「来月からパスワード付きZIPファイルの送受信を禁止します」
経営層からのトップダウンで突然の「脱PPAP」指示。しかし、現場からは「取引先が対応できない」「手間が増える」と反発を受け、板挟みになっている情シス・DX担当者は少なくありません。PPAPは、暗号化ZIPの中身をメールゲートウェイ側で十分に検査できない点などから、セキュリティ上・運用上の課題が指摘されてきました。だからこそ重要なのは、禁止通達だけで終わらせず「取引先に負担をかけずに移行できる手順」と「運用の標準形」を先に用意することです。本記事では、既存のPPAP解説は最小限に留め、現場が止まらない移行ロードマップと、相手に配慮した共有設計の要点を整理します。

なぜ「PPAPは廃止」なのか?政府方針とEmotetの脅威

2020年の政府方針転換で「慣習」が見直された

PPAP(パスワード付きZIPファイルを送り、別メールでパスワードを送る手法)の潮目が変わったのは、2020年11月です。当時の平井卓也デジタル改革担当大臣が、中央省庁におけるPPAPの廃止を表明し、内閣府・内閣官房での即時廃止を決定しました。これに続き、プライバシーマークを運営するJIPDECなどの関連団体も「PPAPは推奨しない」という見解を示したことで、民間企業においても「PPAP=セキュリティ対策」という認識から「PPAP=リスク」という認識への転換が急速に進みました。

出典: 内閣府 https://www.cao.go.jp/minister/2009_t_hirai/kaiken/20201124kaiken.html

ウイルスチェックをすり抜ける「Emotet」の猛威

廃止が急がれる最大の理由は、マルウェア「Emotet(エモテット)」の感染拡大です。Emotetなどの攻撃メールは、パスワード付きZIPファイルの中にウイルスを隠すことで、企業のメールサーバーにあるウイルスチェック(検疫)をすり抜けて侵入します。「暗号化されているから安全」なのではなく、「暗号化されているせいで中身を検査できない」という脆弱性が突かれ、甚大な被害を出しているのが現状です。

脱PPAPが進まない「3つの壁」と移行ロードマップ

現場がつまずくのは「利便性・取引先・コスト」

リスクは理解していても、現場がPPAPをやめられない背景には3つの壁があります。

  1. 利便性の壁: ZIP化・別送という作業が手に馴染んでおり、代替手順が浸透しない
  2. 取引先の壁: 相手にアカウント作成や新ツール登録を求めると拒否されやすい
  3. コストの壁: 代替ツール導入の費用対効果を短期で説明できず稟議が止まる


この状態で「明日から禁止」と通達すると、現場は業務を止めないために抜け道を探しやすくなります。移行は“ルール変更”ではなく“運用プロジェクト”として設計する必要があります。

フェーズを分けた段階的廃止ステップ

成功する移行プロジェクトは、以下のステップで進めます。

  • フェーズ1(現状把握): どの部署が、どの取引先に、どんな頻度・容量でPPAPを使っているかを棚卸しします。
  • フェーズ2(代替ツールの導入と並行運用): クラウドストレージ等を導入し、PPAPと併用できる期間を作ります。主要取引先には、切替時期と手順を事前連絡します。ここで重要なのは「取引先に新しい負担を増やさない形」を用意することです。
  • フェーズ3(受信ブロックの開始): PPAPを受け取った際の対応(添付削除・注意喚起・代替手段への誘導など)を段階的に強め、例外対応のルールも明確にします。重要顧客への影響を避けるため、ホワイトリストや“例外の申請窓口”を先に決めておくのが現実的です。

取引先に負担をかけない「共有」設計と標準設定

相手にID管理を求めない共有が、移行の摩擦を下げる

代替手段として最も推奨されるのが、法人向けクラウドストレージによる「ファイル共有」です。しかし、取引先に「アカウントを作ってください」とお願いするのはハードルが高いものです。Fleekdriveなら、取引先にアカウント作成を求めなくても、URLを共有するだけで安全にファイルの受け渡しができます。用途に応じて「ファイル配信(送付)」や「公開スペース(フォルダ単位共有)」を使い分けられ、パスワード設定・公開期間・ダウンロード回数制限なども付与可能です。相手に新たなID/パスワード管理の負担を強いることなく、統制された共有運用へ移行できます。

ファイル共有:https://www.fleekdrive.com/function/filesharing/

URL共有を安全運用にする「5つの標準設定」

PPAPの代替を“URL共有”にする場合は、運用ルールをあらかじめ標準化しておくと良いでしょう。特に次の5項目は、社内で“基本形”として整理しておくと、担当者ごとの設定ブレを抑えやすくなります。

  1. 有効期限:いつまでアクセス可能か
  2. パスワード:付与するか/通知経路は何か
  3. 権限:閲覧のみか、アップロード可か
  4. 対象範囲:フォルダ単位か、ファイル単位か
  5. 監査性:誰がいつアクセス・更新したか追える状態か

標準設定がないと、案件ごとに「この共有は問題ないのか」という確認や調整が発生しがちです。先に“基本形”を決めておき、必要なケースだけ例外調整にする運用にすると、手戻りや調整コストを抑えながら移行を進めやすくなります。

PPAP廃止は「信頼」への投資

PPAP廃止は、単なるセキュリティルールの変更ではありません。それは、「ウチは古くて危険な慣習を続けている会社ではありません」という対外的なメッセージであり、取引先との信頼関係を守るための投資です。「送る」から「共有する」へ。Fleekdriveのような相手に配慮した機能を持つツールを選び、ロードマップに沿って丁寧に移行を進めることで、現場の反発を最小限に抑えつつ、安全でスマートなビジネス環境を実現しましょう。