手間をかけて、セキュリティを下げる「奇跡の愚策」。日本独自のPPAPが根絶されない真実

「パスワード付きZIPファイルを送り、その直後に別メールでパスワードを送る」

日本のビジネスシーンで、呼吸をするように当たり前に行われているこの「パスワード別送」。しかし、ITの専門家たちがこの慣習を何と呼んでいるかご存知でしょうか。彼らはこれを、ピコ太郎さんの楽曲にちなんで「PPAP」と揶揄し、「今すぐにやめた方がいい悪しき風習」として激しく批判しています。

実は、この「パスワード別送」には、セキュリティ上の意味が全くないどころか、むしろ企業の安全性を著しく低下させているという衝撃の事実があります。本記事では、なぜこの「無意味な儀式」が日本だけでガラパゴス的に普及してしまったのか、その歴史的経緯と、私たちが陥っている「安心感の罠」の正体を解き明かします。これは、科学的な正しさよりも「やってる感」を優先してしまう、日本企業のシステムエラーの物語です。

1. 結論：パスワード別送は「一切意味がない」どころかマイナスである
2. 専門家が「クソどうでもいい仕事」と断じる、PPAPという名のセキュリティシアター
3. なぜ日本だけ？ガイドラインの“誤読”から始まった20年の悲劇
4. 科学的な「安全」よりも、儀式的な「安心」を求めてしまう心理
まとめ
1. 配信元

1. 結論：パスワード別送は「一切意味がない」どころかマイナスである

結論から申し上げましょう。メールによるパスワード別送方式は、セキュリティ上の効果が一切ありません。それどころか、「あれね、一切意味ありません。今すぐにやめた方がいい悪しき風習ですね」と専門家が断じる通り、百害あって一利なしの状態です。

なぜこれほどまでに否定されるのか。その理由は、ITの論理で見ればあまりにも明白です。
まず、多くの企業でこの「別送」作業はシステムによって自動化されています。1通目の宛先を間違えれば、2通目のパスワードも自動的に間違った相手に届きます。これでは誤送信対策としての体を成していません。

次に、通信経路の問題です。もし攻撃者があなたのメールを傍受できる環境にあるなら、彼らは当然、1通目のZIPファイルも、2通目のパスワードメールも、両方とも閲覧することができます。同じ土管を通って流れてくる情報を2つに分けたところで、泥棒に対して「鍵はポストに入れておきました」と言っているようなものです。

そして、最も深刻なのが「セキュリティレベルを意図的に下げている」という点です。GメールやOutlookなどの現代的なメールサービスには、添付ファイルのウイルススキャン機能が備わっています。しかし、パスワードで暗号化されたZIPファイルの中身を、これらのシステムは検閲することができません。
つまり、PPAPという手法は、悪意のあるプログラムをわざわざ「門番の目が届かない黒塗りの箱」に入れて、安全に相手のPCまで届けてしまう手助けをしているのです。

「手間だけかけてセキュリティが下がってるっていう、奇跡の現象なんですよ」

本来、情報を守るための「手間」が、実はセキュリティの壁を壊す「バグ」として機能している。この救いようのない矛盾こそが、PPAPが「奇跡の愚策」と呼ばれる所以です。

2. 専門家が「クソどうでもいい仕事」と断じる、PPAPという名のセキュリティシアター

この不合理な慣習を根絶しようと、IT業界では激しい抵抗運動が続いています。Facebookには「くたばれPPAP」というグループが存在し、1,000人以上の専門家たちが日々、この不毛な作業に対する怒りを共有しています。

専門家たちは、PPAPを「セキュリティシアター（劇場型セキュリティ）」や「見世物小屋セキュリティ」と呼び、冷笑しています。これは、実際には防犯効果が皆無であるにもかかわらず、防犯カメラのダミーを置いたり、仰々しい手続きを増やしたりすることで、「守られている感じ」だけを演出するパフォーマンスを指す言葉です。

「実際にはセキュリティに何も貢献していないのになんとなくやってる感を演出して安心できるよね。こういうののことセキュリティシアターって呼ぶんですよ」

行政側でも、すでに内閣府がPPAPの廃止を宣言しており、多くの先進企業がクラウド共有への移行を急いでいます。しかし、それでもなお、多くの現場では「上司が納得しないから」「取引先が求めているから」という理由で、このゾンビのような慣習が生き長らえています。

これは、人類学者のデヴィッド・グレーバーが提唱した「ブルシットジョブ（クソどうでもいい仕事）」の典型例と言えるでしょう。誰もが「バカバカしい」と思いながら、それを止める勇気を持てずに続けている。PPAPを続けている組織は、もはやITリテラシー以前に、組織文化そのものが末期症状に陥っていると言っても過言ではありません。

3. なぜ日本だけ？ガイドラインの“誤読”から始まった20年の悲劇

驚くべきことに、PPAPは日本独自のガラパゴス文化であり、海外のビジネスエリートにこの話をしても「正気か？」と驚かれます。なぜ、日本だけがこれほどまでに長く、この呪縛に苦しんでいるのでしょうか。その起源は、2005年頃の「たった一つの勘違い」にありました。

当時、個人情報保護法が施行されたばかりで、多くの企業が暗中模索の状態でした。その際、一部のセキュリティガイドラインには「機密情報は暗号化し、パスワードは別に送ること」という趣旨の内容が記されていました。しかし、この「別に送る」とは、本来は「電話や対面、あるいは別の通信経路（チャットやSMS）で伝える」という意味だったのです。

ところが、この「別の経路」という指示が、日本の現場ではいつの間にか「別のメール」で送ればよいという、あまりに安易で致命的な解釈にすり替わってしまいました。

ガイドラインを誤解した運用が、どこかの大企業で始まる。
それを見た他社が「これぞ最先端のビジネスマナーだ」と勘違いして追従する。
システム業者がその不合理な需要に合わせて、自動で2通目を送るツールを販売し、ビジネスとして固定化される。

このようにして、科学的な検証が一切なされないまま、「マナー」という名のウイルスが日本全土に蔓延していったのです。本来、BoxやGoogleドライブといったクラウドストレージの共有URLを送る方が、技術的にははるかに高度な認証とセキュリティスキャンを経ており、安全であることは言うまでもありません。しかし、その「スマートすぎる解決策」は、日本人の美徳とする「手数をかけること」と相性が悪かったのです。

4. 科学的な「安全」よりも、儀式的な「安心」を求めてしまう心理

現在、PPAPを推奨するITベンダーはほぼ存在しません。彼らですら、本音では「こんな無意味なツール、売りたくない」と考えています。それでもなお、この文化が消えない理由は、私たちの深層心理にある「宗教的なニーズ」にあります。

「科学的理由がないところでのドグマがあって、そのドグマによって強制される儀式を踏んでいれば、科学的に間違っていてもそれが正当化されてしまう」

クラウド共有でURLを一つ送る。たったそれだけのことが、なぜこれほど難しいのでしょうか。それは、URLを送るだけでは「セキュリティを頑張っている感」が出ないからです。一方で、ZIPファイルを固め、パスワードをコピペして、2通目のメールを打つ。この面倒な手間が発生することで、私たちは「私はこれだけ苦労して情報を守っています」というポーズを相手に示すことができます。

「科学的に安全を求めるのではなく、儀式によって安心を求めているように思える」

これは、地球平面説を信じる人々や、科学的根拠のない迷信を信じる心理と同じです。人々は不安を解消するための「寄り添い」や「儀式」を求めており、PPAPはその不合理なニーズを満たすための道具になってしまっているのです。しかし、その儀式のために、ウイルスを素通りさせ、社員の貴重な時間を奪っているのだとしたら、そのマナーは一体誰のためのものなのでしょうか。

正直なところ、あなたが一人でPPAPをやめたとしても、取引先から「マナー違反だ」と怒られるリスクを考えると、なかなか踏み出せないのが本音でしょう。これは個人の問題ではなく、日本企業の「同調圧力」というOSが引き起こしているシステムエラーなのです。