「PPAP」ってなに?

  • 担当:梅原弘行
  • 投稿日:2020年11月25日
皆さん「PPAP」という文字を見て、何が思い浮かびますか? 数年間に流行ったピコ太郎さんの「ペンパイナッポーアッポーペン」が最初に浮かんだ方も多いかと思いますが、本コラムで取り上げるのは、芸能ネタではありません。 本コラムで取り上げる「PPAP」はファイルをパスワード付きで圧縮し、メールを相手先に送信後、パスワードを改めてメールで送る運用のことです。 日本情報経済社会推進協会(JIPDEC)に所属していた大泰司 章氏のよって問題提起・命名されたものです。 その「PPAP」について、平井デジタル改革相が記者会見で11月26日から内閣府と内閣官房の職員間で「自動暗号化ZIPファイル」の廃止を発表しました。

1.「PPAP」とは、

以前より、ファイルをパスワード付きZipファイルでやり取りするのは、セキュリティーの観点から行われてきたよくある手法です。 ファイルそのものを送るのは情報漏洩の危険性があるため、パスワードをつけておけば、そのファイルが他人に渡ったとしても、簡単には内容がわからないからです。 確かにそうですが、ここで問題になるのは、そのパスワードを相手に知らせるために、またメールで送ることです。

2.「PPAP」の問題点

メールでファイルを送り、メールでパスワードを送るということは、手段が一緒なので、最初のメールが見ることができるということは、次のメールも見れることになります。 そうなるとパスワードをつけている意味は全くありません。 特に最近多い、メール暗号化ソフトを使用したものは、自動でパスワード案内のメールも送るため、宛先も間違いなく先に送ったファイル付きのメールに送られます。 「宛先を間違いなく送られる」ことも問題なのです。 「間違いなく送られるのでいいのではないか」と思われる方もいらっしゃると思いますが、 手動で行っていれば、最初のメールとパスワード案内のメールの宛先を自分で入れるため、送信先の誤りを気づく可能性があります。 しかし、暗号化ソフトの場合は自動である為、それにも気づくことがなくなります。

3.「PPAP」の代替案

先述した通り、ファイルの受け渡しとパスワードの案内をメールで行うのは、セキュリティー上はあまり効果が高いとは言えません。 では、どのように相手とファイルのやり取りをするのがいいのでしょうか。 ①メールでパスワード付きのファイルを送るが、パスワードは事前に相手先と決めておく。 ②メールでパスワード付きのファイルを送るが、パスワードは別途電話する。 ③ファイルをUSBメモリなどの入れて渡す。 ④オンラインストレージサービスを活用する。 などがあげられます。 ①~④について、簡単に見ていきましょう。

①「メールでパスワード付きのファイルを送るが、パスワードは事前に相手先と決めておく。」

事前に相手先とパスワードについて取り決めをして置き、パスワード付きファイルの送信後、改めてパスワード案内のメールは送りません。 この方法は、コストがかからず、簡単ですので、すぐに運用ができます。

②「メールでパスワード付きのファイルを送るが、パスワードは別途電話する。」

パスワード付きファイルの送信後、パスワードを電話で連絡します。 これは、電話をする煩わしさや相手の状況によっては電話連絡ができない場合もあるため、あまり現実的ではないでしょう。 相手先とLINE等のチャットツールでつながっていれば、パスワードはそちらに送るという運用は可能です。

③「ファイルをUSBメモリなどの入れて渡す。」

物理的にUSBメモリなどにファイルをコピーして、USBメモリを渡します。 すぐ近くにいる相手先であればいいですが、取引先などの場合、郵送したり持参したりと非常に煩雑で、時間がかかり現実的ではありません。 USBメモリの途中での紛失リスクもあります。

④「オンラインストレージサービスを活用する。」

Dropbox・BOX・googleドライブ・OneDrive などのオンラインストレージを使用します。 ファイルの共有が容易にでき、容量も比較的大きくなってきていますので、最近では非常に多くの企業などでも導入されおります。 無料のサービスもありますが、セキュリティー面や容量などを考慮して有料版にするかなど検討が必要です。 また、オンラインストレージの設定を誰でもできるようにしてしまうと、設定のミスで共有すべきでない情報が共有されるという危険性があるため、運用ルールの策定が重要です。 以上のことから、私見ではありますが④>①が現実的ではないかと思います。

4.まとめ

「PPAP」は、ファイルをやり取りする方法で、かなり広く運用されてきた手法ですが、セキュリティー的に優れているとは言えません。 自社や取引先などとの関係性やファイル交換の頻度・機密性を考慮したうえで、どのように運用するかを検討しましょう。 アクセルパートナーズでは、経験豊富なメンバーによるデジタル化や業務改善に関する相談も承っております。