PPAPはなぜ危ないのか パスワード付きZIPメールのリスクと代わりの方法

広告やマーケティングの仕事をしていると、毎日たくさんのファイルをやり取りします。新しいキャンペーンの企画書、詳細な見積書、撮影スケジュール、デザイナーが仕上げた画像データ。こうした大切なファイルを、皆さんはどのように相手に届けているでしょうか。

実は、日本企業の多くが当たり前のように続けてきたファイル送信の方法が、大きな曲がり角を迎えています。ファイルを圧縮してパスワードをかけ、そのパスワードを別のメールで送る。この方法はかつて、セキュリティ対策の正解だと信じられてきました。しかし今では、現代のサイバー攻撃に対してほとんど意味がないことがわかっています。それどころか、業務の効率を下げ、ミスを誘発する原因にもなっているのです。

この古い習慣を続けている企業は、知らず知らずのうちにリスクを抱え込んでいます。そして、取引先からの信頼を損なう可能性すらあります。なぜなら、すでに政府機関や大手企業の多くがこの方法を禁止し、新しいファイル共有の形へと移行しているからです。

ここでは、なぜこの古い習慣を見直す必要があるのか、そしてこれからの時代にふさわしい安全なファイル共有とはどのようなものなのかについて説明します。

習慣となったPPAPの正体

私たちは何気なくこの方法を使い続けてきましたが、そもそもPPAPとは何を指すのでしょうか。まずは言葉の意味と、なぜこれほど日本で広まったのかを整理しておきましょう。

PPAPという言葉の由来

PPAPという言葉は、四つの頭文字を組み合わせた造語です。
最初のPは「パスワード付きの圧縮ファイルを送る」こと。次のPは「パスワードを別メールで送る」こと。Aは「暗号化」を意味し、最後のPは「プロトコル（手順）」を指しています。

この名称は、日本情報経済社会推進協会（JIPDEC）に所属していた大泰司章氏が2016年に名付けました。当時流行していたピコ太郎氏の楽曲「ペンパイナッポーアッポーペン」の響きが「プロトコルっぽい」という声をヒントに、問題提起のために命名したとされています。少しふざけた響きに聞こえるかもしれませんが、それには理由があります。この手法の無意味さを多くの人に気づいてもらうために、あえてキャッチーな名前をつけたのです。

語呂がよく、誰もが心当たりのある手順だったことから、この呼び名は一気に広まりました。今では官公庁や大手企業の資料でも使われる正式なビジネス用語になっています。

なぜ日本でこれほど広まったのか

世界を見渡しても、この方法がこれほど普及しているのは日本だけです。海外ではほとんど見かけない習慣です。では、なぜ日本だけで広まったのでしょうか。

背景には、2005年に全面施行された個人情報保護法があります。
この法律をきっかけに、企業は情報漏洩への対策を強く求められるようになりました。当時は大規模な個人情報流出事件が相次ぎ、社会全体がセキュリティに対して非常に敏感になっていた時期でもあります。企業としては、何らかの対策をしているという姿勢を、目に見える形で示す必要があったのです。

そこで注目されたのが、パスワード付き圧縮ファイルでした。
特別な機材もソフトも必要なく、Windowsの標準機能だけで実行できる手軽さが受け入れられたのです。高価なセキュリティシステムを導入しなくても、今日からすぐに始められる。この手軽さが、中小企業を含めた幅広い組織に浸透した理由の一つです。

さらに、プライバシーマークの審査でこの方法がセキュリティ対策として認められたことも、普及を後押ししました。
プライバシーマークを取得したい企業の間で、「この方法なら審査に通る」という認識が広がったのです。ただし、プライバシーマークの運営元である日本情報経済社会推進協会は、この方法を「従来から推奨していない」という見解を公式に発表しています。現場での誤解が一人歩きしてしまったのです。

もう一つの要因は、メール送信を自動化するシステムの普及です。
多くの企業で、添付ファイル付きメールを送ると自動的にパスワード付き圧縮ファイルに変換され、パスワードも自動送信されるシステムが導入されました。担当者は何も考えずにファイルを添付するだけで、「セキュリティ対策をしている」状態になったのです。この自動化が、習慣の定着をさらに加速させました。

形式を重んじる日本のビジネス文化と、手軽に「対策している感」を出したい企業の思惑が重なった結果、この不合理な習慣が十数年も続いてきたのです。

PPAPが危険だと言い切れる理由

多くの人が安全だと信じてきたこの方法ですが、現代のセキュリティ環境では防御策として機能しません。むしろ攻撃を助長する面すらあります。なぜそう言い切れるのか、三つの観点から具体的に見ていきましょう。

鍵と金庫を同じ道で届けている問題

PPAPの最大の弱点は、ファイルとパスワードを同じ経路で送っている点にあります。
この方法を推奨していた人たちの前提は、こうでした。一通目のメールが盗み見されても、二通目のパスワードが無事なら中身は守られる。しかし、この前提は現代の攻撃手法に対して成り立ちません。

今のサイバー攻撃は、通信の途中でデータを盗み取る方法が主流ではありません。メールアカウントそのものを乗っ取ったり、受信者のパソコンをウイルスに感染させたりする形で行われます。つまり、攻撃者は受信箱の中身を丸ごと見ることができるのです。

こうなると、一通目も二通目も同じ受信箱に並んで届きます。金庫のすぐ隣に鍵を置いているのと同じ状態です。攻撃者は、ファイルをダウンロードし、数分後に届いたパスワードをコピーして貼り付けるだけで、簡単に中身を見ることができます。メールを分けて送る意味は、実質的にゼロなのです。

仮にパスワードを電話で伝えたらどうでしょうか。確かに、メールとは別の経路でパスワードを伝えれば、この問題は解消されます。しかし現実には、ほとんどの企業がパスワードもメールで送っています。毎回電話をかけるのは手間がかかりすぎるからです。結局、運用の手軽さを優先した結果、セキュリティ効果がない形で定着してしまったのです。

情報処理推進機構（IPA）が公開している「情報セキュリティ10大脅威」でも、組織における脅威として「標的型攻撃による機密情報の窃取」が毎年上位にランクインしています。こうした攻撃の多くは、メールアカウントを侵害して内部情報を盗み出す手口を使います。PPAPは、まさにこの攻撃に対して無防備なのです。

ウイルス対策を無効にしてしまう皮肉

さらに深刻なのは、パスワード付き圧縮ファイルが企業のウイルス対策を無効化してしまう点です。
多くの企業では、届いたメールの添付ファイルを自動でスキャンし、ウイルスが潜んでいないかをチェックしています。これはゲートウェイ型と呼ばれる仕組みで、メールが届く前の段階で危険なファイルを排除してくれます。しかし、パスワードで保護されたファイルは中身が暗号化されているため、セキュリティソフトは中を覗くことができません。結果として、ウイルス入りのファイルがスキャンをすり抜け、受信者の手元まで届いてしまいます。

攻撃者はこの性質を悪用しています。Emotet（エモテット）と呼ばれるマルウェアは、その典型的な例です。Emotetは、わざとパスワード付き圧縮ファイルの形で自分自身を送りつけます。しかも、実在する取引先の名前を騙り、過去に実際にやり取りしたメールの返信を装って送られてきます。受信者は「取引先からパスワード付きで届いたものだから安全だろう」と思い込み、自らパスワードを入力して中身を開いてしまいます。

ファイルを開くと、WordやExcelのマクロを有効にするよう促す画面が表示されます。ここで「コンテンツの有効化」をクリックすると、パソコンはウイルスに感染します。感染した端末からは、メールのアドレス帳や過去のやり取りが盗み出され、さらに別の人への攻撃に使われます。被害が連鎖的に広がっていくのです。

独立行政法人情報処理推進機構（IPA）やJPCERT/CCも、Emotetがパスワード付き圧縮ファイルを使ってセキュリティ製品の検知をすり抜けていると繰り返し警告を発しています。2020年から2022年にかけて、日本国内でも多くの企業や団体がEmotetの被害を受けました。2024年にも再び活動が活発化し、IPAは注意喚起を続けています。安全のためにかけていたはずのパスワードが、攻撃者の隠れ蓑になり、受信者を騙すための道具として使われているのです。

さらに問題なのは、この方法が「安全だ」という誤った安心感を生んでしまうことです。パスワードをかけているから大丈夫だと思い込み、本来必要な警戒心が薄れてしまいます。この心理的な隙が、攻撃者にとって最大の武器になっています。

送信ミスを防げないという現実

技術的な攻撃だけでなく、日常業務で起こるうっかりミスに対しても、PPAPは無力です。
メール添付という形式は、送信ボタンを押した瞬間にデータのコントロールを完全に失うことを意味します。宛先を間違えた、古いバージョンのファイルを添付してしまった。そんなとき、送った側はファイルを取り戻すことも消すこともできません。

「パスワードを送る前に気づけば大丈夫」と思うかもしれません。確かに、パスワードを送らなければ相手はファイルを開けません。しかし、現代の圧縮解凍ソフトにはパスワードを解析する機能を持つものがあります。特に短いパスワードや単純な文字列であれば、専用のツールを使えば比較的短時間で突破されてしまいます。ZIPファイルの暗号化方式には強度の弱いものもあり、誤送信対策としてPPAPを頼りにするのは危険です。

受信する側の負担も見過ごせません。届くたびに二通のメールを照らし合わせ、パスワードをコピーして、ファイルを解凍する。一回あたりは数十秒の作業でも、一日に何度も繰り返せばかなりの時間になります。組織全体で見れば、膨大な時間の損失です。

スマートフォンでの対応も問題です。パスワード付き圧縮ファイルは、スマートフォンでは扱いにくいことが多く、専用のアプリが必要になる場合もあります。外出先や移動中にさっと確認したいのに、それができない。スピードが求められる広告制作の現場では、この非効率が仕事のブレーキになっています。

日本ネットワークセキュリティ協会の調査によれば、情報漏洩の原因として「誤操作」が常に上位を占めています。どれほど高度なセキュリティシステムを導入しても、人為的なミスは完全にはなくせません。だからこそ、ミスが起きても被害を最小限に食い止められる仕組みが必要なのです。PPAPには、その仕組みがありません。

脱PPAPの波が広がっている

こうしたリスクが認識されるにつれ、PPAPをやめる動きが社会全体で加速しています。もはや一企業だけの問題ではなくなっているのです。

政府と大手企業の決断

流れを変えたのは、政府の動きでした。2020年11月、平井卓也デジタル改革担当大臣が記者会見で、内閣府と内閣官房においてパスワード付き圧縮ファイルの利用を廃止すると発表しました。セキュリティ対策としても、受け取る側の利便性の観点からも適切ではない、というのがその理由です。

この発表のきっかけは、政府が運営する意見募集サイト「デジタル改革アイデアボックス」でした。このサイトに寄せられた意見の中で、PPAP廃止を求める声が最も多くの賛同を集めたのです。現場で働く人々の実感が、政府を動かしたと言えます。

この発表は大きな反響を呼びました。政府が明確に「この方法は不適切だ」と認めたことで、それまで疑われることなく続いてきた慣習に終止符が打たれたのです。

民間企業への波及も早いものでした。日立製作所は2021年に、グループ全体でパスワード付き圧縮ファイルの送受信を禁止すると発表しています。注目すべきは、送信だけでなく受信も禁止した点です。パスワード付き圧縮ファイルが添付されたメールは、届いても自動的にブロックされる仕組みになっています。

このような大手企業がセキュリティポリシーとして受け取り拒否を決めると、その影響はすべての取引先に及びます。広告代理店や制作会社は、クライアントが受け取れない方法で資料を送るわけにはいきません。日立グループと取引のある企業は、否応なくファイル共有の方法を見直す必要に迫られました。

同様の動きは他の大手企業にも広がっています。NTTグループやパナソニックグループなど、多くの大企業が社内ルールとしてPPAPを禁止しています。金融機関でも、セキュリティ強化の一環として脱PPAPを進める動きが出ています。

また、自治体レベルでも変化が起きています。神奈川県は2021年に県庁内でのPPAP利用を原則禁止とし、他の都道府県や市町村でも同様の動きが広がっています。公的機関が率先して新しい基準を示すことで、地域の企業にも影響が及んでいます。

脱PPAPは、一時的な流行ではありません。健全なデジタルビジネスを行うための、新しい参入条件になりつつあるのです。

セキュリティ意識が信頼の証になる時代

現代において、情報の扱い方はその企業の誠実さを測る指標になっています。
クライアントの立場で考えてみてください。未公開のキャンペーン情報や重要な顧客データを、セキュリティ上の欠陥が指摘されている方法で平然とやり取りする会社に、大切な予算やブランドを預けたいとは思わないでしょう。逆に、最新の基準に対応し、安全な方法を提案できることは、それだけで他社との差別化になります。

特に、中小企業の広告担当者や個人事業主の方々にとって、大手との取引で信頼を得るには、こうした細かい運用のアップデートが欠かせません。「うちは小さい会社だから関係ない」という時代ではなくなっています。取引先が脱PPAPを進めている以上、こちらも対応しなければ、そもそもファイルを受け取ってもらえない可能性があるのです。

2023年に施行された改正個人情報保護法では、個人データの漏洩などが発生した場合の報告義務が強化されました。万が一の事態が起きたとき、「どのような対策をしていたか」が厳しく問われます。誰もが問題だと認識している方法を漫然と使い続けていたとなれば、企業の管理体制そのものが疑われることになります。

セキュリティ対策をコストや負担と捉えるのではなく、プロフェッショナリズムを証明する武器として捉え直す。この転換ができるかどうかが、これからのパートナー選びで大きな鍵を握ります。

これからのファイル共有

では、PPAPに代わる方法として何を選べばよいのでしょうか。現在、多くの企業が移行しているのは、クラウドストレージを使ったファイル共有です。GoogleドライブやMicrosoft OneDrive、Dropboxといったサービスが代表的なものです。

これらのサービスに共通しているのは、ファイルそのものを相手に渡すのではなく、自分が管理している場所へのアクセス権を与えるという考え方です。メール添付がファイルのコピーを渡す行為だとすれば、クラウド共有は自分の管理下にある場所に相手を招待する行為と言えます。

この違いがもたらす最大の利点は、送った後からでもアクセス権を取り消せることです。宛先を間違えた、送るファイルを間違えた。そんなときも、すぐに閲覧を止められます。人為的なミスが重大な情報漏洩に発展するのを防げるのです。メール添付では絶対にできないことが、クラウド共有なら可能になります。

また、クラウドサービスは通信が暗号化されており、ファイル自体も暗号化された状態で保存されます。誰がいつアクセスしたかの記録も残ります。こうした仕組みは、PPAPよりもはるかに高い安全性を提供してくれます。

使い方の基本は、相手のメールアドレスを指定してファイルやフォルダを共有するだけです。閲覧だけを許可するのか、編集も可能にするのか、ダウンロードを禁止するのか。目的に応じて細かく権限を設定できます。有効期限を設けることもできるため、プロジェクト終了後にアクセス権を消し忘れて情報が公開されたままになる、といったミスも防げます。

無料プランでも基本的な機能は使えますし、ビジネス向けプランを契約すればさらに細かい管理が可能になります。導入のハードルは決して高くありません。

ただし、クラウドサービスにも注意点はあります。誰でもアクセスできる公開リンクを安易に作らないこと、必要最小限の権限だけを与えること、定期的にアクセス権を見直すこと。こうした基本を守れば、安全で効率的なファイル共有が実現します。

具体的な設定方法や運用のコツについては、別の機会に詳しくご紹介します。まずは、クラウドストレージという選択肢があることを知り、自社の業務にどう取り入れられるかを考えてみてください。

情報の扱い方を見直すということ

ファイル共有の方法を変えることは、単なるツールの変更ではありません。プロフェッショナルとしての信頼を築き直す行為です。

これまで当たり前だと思っていた方法が、実は危険で非効率だった。そう気づいたとき、すぐに行動を変えられるかどうかが問われています。「うちはずっとこのやり方だから」「取引先もこの方法で送ってくるから」といった理由で古い習慣にしがみついていると、いつの間にか時代に取り残されてしまいます。

日々の業務に追われる中で、新しい基準を一つずつ取り入れていくのは大変かもしれません。しかし、一度身につけてしまえば、それはあなたとクライアントを予期せぬトラブルから守る盾になります。

私たちは、こうした実務に役立つ情報を分かち合うことで、皆さんの現場がより円滑に、そして安全に進むことを願っています。広告やマーケティングの最新トレンドに加えて、提案や制作進行の現場で使えるトピックを定期的にお届けしています。コラムの更新を見逃したくない方は、ぜひメールマガジンにご登録ください。