PPAPがダメな理由と代替手段

まず結論

PPAP（パスワード付き ZIP をメールで送り、別メールでパスワードを送る運用）は、見た目には暗号化しているので安全そうに見えますが、実際には以下の問題があります。

• 盗聴対策として弱い: 同じメール系統で別送すると効果が薄い
• 誤送信対策として不十分: 宛先を間違えた時点で事故が成立しやすい
• マルウェア検査を妨げる: パスワード付き ZIP は経路上のセキュリティ製品をすり抜ける
• 送信者の真正性を担保しない: なりすまし対策ではない
• アクセス制御が弱い: 誰が閲覧できるかの制御ができない

PPAP をやめるべきなのは、「添付ファイルを ZIP で暗号化し、同じメール系統で後からパスワードを送る」という設計自体です。

正しい代替策

1. 通常の業務メール → TLS / STARTTLS を前提に

通信路保護が基本です。真正性や改ざん検知が必要なら S/MIME を検討します。

2. 機密ファイルの受け渡し → 認証付きダウンロード

相手本人だけにファイルを渡したい、閲覧権限を制御したい、あとから失効したいという要件なら、添付よりも以下の方法が自然です。

• ログイン後にダウンロードできる
• 期限付きリンクにする
• 相手ごとに権限を分ける
• 必要なら履歴を残す

3. どうしても添付が必要な場合

ファイルとパスワードを全く別の経路で伝えることが最低限の線です。ただしこれは暫定策であり、将来的には認証付き共有へ移す前提で考えます。

中小企業での置き換え手順

1. まず止めるもの
   • 自動 ZIP 暗号化
   • 同じメール系統での自動パスワード別送
   • 「重要ファイルは全部 PPAP」という一律ルール
2. 次に決めるもの
   • 何を通常メールで送ってよいか
   • 何を添付禁止にするか
   • 何を認証付きダウンロードへ回すか
   • 例外的に添付する場合の承認手順
3. 最小構成
   • 通常メール: 業務連絡、必要に応じて S/MIME
   • 機密ファイル: 認証付きダウンロード、権限設定、期限付き共有

よくある誤解

• 「ZIP を暗号化しているのだから安全」 → 鍵の渡し方が弱ければ不十分。経路上検査も妨げる
• 「別メールで送れば十分」 → 同じ相手・同じメール系統では強いコントロールにならない
• 「PPAP をやめると添付できなくなる」 → 通常メール、S/MIME、認証付きダウンロード、例外時の別経路パスワードを使い分けるだけ
• 「S/MIME は大企業向け」 → 相手の対応状況は見るが、PPAP より筋が通っている。合わない相手には認証付きダウンロードという選択肢がある

まとめ

PPAP がダメなのは、暗号化しているのに安全になった気がしやすいところにあります。やるべきことは PPAP 風の運用を少し変えて延命することではなく、メールはメールとして守り、ファイル受け渡しはファイル受け渡しとして設計することです。

PPAP をやめるとは、暗号化をやめることではなく、間違ったコントロールをやめて、目的に合ったコントロールへ置き換えることです。