最新セキュリティマネジメント(第57回) 「PPAP」が非推奨とされる理由と代替手段、今後の対策を解説

リスクマネジメント 働き方改革

公開日:2026.02.16

 相手に送るファイルをZIP形式で圧縮し、パスワードを付けてメールに添付する。さらに、解凍するためのパスワードを別メールで通知する。こうした運用は一般に「PPAP」と呼ばれる。近年は行政機関やセキュリティ関連機関が注意喚起を行い、企業でも見直しが進む。そこで本記事では、PPAPが問題視される主な理由と代替手段を整理していきたい。
※PPAPの語源には諸説あるため、本記事では運用内容の呼称として用いる。

資料DLバナー_セキュリティおまかせ.png

PPAPが問題視される主な理由

 PPAPは「パスワード付きZIPファイルをメールで送信し、その後に別メールでパスワードを伝える」手法だ。ZIP化によりファイルサイズを小さくでき、解凍パスワードを付けることで簡易的な暗号化も同時に施せる。特別なソフトが不要で、手軽に導入できたため普及した。一方で、次の理由から安全性に限界がある。

メール経路・アカウント侵害時に漏えいし得る

 ZIPファイル付きメールとパスワード通知メールを、同じメールアカウントや同じ経路で送る運用では、盗み見やアカウント侵害が起きると両方のメールが漏えいするおそれがある。その場合、添付ファイルを解凍されてしまう。

人為ミスによる情報漏えいが起きやすい

 パスワードの誤送信や宛先の誤り、同一パスワードの使い回しなど、運用ミスが起きやすい点も課題だ。運用ルールを厳格にしても現場の負荷が上がり、継続が難しくなる。

セキュリティ検査を迂回させる温床になり得る

 添付ファイルを暗号化すると、メールセキュリティ対策やゲートウエイでの内容確認が難しくなる場合がある。結果として、悪意あるファイル(マルウエア)が検知をすり抜けるリスクが高まる。独立行政法人情報処理推進機構(IPA)も、パスワード付きZIPファイルが攻撃メールで悪用された事例を公表している。

 こうした背景を受けて2020年11月に当時のデジタル改革担当大臣だった平井卓也氏が公式の場でPPAPの不適切性を指摘し、中央省庁での廃止方針を打ち出した。その後、2025年5月には金融庁が「パスワード付きファイルの電子メールによる送付について」というタイトルで注意喚起を行い、その動きが産業界全体にも広がっている。

自社の実情に合った代替手段の選択を

 PPAPの代替手段はいくつかある。利便性を維持しつつ、権限管理や監査などの統制を効かせる点が重要だ。代表的な選択肢を紹介する。

クラウドストレージで共有する

 ファイルをクラウドストレージに保存し、共有リンク(URL)を相手に送る方法だ。保存しておけば、どこからでもアクセスできる他、簡単に共有できる。

 権限設定、期限付き共有、ダウンロード制御、ログ取得などを使えるサービスもある。運用面では、共有範囲の誤設定やリンクの再共有を防ぐルールが必要だ。費用は容量や機能に応じて発生する。

添付ファイルを自動分離し、共有リンクに置き換える

 メールの添付ファイルを自動で分離し、クラウド側に保存して共有リンク(URL)を通知する方式だ。保存されたファイルへのアクセス用共有リンクURLが自動でメールに追加され、相手に通知される。

 送信者は従来通りメールにファイルを添付するだけで済む。受信者側も、通知された共有リンクからダウンロードできる。サービスによってはプレビュー機能も使える。一方で、保管場所、認証方式、ログの保全、委託先管理などの要件を確認する必要がある。

チャットやコラボレーションツールで共有する

 組織で利用しているチャットツールやコラボレーションツールのファイル共有機能を使う方法もある。相手や共有範囲を把握しやすい一方、権限設定ミスや誤送信が起きると拡散しやすいため、注意が必要だ。外部共有の可否、ゲスト招待、リンク共有の制限など、管理者設定が前提になる。

専用のファイル転送サービスを利用する

 暗号化通信、アクセス制御、監査ログ、誤送信対策などを備えたファイル転送サービスを用いる方法だ。要件に合いやすい一方、費用や導入・運用設計が必要になる。この他にも、電話やSMSを使って別ルートからパスワードを伝える方法がある。ただし、運用が複雑になるとミスを招きやすい。自社の業務フローと相手先の受け取りやすさを踏まえ、負担を増やさずに安全性を高められる手段を選びたい。

※掲載している情報は、記事執筆時点のものです。

執筆=高橋 秀典

【TP】

セキュリティおまかせプラン

あわせて読みたい記事

「リスクマネジメント」カテゴリーから探す

連載バックナンバー

最新セキュリティマネジメント

もっと見る

カテゴリー 一覧