1. IIJホーム
  2. 法人のお客様
  3. PPAPの問題点と代替策

PPAP
問題点代替策

PPAPの問題点や代替策など、
廃止や移行に役立つ情報をご紹介します。

PPAPのイメージ図

この記事はこんな方におすすめ

  • パスワード付きファイルのメール送受信に
    リスクや手間を感じている方
  • 脱PPAPの動き、代替策やその注意点を知りたい方
  • 利便性とセキュリティを両立したファイル共有の運用を、社内外で進めたい方

なぜ今「PPAP廃止」なのか?

ファイル共有の方法として日本国内で広く利用されてきたPPAP。近年では、セキュリティリスクが問題視され、日本政府や企業で廃止の動きが進んでいます。PPAPの問題点や代替策など、PPAPから代替策への移行、脱PPAPに役立つ情報をご紹介します。

PPAPの問題と国内動向ISSUES AND DOMESTIC TRENDS

日本政府をはじめ多くの企業で廃止の動きが進むPPAP。PPAPの問題点や国内動向に加え、代替手段や廃止の取り組み事例など、脱PPAPを実現するための実践的な情報をご紹介します。

PPAPとは?

「PPAP」とは、メールでパスワード付きZIPファイルを送信し、その後、パスワードを別送するファイル共有手法です。パスワードを知っている人でなければファイルを開くことはできないという発想のもと、漏えい防止などセキュリティの強化策として、政府や企業など日本国内で広く活用されてきました。しかし、昨今セキュリティ上の問題が指摘され、廃止の動きが急速に広がっています。

 政府、企業のPPAP廃止の動き

セキュリティ上の問題を受けて、政府や企業ではPPAP廃止の動きが広がっています。

2020年には、政府が、PPAPはセキュリティ対策の観点だけでなく、受け取る側の利便性の観点からも適切な方法ではないとして、政府における廃止の方針を打ち出しました。また同時期には、プライバシーマーク制度の運営を行うJIPDECも、PPAPでは誤送信等の情報漏えいは防止できないため、推奨しないという声明を発表しています。

政府によるPPAP廃止が発表されて以降、多くの企業においてもPPAPから代替策への移行が進んでいます。2024年の調査では約5割がPPAPを使用していないと回答しています。取引先に対して、パスワード付きのZIPファイルを添付したメールは受信拒否するという通達をする企業も増えてきていることから、企業間取引においても脱PPAPの動きが進んでいます。

参考情報

PPAPの問題点

PPAP廃止が加速する背景には、以下のような問題点があります。

  • 誤送信問題/盗聴リスク

    ファイルとパスワードを同じメール経路で送信するPPAP方式では、誤送信や盗聴された際に、両方の情報が第三者に渡る可能性があるため、情報漏えいのリスク軽減にはつながりません。

  • ZIPファイルの暗号強度の低さ

    ZIPファイルの暗号強度は低く、専門的なツールを使えば短時間で解読される恐れがあります。

  • マルウェアの感染リスク

    ファイルをパスワード付きZIP化した場合、ファイルがウイルスに感染していてもセキュリティ対策ソフトでは検知できず、受信者に届けられてしまうことがあります。セキュリティ対策ソフトのチェックを回避したZIPファイルを受信者が展開し、ウイルスに感染してしまう危険があります。実際、ZIPファイルに関連した「Emotet(エモテット)」と呼ばれるマルウェアにより、多くの日本企業が被害を受けました。

  • 受信者側の利便性の低さ

    セキュリティ上の懸念に加え、利便性の面でもPPAPには課題があります。受信者はZIPファイルとパスワードの両方を管理する必要があり、毎回パスワードを入力しなければファイルを開封できません。こうした手間が積み重なることで、特に頻繁にやり取りが発生する業務では、開封にかかる時間が増加し、結果として業務効率の低下を招く要因となっています。

関連情報
参考情報

PPAPの代替策

PPAPに代わるファイル共有方法には以下のようなものがあります。

クラウドストレージ

クラウドストレージは、インターネット上のサーバにデータの保管場所を提供するサービスです。代表的なサービスにはBoxやGoogle Driveなどがあります。

クラウドストレージの共有リンク(URL)を通じて、関係者がいつでもファイルにアクセスできるため、業務の柔軟性が向上します。アクセス権限などのセキュリティ設定も比較的簡単で、適切な管理が行われていれば、安全性を確保しやすい点も利点です。

クラウドストレージの図

ファイル転送サービス

ファイル転送サービスでは、サービス提供元のサーバにファイルをアップロードし、相手がそのファイルをダウンロードすることで受け渡しが行われます。

直接メールに添付する方法と比べて、大容量ファイルの送信などの面で利点があります。

ファイル転送サービスの図

PPAPの代替策としては、「クラウドストレージを使って送る」や「ファイル転送サービスを使って送る」に加え、「ファイルをそのまま送る」方法があります。しかし、これらの代替策だけでは、PPAPが抱える根本的な課題である「盗聴」や「誤送信」のリスクを解決することはできません。脱PPAPを実現する際には、盗聴対策及び誤送信対策を含め対策を講じることが重要です。

PPAP代替策に必要な対策

  • 盗聴対策

    メールの盗聴から守るための技術として今は経路暗号化(TLS通信)の技術が進歩しています。
    ほとんどのメールサーバがTLSに対応しており、メールの盗聴のリスクは限りなく低いと言えますが、もしメールサーバでTLSの対応をしていなければ、添付ファイルをURLに置き換えたとしても盗まれるリスクは存在します。
    添付ファイルの盗聴だけでなく、メールそのものを守るために経路暗号化に対応したメールサーバの導入による盗聴対策が必要です。

  • 誤送信対策

    PPAPを廃止しても、誤送信による意図しない第三者への情報漏えいリスクは残ります。
    オンラインストレージには共有リンクの無効化が可能なサービスもありますが、これは誤送信対策ではなく、誤送信発覚後の情報漏えい抑止対策と言えます。
    メール送信時の一時保留や上長による監査など、メールの誤送信を防ぐ取り組みやツールの導入により、リスクを抑えることができます。

IIJにおけるPPAP廃止の取り組み

IIJにおいては、2022年1月26日よりPPAPについては原則受信拒否する運用に変更しました。PPAP廃止の変更に合わせて、社外とのファイル共有方法としては3つの手段を用意しました。

  • オンラインストレージ
  • 添付ファイルをそのまま送信
  • 従来の暗号化ZIP運用を続ける方法(例外措置)

暗号化ZIP運用に関しては、例外措置の位置づけです。メールによるファイル送受信は、送信側・受信側双方の合意が必要であるため、一部の組織や取引先においては、従来の手法を継続せざるを得ないケースも存在します。こうした場合には、リスクを十分に理解した上で、組織長の承認を得た上で例外措置として運用しています。いずれの手法にもメリット・デメリットがあることを踏まえ、IIJではメール監査システムと組み合わせることで、それぞれの弱点を補完し、安全性と利便性の両立を図っています。

PPAP廃止に伴うメール運用の変更は、社内外に広く影響を及ぼします。そのため、技術・運用面の整備に加え、経営層の関与のもと、社員へのリスクと方針の説明を行いました。また関係部門と連携し、お客様や取引先へのご案内を行った上で、運用変更を実施しました。PPAP廃止の取り組みについては、以下のページで詳しくご紹介しています。PPAP廃止をご検討中のお客様に、IIJの取り組みが参考になれば幸いです。

参考情報

脱PPAPを実現する
IIJのメールセキュリティサービスIIJ’S SERVICE

シェア No.1クラウド型メールセキュリティ

IIJセキュアMXサービス

脱PPAPをシンプルに解決
シェア No.1クラウド型メールセキュリティ(※1)

IIJでは、PPAPの根本問題の解決に必要な「盗聴対策」「誤送信対策」をカバーしたクラウド型の統合メールセキュリティ「IIJセキュアMXサービス」を提供しています。オンラインストレージとの連携オプション/ソリューションの利用で、メールに「ファイルを添付するだけ」でユーザの手間もなく脱PPAPを実現できます。

  1. ITR「ITR Market View:サイバー・セキュリティ対策市場2025」統合メールセキュリティ市場:ベンダー別売上金額推移およびシェア(2022~2024年度予測)
IIJセキュアMXサービス オンラインストレージ連携オプションのイメージ図

こんな課題を解決したい方におすすめです

  • 脱PPAP/PPAP廃止を進めたい

    IIJセキュアMXサービスは、PPAPの根本課題を解消する対策をまとめて提供します。

    • 盗聴対策:送受信相手のメールサーバがTLSに対応している場合、経路を自動的に暗号化し、インターネット上での盗聴(盗み見)を防止します(経路暗号化)。
    • 誤送信対策:送信メールの配送を一時的に保留し、一定時間経過後に配送します。保留時間内であればメールの送信を取り消し可能です(一時保留機能)。オンラインストレージ連携の機能を用いれば、宛先やファイルを誤って送信してしまった際に、送信者側の操作でファイルの共有リンクを無効にできます。

  • ユーザの手間なく脱PPAPを進めたい
    ファイル送信時の手間を減らしたい

    オンラインストレージとの連携オプション/ソリューションをご利用いただくことで、ファイル共有にかかるユーザの手間を削減(※2)。複雑な操作不要で、どなたでも簡単に利用可能です。日頃お使いのメーラ上でメールにファイルを添付して送信するだけで、手間なく脱PPAPを実現します。添付ファイルは自動的にオンラインストレージにアップロードされ、共有リンクがメールに挿入されます。

  • 導入・運用も手間をかけず対策を進めたい

    IIJセキュアMXサービスは、クラウドサービスのため、導入や運用も容易です。お客様自身によるシステム構築だけでなく、導入後の機能アップデートや定義ファイルの更新も不要です。お客様は運用の手間なく、クラウドから常に最新のセキュリティ対策を利用できます。

  1. 「IIJセキュアMXサービス オンラインストレージ連携オプション」または「mxHERO with IIJ」との連携機能

ご利用のオンラインストレージや要件にあわせて選択いただけます

サービス詳細を見る

お問い合わせ

PPAPに関する質問はこちらから!

PPAPを廃止したいけれど、どの方法が自社に合っているのか分からない…そんな段階からでも、ぜひお気軽にご相談ください。

メールセキュリティ
対策/強化の事例CASE STUDIES

IIJがご支援したメールセキュリティ対策/強化事例の一部を紹介します。

株式会社たけびし 様

株式会社たけびし 様

業種
商業
従業員数
100~499人

アプライアンスからクラウド型統合メールセキュリティへの移行でセキュリティ強化と運用管理の負荷軽減を実現

事例を見る
株式会社SIG 様

株式会社SIG 様

業種
情報通信
従業員数
1~99人

上場に向けた内部統制の一環としてMicrosoft 365へ移行
通常のMicrosoft 365と同価格で、強固なメールセキュリティをプラス

事例を見る
一般財団法人日本老人福祉財団 様

一般財団法人日本老人福祉財団 様

業種
医療・福祉
従業員数
-

迷惑メール対応が職員の業務を圧迫
メールセキュリティの強化で対応時間の大幅削減を実現

事例を見る

PPAPの記事一覧ARTICLE LIST

PPAPに関するよくあるご質問FREQUENTLY ASKED QUESTIONS

PPAPにはマルウェア感染のリスクがあるとして、セキュリティ上の問題が指摘されています。こうしたリスクを受けて、政府は2020年にPPAPの廃止方針を発表しました。更に2025年には、金融庁が金融機関に対してPPAPの利用を停止するよう要請しています。

平井内閣府特命担当大臣記者会見要旨(2020年11月24日)

2020年、政府は政府機関におけるPPAPの廃止方針を示しました。これを契機に、民間企業でもPPAPの利用を見直す動きが広がり、現在では多くの企業がPPAPを廃止し、他の手段へと移行しています。

お問い合わせ

PPAPに関する質問はこちらから!

PPAPを廃止したいけれど、どの方法が自社に合っているのか分からない…そんな段階からでも、ぜひお気軽にご相談ください。

その他の注目テーマFEATURED THEMES

ゼロトラストって
どこから進めればいいの?

ゼロトラスト導入の技術指針からベストプラクティスまで、包括的にご紹介。

ゼロトラストのイメージ図
ゼロトラストについて知る

データセンターって
どう選べば良いの?

データセンターの役割や最新の動向などの基礎知識はもちろん、悩みがちなベンダー選定のポイントもご紹介。

データセンターのイメージ図
データセンターについて知る

VPNって
どう選べば良いの?

最新動向、導入・改善事例など、VPNやリモートアクセスの検討に役立つ情報をご紹介。

VPNのイメージ図
VPNについて知る