メールに「ファイル添付」はもう時代遅れの理由 「PPAP」で文書セキュリティー問題が顕在化
なぜ今、PPAPが問題となっているのか?
PPAPとは、「Password付きZIPファイルを送ります、Passwordを送ります、Aん号化(暗号化)、Protocol(プロトコル)」の略。暗号化したパスワード付きZIPファイルをメールに添付して送った後、解凍用パスワードを別のメールで送る手順のことだ。デジタル文書の内容を第三者に見られないようにするためのメールセキュリティー対策とされ、中央省庁をはじめ多数の大手企業で実施されてきた。
しかし実際は、逆にセキュリティーリスクを高めるおそれもあるという。PPAPの名付け親でメール送信マナーにも詳しい大泰司 章氏は次のように話す。
三菱電機、日本電子計算、一般財団法人日本情報経済社会推進協会(JIPDEC)を経て2020年に合同会社PPAP総研を設立。不合理な電子化を排し、真の業務効率化と働き方改革を目指すコンサルティング活動を行っている
「メールに添付するパスワード付きZIPファイルは、マルウェアのフィルターをすり抜けてしまいます。マルウェアは年々巧妙になり、ウイルスメールの不自然さは薄れつつあるので受信者は気づけない。PPAPシステムを入れていると、すべての添付ファイルを暗号化してしまうので、セキュリティーに対する意識も下がり、送信者も受信者も習慣的に添付ファイルをPPAPでやり取りしてしまいますよね。それこそが危険なんです。無意識に解凍したことでウイルス感染してしまうかもしれない。それに、そもそもZIPファイルの暗号化アルゴリズムは弱く、無料の解読ツールなどを通してパスワードを突破されやすい。ファイルを送るときと同様にメールでパスワードを送るため、情報漏洩を防ぐ効果もほとんどありません」
2016年、大泰司氏が「PPAP」と名付け、インターネット関連のイベントで警告を発して約5年経過した今、「脱PPAP」はさらなる機運の高まりを見せている。その背景として大泰司氏が「いちばんインパクトが大きかった」と振り返るのは、20年11月のデジタル改革相による中央省庁でのPPAP廃止宣言だ。政府がデジタル化を推進するため開設した意見募集サイト「デジタル改革アイデアボックス」で、「PPAPと言われる日本特有のメールの悪慣習はセキュリティー上も意味がないといわれているし、管理を煩雑にしている。行政はPPAPをやめる、PPAPを受け取らない、としたらどうか」という意見が最も支持を集めた(※1)のである。
※1 出典:内閣官房 情報通信技術(IT)総合戦略室「デジタル改革アイデアボックス取りまとめ(11月6日までのアイデア)」
「PPAP問題の根底にあるのは、メール受信側に手間がかかっていることを送信側が想像しないことにあります。送信側は自動化されたシステムを使うケースがほとんどですが、受信側は忙しい日常業務の中で、別メールで届いたパスワードを探して入力する手間がかかり業務効率が低下する要因になります。セキュリティー効果もないのでやめてほしいと考えている人は多いはずです。ところが、大手企業や中央省庁などの取引先から送られてくるとなかなか言い出せませんよね。その点、『デジタル改革アイデアボックス』に寄せられた意見が送信側である『省庁職員の声』だったのは画期的だったと思います」(大泰司氏)
「メールにファイル添付」から、クラウド共有へ
「デジタル改革アイデアボックス」で指摘されたように、PPAPは日本特有の商習慣だ。海外ではZIPファイルが添付されたメールを受信拒否している企業も多く、外資系企業の日本法人でも同様の措置を取っているところがある。そういう企業とやり取りをするとき、「ファイル添付」はむしろ円滑なコミュニケーションを阻害しかねないのが実情で、投稿した省庁職員もその弊害を肌で感じていたのだろう。
しかし、実際に「脱PPAP」をするのは簡単ではない。とりわけ、メールに「ファイル添付」すると自動的にPPAP化されるシステムを導入している企業はどうすればいいのか。大泰司氏は次のように説明する。
「大前提として、S/MIME(※2)ができるような特別な環境を除いて、PPAPを続けるかやめるかにかかわらず、機密性の高い文書ファイルをメールに添付して送信するのはやめたほうがいいです。自動的にPPAP化されてしまうのであれば、ファイルを添付するのではなく、ファイル共有サービスなどを活用すべきでしょう。ただし、双方が同じサービスのアカウントを持てる場合と持てない場合がありますね」
※2 S/MIME:メールのセキュリティーを保護する、暗号化機能や電子署名機能を持つ暗号化方式のこと
取引歴が浅い相手の場合、アカウントの開設を求めるのは現実的でなく、何よりスピード感に欠ける。そこで活用したいのが、「Adobe Acrobat DC」。PDF文書ごとに固有のリンクを発行し、受信者のメールアドレスを指定して送信できる。クラウド経由で安全にPDF文書を共有することが可能だ。また、PDF内にそのほかのファイル形式を添付することもできるので、PDF以外のあらゆるファイル形式の共有にも使うことができる。
「リンクを発行するだけで安全に共有できるのは、業務効率の面でも大きな意味があります。従来は、オフィスの外に出ればクラウドサービスにもアクセスできない環境、という企業がたくさんありました。そのため、外部とのやり取りの経路がメールしかなかったことも、PPAPが定着した理由だったと思うのです。しかし、今後は副業・複業など働き方も多様化し、どんどん他社とコラボレーションしなければ生き残れない時代ですから、Adobe Acrobat DCのようにアクセスしやすくセキュアなクラウドサービスが重要になっていくのではないでしょうか」(大泰司氏)
現場のセキュリティー意識で取引の「信頼」を守る
セキュリティー設定を柔軟にコントロールできるのも、Adobe Acrobat DCが文書ファイル共有に適しているポイントだ。作成者の名前や部署名、利用ソフトウェア、ファイルフォーマットといったプロパティー情報を編集できるほか、閲覧制限や編集制限のパスワード設定、コピー・アンド・ペーストや印刷の可否、印刷解像度などの設定も簡単にできる。
「PPAPで起こりがちなのは、ファイルを開いた人が、ほかの社員も復号が面倒だろうという親切心で、プリントアウトや復号後のファイルを社内に回してしまうことです。むしろ情報漏洩を促してしまうので、文書自体に細かくセキュリティー設定ができるAdobe Acrobat DCの優位性は非常に高いですね」
そう話す大泰司氏は、一人ひとりがセキュリティーを設定する習慣をつけることは、社員の意識向上にもつながると指摘する。
「PPAPの弊害の1つに、社内で一律に規制することで社員のセキュリティー意識が育ちにくいということがあります。本来情報のやり取りを行うのは現場の社員であって、最もセンシティブでなければならないはずなので、機密性の判断を自分でする習慣を身に付けるという意味でも、Adobe Acrobat DCは大いに役立つでしょう」
クラウド上で文書ファイルの共有ができるため、「時間と場所の制約から解放される点も魅力」と大泰司氏。情報漏洩のリスクを低減させ、今後さらに巧妙化しかねないセキュリティーリスクへの社員の意識を高め、働き方の効率性も向上する――。デジタルシフトによる変革が“待ったなし”となってきた今、Adobe Acrobat DCは組織の基盤としての貢献も期待できるツールといえるのではないか。
