添付メールのセキュリティ対策として利用されているPPAPですが、実は政府や企業が禁止し始めていることをご存じでしょうか。現在では利用する政府や企業が減り、PPAP問題として発展している状況です。
そこで本記事では、PPAP問題の概要と廃止を進めるべき理由、利用し続ける際に起こる問題についてご紹介します。PPAPから脱却する方法も解説しますので、安全なメールセキュリティ対策に必要な知識として参考にしてください。
目次
早急に対策すべきPPAP問題とは?
PPAP問題とは、添付メールのセキュリティ対策によって発生する問題のことを指します。
添付メールを暗号化して別メールでパスワードを送信するPPAPは、安全に添付メールを送信できるということで多くの企業が導入していました。しかし、現代では次の理由から安全性が疑問視され、廃止の流れが生まれています。
- ウイルスを検出するマルウェアを潜り抜けてしまう
- 誤送信を対策できない
- 作業者のPC操作に依存している
PPAP問題はすでに大きな問題として発展しており、2020年11月には内閣府から「PPAPの廃止」が明言されています。また、日本情報経済社会推進協会からも「PPAP総研」を廃止すべきであると批判を述べている状況です。
すでに脱PPAPの動きが始まっており、政府はもちろん大手企業でも利用されなくなってきています。
PPAPの廃止を進めるべき2つの理由
PPAPの廃止を進めるべき理由は2つあります。セキュリティ対策に関する問題と、現代の働き方に関する問題に直結する内容です。まずは、なぜ廃止が必要なのかを具体的にご紹介します。
セキュリティの脆弱性
PPAPには、セキュリティの脆弱性という問題があります。今までPPAPはメールセキュリティ対策に有効だと思われていました。しかし、実際にはセキュリティ対策としての効力がかなり薄いことが分かっています。
セキュリティ対策をしたつもりでも、効力がなければトラブルに発展しかねません。ウイルス問題はもちろん、情報流出や誤送信による漏洩など、企業にとって大きな問題に発展する可能性があります。
また、PPAPは政府で利用されていたメールセキュリティのプロトコルです。国としての重要な情報が漏れてしまうのは大問題のため、廃止が進められることとなりました。
働き方改革に伴うテレワークの導入
PPAPはPC操作のみに対応するセキュリティ対策であり、スマートフォンといったモバイル端末では利用できません。
一方、現代では働き方改革などの影響により、テレワークなど自由な働き方が浸透しています。仕事の中でモバイル端末を利用する場面も多くあり、PPAPは現代の働き方の中で利用しづらいメールのセキュリティ対策となってきているのです。
そもそもなぜPPAPが定着したの?
PPAP問題として廃止が進んでいるPPAPですが、そもそもなぜ政府や企業のセキュリティ対策として定着したのでしょうか。その理由は2つあります。さまざまなタイミングが重なったことが普及の要因です。
総務省ガイドラインの誤解
情報セキュリティについて情報発信する総務省では、毎年セキュリティガイドラインとして「地方公共団体における情報セキュリティポリシーに関するガイドライン」を公表しています。このガイドラインでは次の項目がルールとして記載されていました。
- 機密性2以上の情報を送るときはファイル暗号化する
- メール以外の方法でパスワードを伝える
このうち、前者のファイル暗号化だけを地方自治体や企業が認識してしまい、PPAPを利用できると導入が進みました。その結果、ほとんどの企業がガイドラインを誤解してPPAPが定着してしまったのです。
また、ガイドライン内にPPAPに関する明確な肯定・否定がないこともあり、現代でも誤解したまま利用し続けている地方自治体や企業が数多くあります。
安全性を公開するプライバシーマークの流行
PPAPの定着は、プライバシーマークが流行したことも関係しています。プライバシーマークとは、個人情報保護法の施行に伴い「自社では顧客や取引先の情報をしっかりと保護している」ことを証明する認定制度のことです。
個人情報保護法が登場した2005年には、数多くの企業が個人情報を流出させていたことがあり、企業の信頼性を落とさないためにプライバシーマークを取得する企業が増えていました。
その取得に影響したのが、PPAPです。当時、本来の目的である個人情報の保護ではなく、信頼性を下げないためにプライバシーマークを取得する企業が増えました。簡易的に導入できるPPAPは、便利なシステムだったのです。結果としてPPAPは全国的に定着し、問題化されるまで広く使用されていたのです。
PPAPを利用し続けることで発生する3つの問題
すでに問題視されているPPAPですが、まだ利用し続けている地方自治体や企業が多数あります。しかし、廃止が進む中で利用し続けた場合、さまざまな問題が発生するかもしれません。
続いて、PPAPの利用によって発生する問題を3つご紹介します。今問題化していなくても、将来大きな問題に発展する場合もあるので、問題回避の参考にしてください。
知らぬ間に発生する「ネットワーク盗聴」
PPAPは、送信者のPCおよび受信者のPCのメールボックスに、次の2通のメールを送ります。
- 本文や添付データが載ったメール
- パスワードが記載されたメール
つまり、送信者・受信者のPCがハッキングされたり、第三者から閲覧されたりすると、知らぬ間にネットワーク盗聴を受けてしまう可能性があります。ネットワーク盗聴はPC利用者が気づかない水面下で実施されるのが特徴です。情報が抜き出されてしまう可能性があるため注意してください。
また、PPAPのセキュリティの脆弱性が関係して、ハッキングされる場合もあります。普段から重要なデータをPPAPで送信しているのなら、早急に代替案を検討する必要があるでしょう。
情報流出につながる「マルウェア感染」
多くのPCでは、マルウェアによるウイルスメールのチェックが行われます。しかし、PPAPで送信するZIPファイルの場合、マルウェアチェックの対象から除外されてしまうことをご存じでしょうか。
マルウェアがウイルス感染に気づかない場合、ウイルスに感染したデータに触れてしまうこととなります。一度ウイルスに感染してしまうと、メールボックスの情報だけでなくPCで管理するデータや接続しているサーバーから情報が流出してしまうかもしれません。
対策したつもりになる「暗号強度の無効化」
PPAPはセキュリティ対策になっているようで、あまり効力を発揮できないのが特徴です。しかし、PPAPに信頼を寄せている企業の場合、対策したつもりになってしまい、知らぬ間に企業の暗号強度が無効化されていることに気がつけません。
結果的に、セキュリティ対策を行っていないことと同じ状態に陥ります。ウイルス感染やハッキングといったリスクがあるため、早急に対策を行う必要があるでしょう。
PPAPから脱却するために今すぐ始めるべきこと
セキュリティ対策としての効力がないPPAPは、PPAP問題として政府や企業で廃止の動きが進んでいます。PPAPから脱却するためには、次のような代替案を検討することが大切です。
- コミュニケーションツールの利用
- クラウドストレージの利用
- メールフィルタリングサービスの利用
- Webダウンロードサービスの利用
上記のサービスは、どれも基本的に無料で利用できます。また個人情報保護法のルールに則った添付メールのセキュリティ対策を行えるため、データのやり取りを代替してみてはいかがでしょうか。
PPAP問題を理解したら代替サービスへの移行を検討しよう
PPAP問題はすでに公になっており、徐々にPPAPから脱却している地方自治体や企業が増えてきています。将来的にはPPAPが完全に廃止され、多くの企業が代替案に移行していくと予想されるでしょう。
もし、現在PPAPを利用しているなら、この機会に代替案への乗り換えを検討してみてはいかがでしょうか。
