パスワード別送方式(PPAP)が危険な理由を徹底解説

PPAP パソコン
スポンサーリンク

「パスワード付きZipファイルをメールで送り、その直後に別メールでパスワードを送る」

日本のビジネスシーンで、長らく「当たり前」とされてきたこのファイル共有方法、通称「PPAP」。あなたも一度は経験したことがあるのではないでしょうか?

しかし、このPPAPは、セキュリティ対策としてほとんど意味がなく、むしろ危険であると専門家から強く指摘されています。政府も2020年に中央省庁でのPPAP廃止を宣言し、多くの企業が見直しを進めています。

なぜ、あれほどまでに普及したPPAPが、今「危険」だと言われているのでしょうか?

話題のワダイでは、その理由と背景、そして安全な代替案までを分かりやすく解説します。

スポンサーリンク
スポンサーリンク

PPAPとは?- その仕組みと名前の由来

PPAP

PPAPとは、以下の手順を踏むファイル共有方法の略称です。

  1. Password付きZipファイルを送ります
  2. Passwordを送ります
  3. Angoka(暗号化)
  4. Protocol(プロトコル)

この名前は、ITコンサルタントの大泰司 章(おおたいし あきら)氏が、当時流行していたピコ太郎さんの曲「PPAP」になぞらえ、皮肉を込めて命名したものです。

一見すると、ファイルを暗号化し、パスワードを別に送ることで安全性が高まっているように感じられます。しかし、その実態は大きく異なります。

なぜPPAPは危険なのか?3つの大きな理由

PPAPがセキュリティ対策として機能しない、むしろ危険だとされる理由は、主に3つあります。

1. 経路が同じなら、盗聴のリスクは変わらない

経路が同じ

最も根本的な問題です。悪意のある第三者がメールを盗み見ることができる状況を想像してみてください。

ファイルが添付された1通目のメールを盗聴できるのであれば、同じ経路で送られてくる2通目のパスワードメールも、ほぼ確実に盗聴できてしまいます。

つまり、攻撃者にとっては「ファイル」と「鍵」の両方が一度に手に入るようなもので、暗号化している意味が全くありません。

2. ウイルスチェックが機能しない

ウイルス

企業のネットワークでは、送受信されるメールや添付ファイルにウイルスが含まれていないか、セキュリティシステムが常にチェックしています。

しかし、パスワードで暗号化されたZipファイルは、中身をスキャンすることができません。 そのため、もしファイルにマルウェア(ウイルス)が仕込まれていても、セキュリティシステムを素通りして受信者の手元に届いてしまうのです。

受信者がパスワードを入力してファイルを開いた瞬間、ウイルスに感染してしまうリスクがあります。これはセキュリティレベルを向上させるどころか、むしろ脆弱性を生み出してしまっている状態です。

3. 受け取る側の手間と生産性の低下

手間

PPAPは、受け取る側に大きな負担を強います。

  1. 1通目のメールを開き、添付ファイルを保存する
  2. 2通目のメールを開き、パスワードをコピーする
  3. 保存したファイルを開き、パスワードを貼り付けて解凍する

この一連の作業は非常に非効率です。特にスマートフォンのような小さな画面では、操作がさらに煩雑になります。この「小さな手間」が組織全体で積み重なると、無視できない生産性の低下につながります。

なぜPPAPは日本で広まったのか?

これほど問題点が指摘されるPPAPが、なぜ日本独自の文化としてこれほどまでに広まったのでしょうか。

きっかけは、2005年頃に全面施行された「個人情報保護法」でした。当時、多くの組織が情報漏洩対策に迫られる中で、あるガイドラインに書かれていた「パスワードは別の経路で送る」という記述が誤って解釈されたのが始まりと言われています。

本来の意図は、メールでファイルを送ったなら、パスワードは電話やFAX、郵送といった全く異なる手段で伝える、ということでした。しかし、この「別経路」「別のメール」と誤解され、手間のかからない方法として急速に広まってしまったのです。

なぜPPAPはなくならないのか?

ファイル暗号化

ベンダー(システム提供者)ですら「やめたい」と考えているのに、PPAPが根強く残っている最大の理由は、「やっている感」という心理的な安心感にあると言われています。

  • ファイルを暗号化する
  • パスワードを別送する
  • 受信者がパスワードを入力して開く

この一連の「儀式」とも言える手順を踏むことで、送り手も受け手も「セキュリティ対策を講じている」という気持ちになります。これは、科学的な「安全」よりも、感覚的な「安心」を求めてしまう人間の心理が働いている結果だと考えられます。

一方で、クラウドストレージを使った共有など、より安全な方法は操作がシームレスなため、この「やっている感」が得られにくいのです。

PPAPに代わる安全なファイル共有方法

Google Drive

では、PPAPの代わりにどのような方法を使えば良いのでしょうか。代表的なのはクラウドストレージサービスの利用です。

  • Google Drive
  • Microsoft OneDrive
  • Dropbox

これらのサービスを使えば、ファイルをアップロードし、生成された共有リンクを相手に送るだけで安全にファイルを共有できます。

Google Drive: Sign-in
Access Google Drive with a Google account (for personal use)...
drive.google.com

クラウドストレージのメリット:

  • 閲覧や編集の権限を細かく設定できる
  • パスワード保護や有効期限の設定が可能
  • 大容量のファイルも簡単に共有できる
  • 常に最新のセキュリティ対策が施されている

まとめ

PPAPは、セキュリティ対策をしている「つもり」にさせてくれるだけの、形骸化した習慣です。その実態は、ウイルス感染のリスクを高め、生産性を低下させる危険な慣習に他なりません。

もしあなたの組織でまだPPAPが使われているなら、この記事をきっかけに、ぜひ安全な代替案への移行を検討してみてください。大切な情報を守るために、「安心」のための儀式ではなく、真に「安全」な対策を選びましょう。

スポンサーリンク

コメント