PPAP廃止の背景 ~政府が出した方針。これって守るべきですよね?~

ファイル共有サービス

「パスワード付きZIPファイルをメールで送り、パスワードを別メールで通知する」――いわゆるPPAP方式は、かつて情報漏洩対策として広く普及しました。しかし現在、政府をはじめ多くの企業や自治体がPPAPの使用を中止し、より高度な情報セキュリティへの移行を進めています。本記事では、PPAP廃止の背景にある政府方針やセキュリティリスク、実際の事例、そして代替手段までを網羅的に解説します。PPAP対応に悩む方に向けたの内容です。

PPAPについて、詳しく知りたい方はこちらのブログ記事「PPAPとは?その仕組みと問題点、代替策まで徹底解説」もぜひご覧ください。


2020年11月、**平井卓也デジタル改革担当大臣(当時)**が「内閣府におけるPPAP方式の廃止」を発表して以降、PPAPに対する風当たりは一気に強まりました。政府機関を皮切りに、自治体や企業もPPAP廃止の検討・実施に動いています。

一方で、長年慣れ親しんだこの方式に対して、「なぜ今さら廃止?」と疑問を抱く声も少なくありません。しかし、情報セキュリティの観点からは明確なリスクが存在するのです。

代表的な問題点は以下のとおりです:

  • ZIPファイルの暗号強度が脆弱であり、簡単に解凍される可能性がある
  • マルウェアが添付されたZIPファイルをメールゲートウェイがスキャンできない
  • パスワードを同一経路(メール)で送ること自体が無意味と指摘されている
  • サイバー攻撃者がZIPファイルとパスワードをセットで盗み見て悪用できる

特に2021年以降、Emotet(エモテット)などのマルウェア攻撃でPPAP経由の感染事例が急増したことも、廃止の流れを後押ししました。実際、JPCERT/CC(Japan Computer Emergency Response Team)が公開したレポートでは、2022年前半のEmotet攻撃メールの多くがZIP添付+パスワード付きという形式だったことが明らかになっています。

このような背景から、PPAPは「セキュアな手段どころか、むしろリスクを増やす時代遅れの手法」として、社会的な見直しが始まったのです。

ディッキー先生
ディッキー先生

はい。こんにちはー。
なにー?なんで今更そんなこと言うんだってー?
答えは簡単。本当に危ないからです。

PPAPとは、**「Password付きZIPファイルを送信し、Passwordを別送する」**というファイル送信手法の通称です。この名称は、日本のIT業界で慣用的に使われている略語で、以下の4ステップを踏むことから名付けられました。

  1. P:Password付きZIPファイルを作成
  2. P:それをメールで送信(添付)
  3. A:後から別のメールでPasswordを送信
  4. P:パスワードを受け取った相手がファイルを解凍

本来の目的は、第三者による盗聴・改ざんから添付ファイルを守ることでした。たとえば、社外とのメール送受信において、意図しない漏洩を防ぐための「最低限の対策」として、多くの組織が採用していました。

普及の背景には「メール暗号化の代替手段」としての期待

2000年代初頭、S/MIMEやPGPなどのメール暗号化技術は存在していたものの、導入コストや運用の煩雑さが課題でした。結果として、手軽に「暗号化しているように見える」PPAPが定着していった経緯があります。

特に以下の要素が、普及の大きな要因でした。

  • Windows標準機能(右クリック→ZIP化)だけで実現可能
  • 専用ソフト不要、相手側のITリテラシーが低くても対応可能
  • 組織のセキュリティポリシーで義務付けやすい

さらに、2010年代には大手金融機関・行政機関でもPPAPが正式手順として定着し、多くの企業がその慣習に従って採用しました。

しかしPPAPは“セキュリティの錯覚”だった

表面的には安全に見えるPPAPですが、実際には**「パスワードも添付ファイルも同じ通信経路(メール)」を使用しているため、通信傍受された場合には両方がセットで漏洩するリスク**があります。加えて、メールサーバーがZIP添付ファイルをスキャンできない場合、マルウェアの潜伏に気づけないという重大な問題もありました。

そのため近年では、**「PPAPは実効性のない形式的な対策」**と見なされるようになり、政府・民間を問わず見直しが始まっています。

PPAPの問題点が明確になる中、最初にその運用廃止に踏み切ったのが政府機関でした。2020年11月、当時の平井卓也デジタル改革担当大臣が、内閣府および内閣官房において「PPAPを廃止する」と明言。これは、行政機関におけるファイル送信の在り方を根本的に見直す大きな転換点となりました。
引用)内閣府より

この発表以降、各省庁が相次いでPPAPの使用を段階的に停止しており、その流れは全国の自治体や独立行政法人にも波及しています。

デジタル庁のガイドラインが示す方向性

2021年のデジタル庁発足に伴い、行政手続きのデジタル化と並行して**「メールセキュリティの高度化」**が重視されました。2022年には、政府CIOポータルサイトなどを通じて、以下のような具体的な方針が示されました。

  • パスワード付きZIPファイルの利用を原則廃止
  • 添付ファイルを使わず、クラウドストレージのリンクで共有
  • 利用するクラウドはアクセス制限付き・暗号化されたものに限定
  • 通信はTLSなどの暗号化技術で保護

これらの方針は、国だけでなく、地方自治体・教育機関・医療機関などにも強く影響を与えています。

官公庁における具体的な廃止事例

いくつかの政府機関・自治体では、すでにPPAPを完全廃止し、別のセキュリティ運用に移行しています。例として以下の事例があります。

  • 内閣官房:2020年12月より、すべての職員に「添付ファイルは送らず、必要時は内閣官房クラウドへアップロードしてリンクで共有」と通達
  • 環境省:2021年にはファイル送信手段としてGigaCCを導入し、メール添付の原則禁止を開始
  • 東京都:2022年、都庁全体でPPAP廃止を明文化。代替手段として「Box」等の法人向けクラウドストレージ活用を推進

官民連携による支援も進行中

総務省・経済産業省は、特に中小企業におけるPPAP依存脱却を支援する政策も検討しています。具体的には、中小企業庁を通じて「メールセキュリティ診断」や「セキュリティ対策導入補助金」などの施策が拡充されつつあります。

このように、PPAPの廃止は単なる推奨事項ではなく、政府が主導する政策的方針として着実に広がっています。

ディッキー先生
ディッキー先生

政府がやっているのに、民間企業がやっていない。
知っているのにやっていない。大問題だろ!!

政府によるPPAP廃止の方針を受けて、民間企業や自治体でも迅速に代替手段への移行が進んでいます。特に大企業では、すでに明確な方針を打ち出し、セキュリティ強化と業務効率化の両立を目指す取り組みが進んでいます。

自治体・教育機関の事例|PPAPからGIGAスクール構想へ対応

地方自治体では、GIGAスクール構想と連動して、PPAPの見直しが急速に進んでいます。たとえば以下のような対応が見られます。

  • 山形県教育庁:2022年より「ZIP添付メールは禁止」と明記し、GIGAクラウドに統一
  • 横浜市教育委員会:全教職員に対して**セキュアファイル共有ツール(GigaCC)**を導入

これらの対応は、子どもたちの学習環境と情報セキュリティの両立を見据えた先進的な例です。

PPAPのセキュリティリスクが社会問題化する中で、新たなファイル共有の選択肢が注目されています。現在、多くの企業が以下のような代替手段に移行しています。

クラウドストレージ型ファイル共有サービスの活用

PPAPに代わる手段として、クラウドベースのストレージ共有が広く普及しています。代表的なサービスには以下のようなものがあります:

  • BoxDropbox:大企業での導入実績が豊富。アクセス権管理やログ追跡が可能。
  • GigaCC:自治体や教育機関など公共分野での導入が進行。

これらに共通する特長は、「ファイルを添付せず、URL共有にすることで誤送信やマルウェア感染リスクを低減できる点」です。


注目の次世代サービス:「Next File Share」

近年、特に注目を集めているのが、**株式会社ネクストアライブが提供する「Next File Share」**というクラウド型ファイル共有サービスです。これは、PPAPのようなパスワード別送の手間を排し、シンプルかつセキュアな運用を実現する国産ソリューションです。

Next File Shareの主な特長:

  • パスワード別送不要:パスワードをメールで別送する必要がなく、運用がシンプル。
  • 共有URLで送信:ファイルはクラウドにアップロードされ、共有リンクをメールに挿入するだけ。
  • メール認証による本人確認:ダウンロード時に、指定されたメールアドレスで認証。
  • 自動削除機能:ファイルは10日後に自動削除され、漏洩リスクを最小限に。
  • ITリテラシーを問わないUI:誰でも直感的に使えるデザイン。

また、1アカウント月額500円のBasicプランから始められ、大規模導入向けのEnterpriseプランやカスタムドメイン対応など、柔軟な料金体系も評価されています。


Next File Shareをはじめとするこれらのソリューションは、単なる「PPAPの代替」ではありません。情報漏洩リスクの低減に加えて、以下のようなメリットも得られます。

  • 業務効率の向上:パスワードの発行・送信・管理が不要になる。
  • コスト削減:手作業でのZIP化や誤送信対応コストを削減。
  • 対外的信用の向上:セキュアな情報共有が、取引先からの信頼につながる。

これらを背景に、特に中堅・中小企業を中心に導入が進んでおり、セキュリティ対策の「第一歩」としても最適な選択肢となっています。

PPAPの廃止は、一過性のセキュリティ施策ではなく、「ゼロトラスト時代」へと突入する象徴的な動きでもあります。特に、メールという最も基本的なコミュニケーション手段において、**「信頼できない前提で防御する」**という思想が重要になっています。

中小企業・教育機関への波及と格差

大企業や官公庁ではすでにPPAPからの脱却が進んでいますが、中小企業や一部の教育機関では対応が遅れている現状があります。2024年のIPA(情報処理推進機構)の調査によれば、中小企業の約47%が今もPPAPを継続利用しているとされています。

こうした組織に対しては、以下のような支援や方策が求められます。

  • セキュリティ教育の強化:ファイル共有の危険性を理解させる研修の導入
  • 運用負担の軽減策:導入が簡単なクラウド型サービス(例:Next File Share)の活用
  • 補助金・助成制度の活用:経産省のIT導入補助金や中小企業庁の支援策の積極活用

情報セキュリティポリシーの再定義が急務

PPAP廃止は、「使わないようにしよう」という単発の対応では不十分です。今後は組織のセキュリティポリシーそのものを見直し、実効性のあるルールを明文化する必要があります。たとえば以下のような方針を策定しましょう:

  • 社外へのファイル送信はクラウドストレージに限定
  • 添付ファイル付きメールは原則禁止(例外時の申請プロセス導入)
  • メール誤送信時のエスカレーションルールを明文化
  • ファイル共有サービスの利用履歴を定期監査

また、こうしたポリシーの策定は経営層・情報システム部門・法務部門が連携して進めることが不可欠です。

今後の技術潮流:ゼロトラストと統合型セキュリティ基盤

PPAP廃止は入り口に過ぎません。今後は、**ゼロトラスト・ネットワーク、CASB(Cloud Access Security Broker)、EDR(Endpoint Detection and Response)**といったセキュリティ技術との統合が求められます。

たとえば、ファイルの送受信ログをクラウドと連携させて監査したり、AIによるリスク判定とブロック機能を持つゲートウェイ製品の導入も現実的です。

PPAPはかつてセキュリティ対策として有効と考えられてきましたが、現在ではむしろリスク要因として認識される時代に突入しています。政府の廃止方針を皮切りに、民間企業や自治体も次世代のファイル共有手段への移行を進めており、もはやPPAPの継続利用はセキュリティと信頼性の観点から大きな課題です。

本記事で紹介したように、「Next File Share」などの安全で利便性の高い代替サービスを活用すれば、コスト削減と業務効率化を同時に実現できます。

今後は、単なるツールの導入にとどまらず、組織としての情報セキュリティポリシーの再設計と社員教育の強化が重要です。今こそ、自社にとって最適なファイル共有の形を見直すタイミングといえるでしょう。

ネクストアライブでは、
「Next File Share」という次世代ファイル共有サービスを展開しています。
📌 Next File Shareの主な特長
✅ URLによるシンプルなファイル共有
✅ メールアドレス認証で安全にダウンロード
✅ 自動削除機能で誤送信・情報漏えいリスクを軽減
✅ ITスキルを問わない直感的なUI
✅ 月額500円からのリーズナブルな価格設定

気になった方は↓下記画像リンク↓より詳細資料をご参照ください。

タイトルとURLをコピーしました