PPAP問題 〜パスワード付きZIPファイル、受け取り拒否へ〜
PPAPとは?
長らく日本のビジネス現場を悩ませていた、日本特有のメールセキュリティ「PPAP」が終了する気配になってきました。「PPAP」とは以下の頭文字です。
- P…Password付きZIPファイルを送ります
- P…Passwordを送ります
- A…Angoka(暗号化)
- P…Protocol(プロトコル)
つまり「メールでデータファイルを送る時は、ファイルをZIPで暗号化して、パスワードは別メールで送れ!」がPPAPです。
PPAPの問題点
しかし、ZIPファイルとパスワードを分けてメールしても、誤送信対策的な意味は全く無いですよね。仮に登録したメールアドレスが間違っていたら、ファイル本体とパスワードの両方が間違えたメールアドレスに送信されるのですから。
さらに意味が無いどころか、相手に迷惑をかける危険な行為です。普通、受信するメールサーバーではウィルスチェックを自動でしているのですが、ZIPファイル化してしまうとウィルスチェックは働かないので通ってしまいます。これも昔から言われていたことです。
PPAPの背景
こんなことになってしまった背景として、2010年前後から日本の大企業で流行した「Pマーク(プライバシーマーク)」取得があると言う人もいます。Pマークの保有が政府調達への参加条件になったのをきっかけに、企業間取引にも必須条件になるケースが激増した頃の話です。個人情報保護法もあり、特に金融業では取得が”ほぼ必須”になりました。
もっとさかのぼれば、2001年に総務省が策定した「地方公共団体における情報セキュリティポリシーガイドライン」のなかの「情報資産の分類と管理方法」の項目で、「電子メール等により機密性2つ以上の情報を送信する者は、必要に応じ、暗号化又はパスワード設定を行わなければならない」と示していました。ここで何故か、Zip形式で圧縮する=暗号化とになって推奨されてしまいました。ちなみに総務省の「情報セキュリティポリシーガイドライン」は、その後その内容を何度か改訂して、今はそんなこと書いていません。
別にPマーク(JIPDEC)も情報セキュリティポリシーガイドライン(総務省)も「PPAPでやれ!」と言っている訳ではありません。むしろ具体的な方法論は何も指示していないのですが、企業側としてはメール運用の規程を作らなければPマークに認証されません。この運用規程を、企業内での職務分掌の関係から、法務部やコンプライアンス部などが生兵法で作ってしまったことが悲劇の始まりです。
規程なので、意味不明な「PPAP」でも遵守しなければコンプライアンス違反になってしまいます。大抵の日本企業では、規程は作るより変える方が大変です。よって現場レベルでは
申し訳ありません、弊社の規程でPPAPでやらざるを得ないんです
規程じゃ仕方ないですよね
の会話が定番となっていきました。
マルウェアの流行
しかし本当にヤバイ事態になったことが変化の波になりました。PPAPが、2019年頃から流行したマルウェア「Emotet(エモテット)」を感染させる手口に使われ大流行したのです。(パスワード付zipファイルとパスワードの両方をメール送信し、通常のPPAPの流れでマルウエアが含まれるZIPファイルを解凍させて侵入する!)日本の「PPAP」が世界的に有名になってしまったこともあって、「誰でも知ってる日本の大企業」の複数が、Emotet(エモテット)の社内ネットワークへの侵入を許してしまっています。
わざわざ添付ファイルをZIP形式でアーカイブしてしまっているゆえ、メールサーバーでのウイルスチェックを通り抜けてしまうのです。
PPAPの廃止、受け取り拒否へ
流石に「Emotet(エモテット)」の大流行を受けて、2020年の10月に、アメリカ国土安全保障省のサイバーセキュリティー・インフラストラクチャーセキュリティー庁から「人に迷惑かけるな!ウイルスチェックできないZIPファイルを添付されたメールなんてブロックしろ!」と怒られました。ZIPファイルを名指しでしたし、当時の感染の実情からして、事実上は日本の方を向いて言ってると思われました。Block email attachments that cannot be scanned by antivirus software (e.g., .zip files).
また上記の直後、日本のPマーク(JIPDEC)も「従来から推奨しておりません」の声明をわざわざ出したことが、苦笑いとして一部で話題となりました。
そのせいかは知りませんが、官公庁も「PPAPは廃止」の方向性を決定しています。文部科学省は2022年1月4日から、ファイル送受信にクラウドストレージを稼働させています。
2022年秋の段階で、民間企業では「パスワード付きZIPファイルは受取拒否」の流れに入ってます。あの有名なソフトバンクも、2022年2月から「PPAPを禁止」しているようです。メールサーバーの設定で受取拒否しますので、個別例外判断の入る余地はありません。今日では個人情報保護に真剣に取り組まない企業はそれだけで大きなリスク要因ゆえに、当然の如く右にならう対応になるでしょう。
【2023年5月15日追記】 確認できたPPAPを廃止した主な大企業
日立グループ、NTTグループ、NECグループ、日本ユニシス、日本IBM、ソフトバンクグループ、三菱重工グループ、双日グループ、JR九州グループ、カシオ計算機、日清食品、アステラス製薬
PPAPの代替手段
「PPAP 代替手段」で検索すると、さまざまなサービスが検索結果に出てきます。定番はクラウドストレージサービスやファイル転送サービスですが、サービスの種類が多すぎて自社にとってよいサービスはどれなのか、比較検討に時間を要するうえに、導入後に「これじゃなかった…」となることもしばしばあります。
上記のような背景から、現在ではクラウドストレージサービスの利用が一般的になりつつあります。またファイル転送サービスと言っても、営業上の理由でファイル転送っぽく説明しているだけで、実質的にはクラウドストレージサービスです。
企業によっては、規定でクラウドストレージの利用を禁止しているケースも見聞きします。Pマーク検査上だけの独自概念により「クラウドストレージ利用は個人情報の外部委託」扱いで書類を作らされたトラウマも背景で、危ない物の前提で規定に書き込んでしまったことが刷り込みになり、変化の妨げになっているようです。
松濤bizパートナーズでは、IT化、DXのご相談はもちろん、「IT部門担当者の育成」「小さな会社で行う現実的なセキュリティ対策」等のご相談を承っております。どうぞお気軽にご相談ください。