平井大臣の発言を受けて企業の「脱PPAP」の動きはどうなる？ 利用実態調査が発表

JPAAWGが開催したカンファレンス「パスワード付きzip添付メール問題を考える」で"PPAP"の利用実態調査が発表された。平井大臣の発言以前と以後で、企業のPPAPへの向き合い方にはどのような変化が生じたのか。同調査から企業がPPAPを採用した背景についても明らかになった。

[田渕聖人，ITmedia]

　JPAAWG（Japan Anti-Abuse Working Group）が2021年2月25日に開催したカンファレンス「パスワード付きzip添付メール問題を考える」のパネルディスカッション「PPAPの今」で"PPAP"の実態調査が発表された。

　ここでいう「PPAP」とは、パスワード付きZIPファイルをメール添付し、別メールでパスワードを送付するデータ送信の方法を指す。日本企業でよく使われてきた手法だが大泰司 章氏らが問題提起し、廃止に向けた活動を続けてきた。詳しくは「PPAP問題、これが総まとめだ――名付け親が語る廃止のきっかけと「2つの壁」とは」を参照してほしい。「脱PPAP」の動きは実際のところ企業にどのくらい浸透しているのだろうか。

　アンケート調査の概要について説明しよう。同調査は、2021年2月1〜22日にオンラインで実施した。調査は今回のイベント申し込みサイト閲覧者およびセキュリティベンダーであるクオリティアの外部向けメーリングリスト登録者が対象だ。「メール利用者（30％）」「PPAPの運用などについて助言する立場（29％）」など異なる立場の回答者から合計754件の有効回答を得た。

回答者の内訳（出典：JPAAWG）

併せて読みたい関連記事

• PPAP問題、これが総まとめだ――名付け親が語る廃止のきっかけと「2つの壁」とは
• 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか
• セキュリティ的に意味なし　“旧ノーマル”な職場にはびこる習慣、その名も「PPAP」を知っていますか

平井大臣の発言以前のPPAP利用度を調査　その実態は？

　2020年11月17日、平井卓也デジタル改革担当相が、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールにおいて、PPAPを廃止する方針を明らかにしたのは記憶に新しい。PPAPは、この発言以前に企業でどのくらい浸透していたのだろうか。

　今回のパネルディスカッションでモデレーターを務めたオプテージの森崎 聡氏によると、「2020年11月以前に、PPAPを含んだ暗号化ZIPファイルを利用してメールを送っていたかどうか」という問いに対して、「自動で暗号化、パスワードは別のメール内に記載」と回答した割合は48％で、「手動で暗号化、パスワードは別のメール内に記載」と回答した割合は28％だった。実に7割以上が手動か自動化の違いはあるものの、PPAPを利用していたことが分かる。逆に「暗号化ZIPは使っていない」と回答した割合は16％だった。

2020年11月以前には回答者の約半数がPPAP利用者だった（出典：JPAAWG）

　送信ファイルの暗号化対象についても聞いたところ「添付ファイルは全て暗号化ZIPで送る」と回答した割合は47％と約半数を占めた。その他「宛先によって暗号化ZIPで送る」が27％、「重要な添付ファイルのみ暗号化zipで送る」が21％と続き、約半数が条件に併せて手法を選択しているという結果になった。