平井卓也デジタル改革担当大臣の宣言が引き金となり、「脱PPAP」が日本中で加速している。暗号化ファイルとパスワードをメールで送る「PPAP」は、セキュリティー対策として無意味だからだ。日立製作所に続いて富士通やNTTデータも脱PPAPに動く。PPAPがなぜ悪いのか。その5つの「大罪」を振り返ると共に、安全に社外へファイルを送る、正しいやり方を紹介しよう。

 ある日本の大手ITベンダーではつい数年前まで、こんな光景が繰り広げられていたという。昼過ぎのオフィスに事業部長クラスの役職者が部下数人と共に現れ、「メール誤送信防止のために守るべき原則」と書かれたパネルの内容の唱和を求める。するとフロア全員が業務を止めて立ち上がり、「添付ファイルは必ず暗号化ZIPにし、パスワードを別メールで送ること」と繰り返すのだ。こうした数日間に及ぶ「PPAPキャラバン」が、このベンダーでは年に1~2度の頻度で開催された。

 PPAPは「Password付き暗号化ファイルを送ります、Passwordを送ります、Aん号化(暗号化)Protocol(プロトコル、手順)」の略。セキュリティー対策として無意味なだけでなく、セキュリティーリスクを高める旧時代的なこの風習を、日本の大手ITベンダーはこよなく愛していた。しかしその状況が大きく変わろうとしている。

 転機となったのは2020年11月。平井卓也デジタル改革担当大臣が、内閣府と内閣官房でPPAPを廃止すると発表した。さらに日立製作所は日経クロステックの取材に対し、2021年度からPPAPを全面禁止すると明らかにした。日経クロステックがこれを2021年1月に報じたところ、同月の時点で脱PPAPは未定としていたNTTデータと富士通が今回、脱PPAPに方針を転じた。NTTデータは2021年度にPPAPを禁止する方向で社内規定を改定する。富士通もPPAPを禁止する方向で検討しているという。

表 大手ITベンダーの「脱PPAP」対応状況
大手ITベンダーの10社に6社が「脱PPAP」へ(注:2020年12月~2021年2月に日経コンピュータが調査)
表 大手ITベンダーの「脱PPAP」対応状況
[画像のクリックで拡大表示]

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。