メールでパスワード付きZIPファイルを送り、パスワードを別送する方法(通称「PPAP」)廃止が、やっと動き出した。
メールでは、盗まれるかもとpwを別荘メールで送る方法がPPAPだが、盗まれる方法でpwを送るという矛盾が示すように、セキュリティの維持になっていないという指摘がなされていた。
PPAPとは?
この言葉は、元JIPDEC(日本情報経済社会推進協会)の大泰司章氏が、その不合理性を揶揄するために、当時流行していたピコ太郎さんの楽曲「PPAP」に引っかけて命名したものです。英語と日本語が混ざったユニークな略称になっています。
- P:PasswordつきZIP暗号化ファイルを送ります
- P:Passwordを送ります
- A:Aん号化(暗号化)
- P:Protocol(プロトコル=手順)
日本のビジネスシーンにおける「PPAP」とは、メールでファイルを送る際の「パスワード付きZIPファイルと、そのパスワードを別々のメールで送る手法」のことです。
かつてはセキュリティ対策の定番(暗黙のルール)とされていましたが、現在では「セキュリティ上の効果が薄く、むしろリスクが高い」として、政府や多くの企業で急速に廃止が進んでいます。
三菱UFJ銀、“PPAP”原則廃止 メール本文にダウンロードURL記載へ
2026年06月08日 11時29分 公開
[岡田有花,ITmedia]三菱UFJ銀行は6月8日、メールでパスワード付きZIPファイルを送り、パスワードを別送する方法(通称「PPAP」)を原則、取りやめると発表した。
PPAPはファイルを暗号化するため、メール受信時にマルウェアのチェックが困難な上、パスワード付きZIPファイルを悪用したサイバー攻撃の事例もある。これらのリスクに対応し、セキュリティ確保のため変更を決めた。
ニュースリリースより
7月18日以降順次、同行の役職員が添付ファイルを送る際は、メール本文に専用ダウンロードサイトへのURLを記載する形に切り替える。受信者はURLからサイトにアクセスし、別送される専用パスワードを使ってファイルをダウンロードする。
PPAPは日本の企業や官公庁で広く普及してきたが、セキュリティ上の問題が指摘され、廃止の動きが広がっている。政府は2020年11月に中央省庁でのPPAP廃止を決定。企業も相次いで廃止に踏み切っている。
廃止が進む「3つの決定的な理由」
長年続けられてきたこの慣習が廃止されている理由は、主に以下の3点に集約されます。
1. セキュリティ対策として意味をなさない(盗聴対策にならない)
PPAPは「1通目を盗聴されても、2通目を見られなければ安全」という前提に立っています。しかし、実際には1通目も2通目も同じ通信経路(ネットワーク)を通って送信されます。
もし悪意ある第三者がメールを盗聴していた場合、1通目も2通目も同時に筒抜けになっているため、ファイルを簡単に解凍されてしまいます。
2. マルウェア(ウイルス)の温床になる
セキュリティ対策ソフトの多くは、メールに添付されたファイルを自動スキャンしてウイルスを検知します。しかし、パスワードがかかったZIPファイルの中身は外からスキャンできません。
これを利用して、攻撃者が「Emotet(エモテット)」などの凶悪なウイルスをパスワード付きZIPに隠して送りつける手口が横行しました。PPAPを容認していると、受信側がウイルスメールを検知できず、社内ネットワークに侵入を許してしまう致命的なリスクがあります。
3. 受信側の生産性を著しく低下させる
スマートフォンで受信した際にZIPファイルが解凍しづらかったり、2通のメールをいちいち開いてパスワードをコピー&ペーストしたりする作業は、業務の効率を大きく下げます。受け取る側にとって「手間がかかるだけで安全性が上がらない」という、ただの迷惑な作業になっていたのが実態です。
廃止への決定打となった動き
2020年11月、当時の平井卓也デジタル改革担当大臣が「内閣府・内閣官房でのPPAPの廃止」を急に打ち出したことで、トレンドが一気に加速しました。その後、文部科学省や経済産業省などの官公庁、さらには日立製作所やソフトバンクといった大手民間企業が次々と追随し、現在は「PPAPはお断り(受信拒否)」とする企業も一般化しています。
現在の代替策
現在は、金融系では、PPAPの代わりに「メール本文へのURL記載廃止」と「正規サイトへの直接アクセス推奨」
ファイル添付が必要な場合は、まだPPAPが利用されるケースがありますが、今後はグループウェア(暗号化通信でセキュリティレベルが高い、Teams、 Google Workspace 、LINE、 Signal など)のようなセキュリティ高い方法で送る方法に切り替えが進むと予想されます。
