「取引先からパスワード付きZipが届いたけど、これって本当に安全なの?」
「社内ルールでPPAP禁止になったけど、代わりに何を使えばいいか分からない…」
「PPAPをやめたいのに、取引先が送ってきてしまう。どう断ればいいの?」

こんなお悩み、最近よく耳にします。

パスワード付きZipファイルをメールで送り、別のメールでパスワードを知らせる「PPAP」は、長年日本のビジネス現場で標準的なファイル共有方法として使われてきました。

しかし今、政府機関や大手企業を中心に「脱PPAP」の動きが急速に広まっています。

この記事でわかること
  • PPAPが「危険」とされる具体的な理由
  • 今すぐ使えるPPAPの代替案(クラウド・メール暗号化など)
  • 社内でPPAP廃止を進めるための手順と注意点
  • 取引先にPPAP廃止を伝える際のポイント

この記事を読めば、なぜPPAPを廃止すべきなのかを理解した上で、自社に合った安全なファイル共有方法を選択できるようになります。

ぜひ最後までご覧ください。

PPAPとは?なぜ問題になっているのか

PPAPとは、「Password付きZipファイルを送ります・Passwordを送ります・暗号化(Angou)します・Protocol(プロトコル)」の頭文字をとった造語で、パスワード付きZipファイルとそのパスワードをそれぞれ別のメールで送信するファイル共有方法のことです。

一見すると「パスワードを別で送るから安全」に思えますが、実はこれが大きな落とし穴です。

PPAPが危険とされる3つの理由

① マルウェアのチェックをすり抜けてしまう

多くの企業や組織では、メールに添付されたファイルをセキュリティソフトが自動スキャンしています。

しかし、パスワードで保護されたZipファイルは中身を開けないためスキャンができず、ウイルスや不正なファイルを検知できません

攻撃者にとってはマルウェアを届ける格好の手段になってしまうのです。

② パスワードを同じメール経路で送ることに意味がない

「ファイル」と「パスワード」を別々のメールで送っても、どちらも同じメールサーバーを経由します。

もしメールが盗聴・傍受された場合、攻撃者は両方のメールを入手できるため、暗号化の意味がほとんどありません

③ 誤送信対策にならない

PPAPが普及した背景には「誤って別の相手に送ってしまっても、パスワードを送らなければ大丈夫」という考え方がありました。

しかし実際には、誤送信に気づかずパスワードも同じ相手に送ってしまうケースが後を絶ちません。

根本的な誤送信対策にはなっていないのです。

こうした問題を受け、2020年には当時のデジタル改革担当大臣が「政府はPPAPをやめる」と宣言。

以降、多くの省庁や自治体、大企業が廃止に踏み切っています。

脱PPAPの代替案:自社に合った方法を選ぼう

PPAPを廃止すると言っても、「では何を使えばいいの?」と迷う方も多いでしょう。

主な代替手段を比較してみましょう。

方法概要メリットデメリット
クラウドストレージ共有
(SharePoint / OneDrive)
クラウド上にファイルを保存し、リンクを共有するセキュリティスキャン有効・アクセス権管理が容易相手もMicrosoft 365アカウントが必要な場合あり
ゲストアクセス付き共有リンク有効期限・パスワード付きのリンクをSharePointで発行社外の相手にも安全に共有可能リンク管理の運用ルールが必要
メール暗号化(S/MIME・OME)メール本文・添付ファイルをエンドツーエンドで暗号化既存のメール運用を変えずに済む受信側にも設定が必要な場合あり
セキュアファイル転送サービス専用のファイル転送サービス(Box・GigaFile等)を利用手軽に導入できるサービス選定とコスト管理が必要

Microsoft 365を導入済みの企業にとって、最もおすすめの方法はSharePoint / OneDriveを使ったクラウドストレージ共有です。

SharePointを使った安全なファイル共有の手順

SharePoint(またはOneDrive)では、社外の相手に対しても有効期限やパスワード付きのリンクを発行することができます。

  1. 共有したいファイルを右クリックし、「共有」または「リンクのコピー」を選択する
  2. 「リンクを知っている全員」または「特定のユーザー」を選んで送信範囲を設定する
  3. 「詳細設定」から有効期限・パスワードを設定する(セキュリティポリシーに合わせて)
  4. 生成されたリンクをメールで相手に送る
  5. 相手はブラウザからリンクを開くだけでファイルにアクセスできる

この方法であれば、ファイルはクラウド上に安全に保管されたまま、相手にはアクセス権だけを付与できます。

万が一リンクを誤送信した場合も、管理者がアクセス権を即座に無効化できる点も大きなメリットです。

実際の画面で説明した詳しい手順は以下記事で解説しています。

Exchange Online(Microsoft 365)なら脱PPAPがワンストップで完結する

Microsoft 365(Exchange Online)を導入済みの企業にとって、脱PPAPに必要な機能がすべて標準搭載されています。

Exchange Online Protection(EOP)とは、Exchange Onlineに標準搭載されているメールセキュリティ機能です。

受信メールのスパムフィルタリング・マルウェアスキャン・フィッシング対策を自動で行います。

パスワード付きZipは「中身のスキャンができない」ことがPPAPの最大の欠陥でしたが、EOPは添付ファイルを開封前に分析する技術(セーフアタッチメント)を備えており、この問題に対応します。

Office 365 Message Encryption(OME)は、メール本文や添付ファイルをエンドツーエンドで暗号化して送れる機能です。

受信者がMicrosoft 365アカウントを持っていなくても、ワンタイムパスコードで安全にメールを受け取れます。

「PPAPの代わりにメール自体を暗号化したい」というニーズに直接応えられます。

機能できることPPAPの課題への対応
EOP(標準搭載)マルウェア・スパム・フィッシングを自動ブロックパスワードZipのスキャン回避問題を解消
OME(標準搭載)メール本文・添付を暗号化。受信者はアカウント不要誤送信・盗聴リスクを根本的に解決
SharePoint外部共有有効期限・パスワード付きリンクで安全にファイル共有パスワード別送の運用を完全廃止

これら3つの機能をExchange Online(Microsoft 365)なら追加コストなしで利用できます。

現在オンプレミスのメールサーバーやレンタルサーバーのメールを使っている場合、Exchange Onlineへの移行を機に、脱PPAPとメール環境の強化を同時に実現することも可能です。

社内でPPAP廃止を進めるポイント

PPAPの廃止は、セキュリティ担当だけでなく全社員が関わる変更です。

スムーズに進めるためのポイントを押さえましょう。

ステップ①:現状の把握

まず自社でどの程度PPAPが使われているかを確認します。

Outlookの送受信ログや、社員へのアンケートを活用して実態を把握しましょう。

ステップ②:代替手段の決定と環境整備

代替ツールを選定し、必要であれば設定を行います。

SharePoint / OneDriveを使う場合は、外部共有の設定がIT管理者によって許可されているか確認が必要です。

ステップ③:社内周知とルール化

「いつから、何を使う」というルールを明確にし、全社員に通知します。

操作方法のマニュアルや簡単なハンズオン研修を行うと、現場の混乱を最小限に抑えられます。

ステップ④:取引先への案内

自社だけ廃止しても、取引先からPPAPが届くケースが続きます。

「セキュリティ強化のため、弊社ではPPAPを廃止しました。

今後のファイル共有は〇〇の方法でお願いいたします」といった案内メールを事前に送っておくと、相手も対応しやすくなります。


日々のトラブル、まずこの一冊で解決しませんか?

OneDriveの共有は、PPAPの代替として非常に強力です。

しかし、「共有リンクに有効期限をつけたいのに、設定項目がグレーアウトしている」「そもそも社外の人と共有できない」といったトラブルに遭遇することはないでしょうか。

これらは、多くの場合、IT管理者によるSharePoint管理センターでの組織的な共有ポリシー設定が原因です。

もし、あなたがそんな日々の問い合わせ対応や、複雑な設定の見直しに追われ、本来の業務に集中できずにいるなら、まずこの一冊を手元に置いてみてはいかがでしょうか。

Microsoft 365支援のプロが、現場で実際に寄せられるよくある質問と解決策を厳選してまとめた「トラブルシューティング大全」をご用意しました。

▼資料ダウンロードはこちら
『社内からの「これどうやるの?」を9割削減する Microsoft 365 トラブルシューティング大全』


OneDriveのPPAP代替に関するよくある質問(FAQ)

Q
共有相手がMicrosoft 365ユーザーでなくても、ファイルを開けますか?
A

はい、開けます。

「リンクを知っているすべてのユーザー」で共有した場合、相手はMicrosoftアカウントを持っている必要はありません。ブラウザ上でファイルにアクセスし、設定されたパスワードを入力するだけで閲覧できます。

Q
容量の大きなファイルでも送れますか?
A

はい、送れます。メール添付の容量制限(通常20MB~30MB程度)とは異なり、OneDriveではギガバイト単位の大容量ファイルでも、同じようにリンクで簡単に共有できます。

Q
zipファイルにしてパスワードをかけるのと、何が違うのですか?
A

最大の違いは「ウイルススキャンの可否」です。

前述の通り、暗号化されたzipはウイルススキャンをすり抜けてしまいます。OneDriveであれば、ファイル自体がスキャンされるため、より安全です。

Q
会社として、PPAP(パスワード付きzipの添付)を禁止することはできますか?
A

はい、可能です。

Exchange Onlineの管理者設定で、「トランスポートルール」を作成し、「パスワードで暗号化されたファイルが添付されたメール」をブロックまたは警告するように設定できます。ただし、これには管理者権限と専門知識が必要です。

Q
社内のセキュリティポリシーでSharePointの外部共有が禁止されています。どうすればいいですか?
A

まず管理者に外部共有の必要性とリスク対策(有効期限・パスワード設定の義務化など)を説明し、ポリシーの見直しを提案するのが先決です。

それが難しい場合は、S/MIMEやOffice 365 Message Encryption(OME)を使ったメール暗号化が代替手段として有効です。

Q
結局、PPAPは絶対にやめるべきですか?
A

はい。セキュリティリスク(ウイルス感染、情報漏洩)と、受信側の手間(解凍、パスワード入力)の両方を考慮すると、PPAPを継続するメリットは、現在ではほぼ無いと言えます。OneDriveという、より安全で便利な代替手段がすでにある以上、速やかに移行することをお勧めします。

Q
PPAPを完全に禁止すると、取引先が困るのではないでしょうか?
A

確かに急な変更は相手を戸惑わせることがあります。

廃止の前に「〇月〇日以降、PPAPでのファイル受信を停止します。

代替方法として〇〇をご利用ください」と事前にご案内することで、ほとんどのケースでスムーズに移行できます。

特に大手企業や官公庁との取引が多い場合、先方もすでに脱PPAP済みのことが多く、むしろ歓迎されるケースも増えています。

まとめ

  • PPAPは「パスワードを別送りしているだけ」で、マルウェアをすり抜かせてしまう根本的なセキュリティ上の欠陥がある
  • 最もおすすめの代替手段は、SharePoint / OneDriveのクラウドストレージ共有(有効期限・パスワード設定あり)
  • 社内廃止は「現状把握→代替手段整備→社内周知→取引先案内」の4ステップで進める
  • 取引先への事前案内さえしっかり行えば、移行はスムーズに進む

PPAPの廃止は「面倒なこと」ではなく、自社と取引先の両方を守るためのセキュリティ強化です。

この記事を参考に、ぜひ一歩を踏み出してみてください。


脱PPAPに合わせて、メール環境ごと見直しませんか?

「PPAPをやめたいが、OMEやEOPをどう設定すればいいか分からない」
「オンプレのメールサーバーからExchange Onlineへ移行したい」
「Exchange Online単体からMicrosoft 365への切り替えを検討している」

——そのようなご相談を、WITHWITが丸ごとサポートします。

Exchange Online導入・移行の支援実績をもとに、貴社の環境に合った最適な脱PPAP+メール基盤強化のプランをご提案いたします。

まずはお気軽にご相談ください。

▼Microsoft 365 導入支援サービスの詳細はこちら

Microsoft 365に関するご相談やお悩みがございましたら、ぜひ株式会社WITHWITまでお気軽にお問い合わせください。
数あるクラウドサービスの中でMicrosoft 365 に特化してきたからこそ導入前から導入後の定着に至るまで、幅広いご相談に対応いたします。

参考資料