「PPAP(ZIP暗号化)をやめてください」と会社や取引先から言われて困っていないか?
2026年現在、多くの企業や官公庁では暗号化ZIPメールを自動削除する設定が標準化されている。もはやマナーの問題ではない。「メールが届かない=仕事が止まる」 という実害のフェーズだ。
情シス部門の担当者として、この問題への相談は毎月のように受ける。「どのツールに移行すればいいか」「取引先にどう説明するか」「受信拒否の設定はどうするか」。本記事ではその全てに答える。
この記事でわかること
- PPAPがなぜ「百害あって一利なし」と言われるのか(技術的根拠)
- 2026年時点で情シスが推奨できる代替ツールの比較
- 失敗しない3ステップ移行法と取引先への告知文の書き方
- 無料ファイル転送サービスを業務で使ってはいけない理由
1. PPAPとは?(30秒で理解する)
📌 要点:PPAPとは「パスワード付きZIPを送り、別メールでパスワードを送る運用」のこと。日本企業に広まった俗称で、現在は多くの専門家が「百害あって一利なし」と断言している。
PPAPは 「Password付きZIPファイルを送り、別メールでパスワードを送る運用」 だ。日本のIT業界で広まった俗称で、ピコ太郎の楽曲に由来する。長年「セキュリティ対策」とされてきたが、今では多くの専門家が廃止を推奨する。
内閣府は2020年に政府機関でのPPAP廃止を宣言。金融機関・大手メーカー・官公庁が相次いで受信拒否設定を導入した。気づかないうちに相手のサーバーで自動削除されているケースが増えている。
2. なぜPPAPは「危険」なのか|3つの致命的欠陥
📌 要点:PPAPは盗聴防止にならず、ウイルス検査を妨害し、スマホ時代の生産性を下げる三重苦を抱えた運用だ。
PPAPの問題を一言で言えば、「鍵をかけた宝箱と鍵を、同じ泥棒が潜んでいるかもしれない同じ道で送る」という矛盾した行為だ。
欠陥①:盗聴に対して無防備
ZIPとパスワードが同じメール経路を通るため、メールが傍受されていれば両方セットで盗まれる。「暗号化している」という安心感は完全な幻想だ。
欠陥②:ウイルス検査の「目隠し」になる(最大の欠陥)
企業のセキュリティソフトはメール添付ファイルをスキャンするが、暗号化されたZIPの中身は見ることができない。この性質を悪用して、AI化したマルウェア(Emotetの進化版など)がZIP内に隠れて侵入する。PPAPを続けている会社は、自ら「ウイルス検査を拒否」しているのと同じだ。
欠陥③:スマホ時代の「迷惑行為」
外出先のスマホでZIPを解凍するのは相当な手間だ。相手の時間を奪う「生産性の低いマナー」に成り下がっている。
医療機関での情シス経験から言うと、PPAPは「お互いにやめたくても、先にやめると失礼になると思って誰も言い出せない」という負のループにはまりやすい。言い出せないうちに自動削除設定が普及して、実害が出る。そうなる前に情シス部門が率先して廃止を宣言すべきだ。
3. 脱PPAPの本質|「送る」から「見せる」への転換
📌 要点:脱PPAPの本質はファイルをメールに添付する文化を卒業し、クラウド上のファイルに一時的なアクセス権を渡す仕組みへシフトすることだ。
脱PPAPを「ツール変更」と捉えると失敗する。本質は 「ファイルを送る」から「ファイルへのアクセス権を一時的に渡す」 という思想の転換だ。
クラウド共有が圧倒的に安全な理由は3つある。
| 利点 | 詳細 |
|---|---|
| 後から消せる | 誤送信してもリンクを無効にすれば中身は見られない(メールは取り消せない) |
| 中身が見える | サーバー側でウイルススキャンを通した安全なファイルだけを共有できる |
| 足跡が残る | いつ・誰がダウンロードしたかのログが残り、監査証跡として使える |
4. 実務者のための代替ツール比較(2026年版)
📌 要点:既存のOneDrive・Google Driveで解決できるケースがほとんど。新しいツールを買う前に、まず今使っているクラウドの「外部共有設定」を確認すること。
| ツールタイプ | 代表例 | メリット | 現場の注意点 |
|---|---|---|---|
| クラウド共有 | Box / OneDrive / Google Drive | 最も安全で一般的。追加コスト不要な場合が多い | 外部共有設定のルール化が必要 |
| 自動リンク化 | Mail Gates / HDE One | 送信側は今まで通りで添付が自動でURLに変わる | 受信側に認証の手間が発生する場合あり |
| チャット共有 | Slack / Teams | 協力会社との密な連携に最適 | ゲスト招待管理のコストがかかる |
⚠️ 【警告】無料のファイル転送サービスは業務NGの理由
「ギガファイル便」などは手軽だが、「誰が何を送ったか」のログが会社に残らない。情報漏洩時の追跡が不可能になる。必ず会社が契約した法人ツールを使うこと。この点は情シス部門として明文化したルールを作るべきだ。
5. 失敗しない3ステップ移行法
📌 要点:移行は「社内設定の確認→受信拒否の設定→取引先への事前告知」の順番で進める。新しいツールを買う前に既存環境で解決できないか確認するのが先決だ。
STEP 1:社内資産の「設定」を確認する
まずOneDriveやGoogle Driveの「外部共有設定」が有効か情シスに確認しよう。新しいツールを買わなくても、設定変更だけで解決するケースがほとんどだ。予算稟議を通す前にここを確認する。
STEP 2:自衛のために「受信拒否」を始める
「自社が送らない」だけでは不十分だ。「他社から届く暗号化ZIPを受け取らない(サーバーで止める)」設定を導入することで、初めて社内をウイルスから守れる。
STEP 3:取引先への「事前告知」
メール署名や公式サイトで「○月○日より、セキュリティ向上のため添付ファイルの共有方法を変更します」と告知する。「政府の方針(内閣府の廃止宣言)に基づいた対応」であることを添えると納得を得やすい。以下は告知文のテンプレートだ。
件名:弊社のファイル送受信方法変更のお知らせ
平素よりお世話になっております。
弊社では、政府機関のガイドラインおよびセキュリティ強化の観点から、
○月○日より暗号化ZIPファイル(PPAP方式)による添付ファイルの
送受信を廃止いたします。
今後はクラウドストレージ(○○)のリンク共有にてファイルをお届けします。
ご不明な点がございましたらご連絡ください。よくある質問(FAQ)
- QPPAPを廃止すると取引先に失礼になりませんか?
- A
失礼にはなりません。
内閣府が廃止宣言を出している以上、PPAP廃止はセキュリティ意識の高さの証明です。「政府方針への対応」として説明すれば、むしろ信頼につながります。
- Q受信拒否設定をすると、取引先の重要なメールが消えませんか?
- A
暗号化ZIPの自動削除は、ZIPファイル添付のメール全体ではなく「パスワード付きZIP添付」のみを対象にできます。
通常のZIPや他の添付ファイルは影響を受けません。
- QBox・OneDriveのリンク共有は本当に安全ですか?
- A
適切な権限設定(有効期限・アクセス制限・DL制限)を組み合わせれば、PPAPより遥かに安全です。
セキュリティ部門がルールを文書化して運用することが前提です。
- Q中小企業にはどのツールがおすすめですか?
- A
すでにMicrosoft 365を使っているならOneDriveの外部共有機能で十分です。
Google Workspaceを使っているならGoogle Drive。新規投資なしで移行できます。
- Qクラウドに社外秘ファイルをアップロードするのは危険では?
- A
むしろPPAPでの運用を続けるほうが危険です。
クラウドサービスはウイルススキャン・アクセスログ・権限管理が標準装備されています。問題は「設定を正しく行うかどうか」です。
まとめ
- PPAPは盗聴防止にならず・ウイルス検査を妨害し・生産性を下げる三重苦を抱えた「有害な儀式」だ
- 脱PPAPの本質は「ファイルを送る」から「アクセス権を一時的に渡す」への思想転換だ
- 移行は新ツール購入より先に、既存クラウドの「外部共有設定」確認から始めるべきだ
- 無料のファイル転送サービスは「ログが残らない」という点で業務利用NGだ
- 取引先への告知は「政府方針への対応」として説明すれば摩擦なく進められる
2026年の現在、PPAPを続けることはセキュリティ意識の低さではなく、相手のサーバーで自動削除されて仕事が止まるリスクを抱えることを意味する。情シス部門として、この問題を経営層に説明して廃止を推進することが急務だ。
🔗 関連記事:
