IT PR

【もう古い?】添付ファイルのパスワードを別メールで送る方法について

記事内に商品プロモーションを含む場合があります

機密情報を含んだファイルをメールで送る際、どのようにしていますか?
以下の方法で送っているという方も、多いのではないでしょうか。

①添付ファイルをZIP化し、パスワードを設定する
②添付ファイルを相手にメール送付する
③別のメールで、開封パスワードを送付する

巷では「PPAP」と呼ばれている

ちなみに、この送信方法は「PPAP」と呼ばれています。

P Passwordつきzip暗号化ファイルを送ります
P Passwordを送ります
A 暗号化
P プロトコル

注:ピコ太郎さんとは関係がありません(笑)

「脱PPAP」の動き

このPPAPですが、現在は推奨されていないことを、ご存知でしょうか?

プライバシーマーク推進センターでも、PPAPについて、推奨していないことを発表しています。

昨今、個人情報を含むファイル等をメールで送信する際に、ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信することについて、お問合せを多くいただいております。

プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、
メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。

引用元:プライバシーマーク推進センター

また、2020年11月に、デジタル庁の平井大臣が会見で、
内閣府、内閣官房にて、この方法を廃止することを発表しています。

何が問題なの?

このように、政府や公的機関でも、「脱PPAP」が進められていますが、「PPAP」は、一体何が問題なのでしょうか?

メールの盗聴リスクがある

1通目も2通目も、「メール」と言う全く同じ手段で送信しますよね。

もし悪意のあるユーザが、1通目のメールを盗み見ることができた場合、
2通目のメールも盗み見ることができる可能性が高いそうです。

確かに、送信手段も宛先も一緒なので、これには納得です。

パスワード解析できてしまう

デジタルアーツ社より発表された、ZIPファイルのパスワードに関する分析レポートによると、
英子文字+数字の8桁パスワードは、約2分で解読できたと調査結果があります。

もし2通目のメールが盗聴されなかったとしても、パスワードそのものを解読されるリスクがあります。

メール誤送信対策にならない

セキュリティ事故でトップレベルに多いのは、「メール誤送信」ではないでしょうか。
A社の田中さんに送ろうとして、誤ってB社の田中さんに送信してしまう・・・

PPAPの方法で、1通目のメールの宛先を送信した後は、
1通目の全返信で作成することが多いのではないでしょうか。

その場合、1通目の宛先ミスに気づかないまま、2通目を送信してしまう可能性が高いので、
メール誤送信の対策としては、あまり意味をなさないですね。

送る側も受け取る側も、面倒くさい

セキュリティ対策として効果が薄いことに加え、操作の面倒くささもあります。

まず送る側は、2通分のメール作成の手間があります。そして受け取る側も、2通分のメールを確認する手間があります。

また、パスワードを通知し忘れたり、パスワードの記載を誤ったりすると、余計なコミュニケーションが発生することになり、さらに面倒なことになります。

携帯電話でZIPファイルを開くのが困難

最近では、携帯電話でメールを確認する方も増えてきたかと思いますが、
基本的に、携帯電話でZIPファイルを開封できないため、専用のアプリをダウンロードするなどの手間が発生します。

どうすればいい?

このように、PPAPの方法では手間がかかる上に、セキュリティ対策としても不十分であることがわかります。

では、どのような代替手段があるのでしょうか?

【おすすめ】ストレージサービスの利用

代替手段として、もっともポピュラーな方法は、ストレージサービスの利用です。

クラウド上の置き場所にファイルを配置し、そのURLを相手に送ることで、ファイルを共有できます。

アクセス制限や、ダウンロード履歴を残せるなどの機能があるため、PPAP方式よりも安全に、ファイルを共有することができます

デメリットとしては、導入コストと導入工数がかかることです。

ストレージサービスは基本的に有償となりますので、会社や部署の承認が必要になるかと思います。
まずはご自身の会社で、ストレージサービスが利用できないか、確認してみましょう。

【社内同士】共有ファイルサーバに配置する

同じ社内同士でのファイルのやり取りなら、「共有ファイルサーバ」の活用がおすすめです。

共有ファイルサーバであれば、社内の人しかアクセスできないでしょうし、パスワードを知らせることなく、ファイルのパスを共有するだけで安全にファイル共有できます。

ただし、ファイルを配置する場所のアクセス権は、しっかり確認しておきましょう。

Aさんの人事評価シートを配置している場所に、当の本人がアクセスできてしまう、なんてことにならないように、注意しましょう。

他の手段でパスワードを通知する

電話・SMSなど、メールとは違う手段でパスワードを知らせる方法です。
1通目のメールとは異なる手段を使用するため、盗聴リスクは低減できるでしょう。

ただし、メールでのパスワード通知以上に手間が発生する方法ですし、パスワード解析されるリスクは減りません。

まとめ:PPAPは、今後は廃止されていく

いかがでしたか?
今後PPAPの方法は、民間企業でも廃止が進んでいくことが予想されます。

まずはセキュリティ対策として、PPAPが不十分であることを知り、ご自身の会社が対策に乗り出すことを、首を長くして待ちましょう。