メールにパスワード付きZIPを添付し、別メールでパスワードを送る「PPAP」は、日本企業で長く慣行となってきました。しかし近年、情報漏えい対策としての実効性が乏しいこと、運用負荷が高いこと、そして攻撃者に悪用されやすいことが広く認識され、廃止の流れが加速しています。三菱UFJフィナンシャル・グループ(MUFG)がPPAP廃止を「以前から検討していた」としつつ、2024年に実施に踏み切った経緯は、単なる技術論ではなく、組織・規制・取引慣行を含む“現場の現実”を映し出しています。
PPAPはなぜ「安全」ではないのか
PPAPが成立する前提は「添付ファイルは暗号化され、パスワードは別経路で届くから安全」という考え方です。しかし現実には、同じメール経路でZIPとパスワードが送られることが多く、メールボックスが侵害されれば双方が同時に取得されます。また、クラウドメールの普及により、侵害の主戦場は通信経路ではなくアカウントそのものに移っています。さらに、メールゲートウェイの検査がZIP暗号化で回避されるため、マルウェアの検知・遮断をむしろ難しくするという逆効果もあります。
加えて、PPAPは受信者側の負担も大きい運用です。解凍・保存の手間、パスワード管理の手間、スマホ環境での扱いづらさなどが、業務効率を下げ、結果的に「安全のための運用」が形骸化してしまうリスクを高めます。セキュリティは“守ること”だけでなく“回ること”が重要であり、運用不能な対策は長期的に脆弱になります。
「以前から計画はあった」でも進まなかった理由
大企業、とりわけ金融機関のセキュリティ変更は、意思決定から実装までの距離が長くなりがちです。PPAP廃止のように一見単純に見える施策でも、実際には影響範囲が広く、次のような理由で着手が遅れます。
取引先との互換性と業界慣行
メールは組織内だけで完結せず、取引先や委託先と接続するインフラです。自社だけが方式を変えても、相手先が対応できなければ業務が止まります。特に金融は、サプライチェーンの裾野が広く、地方の事業者や小規模企業まで含めた“実務の整合”が必要になります。
統制・監査・規程の更新コスト
金融機関では、技術的に正しいだけでは変更できません。情報管理規程、委託先管理、監査項目、証跡設計、例外運用などを整備し、説明可能性を確保する必要があります。「暗号化しているから安全」という説明から、「アクセス制御と監査で安全」を説明するモデルへ移行するには、文書・教育・監査のセット更新が求められます。
複数システムの連動と例外対応
メール基盤、DLP、ウイルス対策、アーカイブ、チケットシステム、業務端末制御などが連携している環境では、ZIP暗号化の廃止が想定外の影響を生むことがあります。例えば、添付ファイルの受け渡しをファイル共有に寄せると、認証・権限・期限・ログの設計が新たに必要になり、例外運用(官公庁指定の手順、特定ベンダーの要件など)も残ります。こうした“最後の1割”が、施策全体の足を止める典型です。
PPAP廃止で本当に守るべきものは何か
PPAPをやめること自体がゴールではありません。ゴールは「機密情報が、適切な相手に、適切な条件で、安全に届くこと」です。ここで重要なのは暗号化という手段よりも、次の3点です。
アイデンティティ(誰がアクセスするか)
受け手の本人性をどう担保するか。メールは転送・誤送信が起き得ます。ダウンロードリンク方式にするなら、認証(ワンタイムパスコード、SAML/SSO、取引先ID)や、宛先限定、再共有禁止などの設計が重要です。
アクセス制御(いつまで、どこまで許すか)
期限付きリンク、ダウンロード回数制限、閲覧のみ、ウォーターマーク、端末制限など、情報の性質に応じた制御が求められます。ZIP暗号化は“配ったら終わり”になりがちですが、現代の要件は“配った後も制御する”に移っています。
可視化と監査(何が起きたか追えるか)
金融機関にとっては特に、事故時に追跡できるログが重要です。誰がいつ開いたか、失敗したか、共有したか、遮断されたかを記録し、SOCやCSIRTが即応できる状態が、実務的な安全性を高めます。
代替策の現実解:メールは通知、ファイルは管理
PPAP廃止後の代表的な設計は、「メール本文は通知に徹し、ファイルは管理された保管場所に置く」方式です。具体的には、社内のセキュアファイル共有やエンタープライズ向けストレージ、または取引先ポータルを使い、アクセス制御と監査ログを確保します。ここでの注意点は、単にストレージに置くだけでは不十分で、権限設計・期限・例外・運用手順が揃って初めて“PPAP以上”の実効性が出ることです。
また、添付自体を完全になくせない業務も残ります。その場合は、暗号化ZIPに頼るのではなく、ゲートウェイ側でのマルウェア検査、サンドボックス、危険な拡張子の遮断、機密ラベルに基づく送信制御、誤送信対策(送信保留・上長承認)など、レイヤーを重ねるべきです。
“今”実施する意味:脅威環境と社会的要請の変化
PPAPが批判されるようになった背景には、標的型攻撃やランサムウェアの高度化があります。攻撃者はメールを起点に侵入し、正規アカウントを奪い、横展開して情報を持ち出します。この流れの中で、ZIP暗号化は「守る」よりも「検査を逃れる」用途で使われる場面が増えました。さらに、取引先のセキュリティ成熟が進み、ファイル共有や電子署名、認証付き配布が一般化したことで、「慣行だからPPAP」という説明が通りにくくなっています。
金融機関は社会インフラであり、セキュリティ方針は自社内の最適化だけでなく、取引先や顧客への波及も伴います。大手が本格実施に踏み切ることは、業界標準の転換点になり得ます。だからこそ、単なる“廃止宣言”ではなく、代替手段と移行支援を含む実装が問われます。
導入を成功させるための実務ポイント
PPAP廃止を形骸化させないためには、以下の視点が有効です。
データ分類を先に決める:すべてを同一ルールで扱うと現場が破綻します。機密度に応じて送付経路・認証強度・ログ要件を分けます。
取引先の“受け手体験”を設計する:ID発行が必要か、ワンタイムで受け取れるか、スマホ対応はどうか。受け手の負担が大きいと、別経路での送付や抜け道が生まれます。
例外を潰すのではなく管理する:例外ゼロは非現実的です。期限付きの例外申請、代替策、承認フロー、ログをセットにして統制します。
運用者の負荷を下げる:DLPやラベル付け、テンプレート、送信前チェックなどを自動化し、現場の手作業を減らします。
指標で効果を測る:PPAP削減率だけでなく、誤送信件数、マルウェア遮断件数、例外件数、取引先からの問い合わせ件数など、運用KPIを持ちます。
PPAP廃止は“出発点”である
三菱UFJのような大規模組織が、以前からの計画を改めて実行に移すことは、セキュリティ対策が「正しさ」だけでは進まない現実を示します。重要なのは、PPAPをやめた後に何を残すかです。認証、アクセス制御、監査、そして現場が回る運用。これらが揃って初めて、メール運用は“慣行”から“統制された仕組み”へと進化します。
PPAP廃止は、古い手順を捨てる話ではありません。組織がデータの扱い方を見直し、取引先とともに安全な受け渡しを再設計する機会です。金融機関の取り組みは、社会全体の標準を引き上げる力を持ちます。だからこそ、廃止を単発の施策で終わらせず、次世代のメールセキュリティとデータガバナンスへつなげることが、いま最も求められています。