メールで気軽に｢PPAP｣を使っている人のヤバさ ｢パスワードは別送します｣が相手に強いる負担

そしてそもそも、多少複雑なパスワードにしたとしても、力ずくで解凍できるようなツールは出回っているし、万が一攻撃者が添付ファイルを奪えた場合は2通目のパスワードも奪えるため、暗号化の意味はない。PPAPは送信者の労力はもちろん、特に受信者の労力にはまったく見合わないのである。

振り返れば当初は、添付ファイルを暗号化して、パスワードを別の手段で送っていたように思う。それであれば多少はセキュリティ的な意味もあった。それがいつの間にか、パスワードが別メールで送られたり、本文に書かれたりするようになってしまった。

セキュリティ的な意味がもはやなくなって以降も、送信側も受信側も手間をかけて丁寧なメールのやりとりをすることで、「仕事をした」という満足感が得られるという効果はあったのかもしれない。必ずしも悪い文化だとは言い切れないが、ビジネスのスピードが上がった今となっては、受信側にヘイトが積みあがるだけだろう。

PPAPの最大の問題点としてセキュリティ業界からも指摘されるのは、受信者にとって大変危険な習慣だということだ。ZIP暗号化ファイルが添付されたメールは、万が一マルウェアが入っていてもフィルターをすり抜けて受信者に届いてしまう。受信者はつい、いつもの習慣で添付ファイルを開いてしまい、まんまとマルウェアに感染してしまうというわけだ。

政府が廃止を呼びかける中、禁止宣言を出す民間企業も

政府がPPAPに注目するきっかけは、2020年に開始したデジタル化推進に関する国民の意見募集サイト「デジタル改革アイデアボックス」で、PPAP停止のアイデアが1位となったことだ。ほどなく当時の平井卓也IT担当大臣がPPAPの廃止を表明し、その後国会でも答弁している。

とはいえ、まだ政府からなくなったわけではなく、2024年度から始まった「住民税決定通知書」の電子化ではPPAPに近い形で暗号化ZIPファイルが使われている。

政府の呼びかけに応じて、IT企業を中心に「PPAPのメールを送信しない」、あるいは「受信しない」という発表が相次いだ。政府が廃止の方針を打ち出し、メディアでも多く取り上げられたことで何らかの対応を迫られた形だ。しかしPPAPのメールを送信しないと言ってそのまま平文でメールを送ろうとはならず、代替策が必要だとして検討に数ヵ月から数年かかったり、諦めてしまう事例も多い。