ZIP ファイルの受信自体をブロックする企業も増えています。

この記事では、PPAP の何が問題なのか、そして今すぐ使える安全な代替手段を具体的に解説します。

そもそも PPAP とは何か

PPAP は以下の手順でファイルを送受信する慣行です。

  1. ZIPファイルにパスワードをかけてメールに添付して送信する
  2. そのパスワードを別のメールで送信する

「ZIPを暗号化してパスワードも送るから安全」という発想で広まりましたが、セキュリティの専門家からは当初より欠陥が指摘されていました。

パスワード付きZIPファイルをメール送付するPPAPの問題点を示すイラスト

PPAP の3つの致命的な問題点

1. 同じ経路で送ればZIP暗号化の意味がない

ZIPファイルとパスワードを同じメールサーバー経由で送信している以上、メールが盗聴・傍受された場合は両方が漏れます。暗号化した意味がまったく消えてしまいます。

正しい暗号化運用とは、「暗号化されたデータ」と「復号鍵」を別々の安全な経路で伝達することです。同一経路で送ることは暗号化の原則に反します。

2. マルウェア「Emotet」を筆頭にウイルス検知をすり抜ける

パスワード付き ZIP ファイルは、多くの企業が導入しているメールのウイルススキャンエンジンが内部を検査できません。2022年前後に猛威を振るったマルウェア「Emotet」はまさにこの弱点を悪用し、パスワード付き ZIP に潜んで企業の防御をすり抜けました。

警察庁が公表した調査では、Emotet の感染経路の多くがパスワード付き ZIP メールでした。PPAP は「安全策」どころか、マルウェア配送の温床となっていたのです。

3. ZIP 暗号化の強度が脆弱

従来の ZIP 暗号化(ZipCrypto)は総当たり攻撃に脆弱で、専用ツールを使えば短時間で解読できることが知られています。たとえ AES-256 方式の ZIP であっても、辞書攻撃や総当たり攻撃のリスクはゼロではありません。

政府・大手企業の廃止状況

主体 動向
内閣府・内閣官房 2020年11月に PPAP 廃止を公式発表、2021年から実施
全中央省庁 ZIP付きメールの受信拒否を順次開始
ソフトバンク 取引先からのパスワード付きZIPブロック宣言
双日 脱 PPAP を宣言し代替手段へ移行
日清食品 HD パスワード付きZIPファイルの送受信禁止
大手49社以上 2022年以降、相次いで廃止・受信拒否を実施

PPAP に代わる安全なファイル共有方法

では、PPAP を使わずに安全にファイルを送るにはどうすれば良いのでしょうか。主な代替手段を比較します。

クラウドストレージを使った安全なファイル共有のイメージ図

1. クラウドストレージの共有リンクを使う(最もおすすめ)

クラウドストレージにファイルをアップロードし、パスワード保護付きの共有リンクを発行して相手に送る方法です。

メール添付方式と根本的に異なるのは、ファイル本体はメールを通過しないという点です。共有リンクをクリックした相手が、クラウドのサーバーから直接ダウンロードするため、メール経路のセキュリティリスクを大幅に下げられます。

さらに優れた機能として、以下が利用できます。

  • ダウンロード回数制限:1回ダウンロードしたらリンクを無効化できる
  • 有効期限設定:指定した日時を過ぎると自動でアクセス不能になる
  • パスワード保護:リンクにアクセスするためのパスワードを設定できる
  • ウイルスチェック:アップロード時にリアルタイムでスキャンされる

HStorage はこれらすべての機能を標準搭載しており、PPAP の完全な代替手段として活用できます。

2. 大容量ファイル転送サービスを使う

ギガファイル便や宅ふぁいる便のような大容量ファイル転送サービスも代替手段として使われています。ただし、これらは企業利用の場合、以下の点に注意が必要です。

  • 保存場所が明示されていないサービスでは、データの管理責任があいまいになる
  • 無料サービスでは、運営企業のポリシー変更でいつでもサービス終了のリスクがある
  • 長期的なファイル管理・検索には向いていない

業務利用では、信頼できるクラウドストレージサービスの共有機能を使うほうが安定性・信頼性ともに高いと言えます。

3. ビジネスチャットの安全なファイル共有を使う

Slack や Microsoft Teams などのビジネスチャットツールにも、ファイル添付機能があります。ただし、チャットのワークスペースにアクセスできる全メンバーにファイルが共有されるケースがあり、外部の取引先への納品・送付には向いていません。社内共有に限定して使うのが適切です。

HStorage で PPAP を卒業する方法

HStorage は、PPAP に代わる安全なファイル共有を実現するための機能を一通り備えています。

ステップ1:ファイルをアップロードする

HStorage にファイルをアップロードします。アップロードと同時にウイルスチェックが実施されるため、受け取った相手も安心してダウンロードできます。

ステップ2:パスワード保護付き共有リンクを発行する

ファイルまたはフォルダを選択し、「共有リンクを作成」から以下を設定します。

  • パスワード:相手のみが知るパスワードを設定
  • 有効期限:納品後1週間など、必要な期間だけ有効にする
  • ダウンロード回数:相手が1回ダウンロードしたらリンクを無効化

ステップ3:共有リンクとパスワードを別々の方法で伝える

共有リンク URL はメールで送り、パスワードは SMS・電話など別の手段で伝えることで、セキュリティをさらに高められます。これは PPAP の「メール1本で全部送る」問題を解決した真の代替手段です。

「PPAP 廃止」を取引先に伝えるときのポイント

長年 PPAP を続けてきた取引先に変更をお願いするのは、スムーズにいかないこともあります。以下のポイントを押さえて、丁寧に案内しましょう。

  1. 理由を明確に伝える:「セキュリティポリシーの改定により、パスワード付きZIPでの受信を停止します」と明文化する
  2. 代替手段を提示する:「弊社のファイル共有リンクをご利用ください」と具体的な方法を案内する
  3. 猶予期間を設ける:一方的に即日停止するのではなく、1〜3ヶ月の移行期間を設ける
  4. FAQ を用意する:「パスワード付きZIPが届いたらどうなるのか」「共有リンクの使い方は?」などの疑問に事前に答えておく

まとめ:PPAP 廃止は「セキュリティ向上」と「業務効率化」の両立

PPAP は長年日本のビジネス慣行として続いてきましたが、そのセキュリティ上の欠陥は明白です。政府・大手企業の廃止の流れは今後さらに加速し、PPAP を続けることが「取引先からのファイルを受け取れない」という実務的な問題につながるケースも増えています。

クラウドストレージを活用したパスワード保護付き共有リンクは、PPAP の代替として最も実用的かつ安全な手段です。

  • ✅ ファイル本体がメール経路を通過しない
  • ✅ ウイルスチェックがリアルタイムで実施される
  • ✅ 有効期限・ダウンロード回数でリンクを自動無効化できる
  • ✅ パスワードを別経路で伝えることで真の二要素保護が実現できる
  • ✅ 受信側に特別なソフトウェアのインストールが不要

HStorage はこれらの機能を標準搭載した国産クラウドストレージです。無料プランから試せるので、ぜひ一度 PPAP に代わる安全なファイル共有を体験してみてください。

PPAP 廃止や HStorage を使ったセキュアなファイル共有の詳細については、HStorage 公式サイトまたはサポートチームまでお気軽にお問い合わせください。

HStorage サポート事務局

HStorage サポート事務局

HStorage - https://hstorage.io のお客様対応や、メディアの運用をしています👸