【後編】いまさら聞けないPPAP問題
～PPAPをやめたいけど踏み出せない方に～

お役立ち情報

2023年08月21日

クラウドセキュリティー
メールセキュリティー

早いもので前編から2カ月が経過しました。その間、ワタシの腰痛としびれが悪化してMRIを何度も撮影しましたが、異常は見つからず治療を続けています。皆さまはいかがお過ごしでしょうか。まだまだ暑い日が続きますが体調に気をつけてお過ごしください。

前編では、PPAP（パスワード付きZipファイルの送付）について、その問題点と代表的な対応手法をご紹介しました。後編では国内の脱PPAPの歴史を振り返りつつ、PPAPと企業が守るべき情報について解説していきましょう。

国内における脱PPAPの動き

省庁を中心に進む脱PPAP

日本での脱PPAPの動きが一気に広まったのは、2020年11月の平井卓也氏（初代デジタル大臣）の発言からです。中央官庁の脱PPAP宣言は多くのメディアで取り上げられ、多くの人々の記憶に残っているでしょう。ワタシの周りでも、驚きと称賛が混ざった強い反応があったことをよく覚えています。

PPAPやめます。 #平井卓也 #デジタル庁 https://t.co/PHmtf59QuU
— 平井卓也（ひらいたくや） (@hiratakuchan) November 17, 2020

平井卓也氏の脱PPAP発言（2020年11月18日、@hiratakuchan ）

【補足】当時の国会答弁がYouTubeにもアップされています。問題点が端的に整理されており学びが多い動画です。
　　　　4分半の動画なのでぜひこちらもチェックしてみてください。

その後、大手IT企業を中心に脱PPAP宣言が次々となされました。そして、2021年12月1日には文部科学省から、全てのメール送受信において、ファイルを添付する際にはクラウドストレージサービスBoxを使って添付ファイルを自動保存し、受信者がダウンロードできる仕組みを導入するという、脱PPAPのニュースリリース^_※1 が出されました。

さらに、2022年8月には、金融情報システムセンター（FISC）がメールにパスワード付き圧縮ファイルを添付する方式を原則として廃止し、ファイル共有サービスを利用した方式へ移行することを発表しました。^_※2
このように脱PPAPは民間企業だけの動きではなく、官公庁や各種団体を含む幅広い範囲で展開されています。これは、単に、ファイルの送受信方法を変えるというだけではなく、データを確実に守るための動きとなっています。
なお、弊社BIPROGYグループでは、2019年10月から脱PPAP運用が全社にアナウンスされました。アナウンス当初の社内のザワつきはまだ鮮明に覚えていますが、社長、役員などの上位役職が率先してPPAPをやめていったことお伝えしておきたいと思います。

※1　文部科学省「文部科学省における添付ファイル付きメールの運用に関するお知らせ」

※2　金融情報システムセンター「当センターにおける外部機関等との間のファイル授受方式変更に関するお知らせ」

本来守るべき情報資産とは何か

メールでのファイル共有手段の見直しが、脱PPAPムーブメントによって進められていることをご紹介してきました。ここで一歩立ち止まって、本来、企業が守るべき情報資産とは何なのかを考えてみましょう。ここでは情報資産を、企業が所有し、ビジネス活動に重要な影響を与える情報やデータ全般と定義します。

このような情報は通常、企業の知的財産として保護され、経営の基盤となるデータとして扱われています。具体的には、以下のような情報が含まれます。いわゆる重要データと分類されている情報群です。

１．顧客データ

これは顧客の個人情報、購買履歴、行動パターンなどを含みます。このデータは、マーケティング戦略を策定したり、新製品を開発したりする際の重要な指標となります。

２．企業の機密情報

これにはビジネス戦略、未公開の金融情報、研究開発の成果、特許申請中の情報などが含まれます。これらの情報が外部に漏れると、競争優位性を損なうだけでなく、法的な問題を引き起こす可能性もあります。

３．従業員データ

従業員の個人情報や職務に関連する情報も重要な情報資産であり、適切に管理し、プライバシー法規制を順守する必要があります。

これらの情報は、適切な情報セキュリティー対策を施し、管理する必要があります。具体的な対策には、アクセス権管理、情報の暗号化、バックアップ、セキュリティー意識向上トレーニングなどが挙げられるでしょうか。

しかし、PPAPを止められず、不幸にもマルウエアに感染してしまった場合、感染した端末を起点に企業が持つこれらの守るべき情報資産にも重大な影響がでてしまうというリスクが存在します。

一方で、PPAPはメールによるファイル共有手段であり、情報資産を共有する手段の一つに過ぎません。情報資産全体の保護を実現するためには、社内間でのデータ共有を含めたより広範囲なデータ保護対策が必要です。つまり、PPAPのリスクを理解し、改善することは重要ですが、それだけで情報資産を完全に守ることはできないということを理解することが大切です。皆さまの企業におかれては、メール以外のファイルを共有する手段は適切に管理されていますか？ファイルの保存場所が散らばっていたり、権限管理が疎かになっていたりしませんでしょうか？

脱PPAPを実現しながら企業の情報資産を守る

「マルチクラウド環境におけるデータ管理とは」で触れた通り、現在のマルチクラウド時代では、企業はさまざまなツールを利用しているため、ファイルの保存場所も分散しています。脱PPAPを実現しつつ、企業の情報資産全体を保護する仕組みは存在するのでしょうか。ここでは、弊社が自信を持って推奨するソリューション、mxHERO社のMail2Cloud をご紹介します。

Mail2Cloudは、メールに添付されたファイルを強制的にクラウドストレージに分離することが可能なSaaSサービスです。その最大の特徴は、従業員がすでに慣れ親しんだメールの使用方法を変えずに、脱PPAPを実現できる点です。

Mail2Cloudはさまざまなクラウドストレージに対応していますが、特にコンテンツ管理のデファクトスタンダードであるBoxとの組み合わせで最大の効果を発揮します。情報資産をBoxで一元管理することが可能となり、利用者ごとのアクセス設定や社外関係者とのコラボレーションもセキュアに制御できます。

また、Boxの操作は誰でも簡単に始められるという利点もあります。さらにランサムウエア対策としても優れており、サービスとしてのセキュリティーの高さはもちろん、データの暗号化、バックアップ、バージョン管理などさまざまな機能によって悪意ある攻撃から情報資産を守ってくれる仕組みが用意されています。

むすび

いかがでしたでしょうか？脱PPAPをきっかけに、企業にとって重要な資産（データ）の管理方法を見直す良い機会になればと思います。幸いなことに、電子帳簿保存法やインボイス制度の改定が近づいています。これに伴い、企業は今まで以上に電子データをさまざまな顧客や関係者と交換するシーンが増えてきています。この機会に、従来のPPAPをそのまま使い続けるのではなく、今回ご紹介した Mail2Cloud やオンラインストレージBoxなどの活用を検討してみてください。これらは企業の情報資産保護を強化するだけでなく、データの共有と活用の効率化にもつながります。

安全かつ効率的な情報共有の未来を共に創り上げていきましょう。