実践企業3社の情シスが語る 「脱PPAP」を従業員と取引先から理解を得て進めるコツ：PPAPをやめたい企業のホンネが明らかに

「パスワード付きZIPファイルの添付」いわゆる「PPAP」からの脱却を目指す動きが民間企業の間で盛んになっている。「脱PPAP」を実現した3社の情報システム部門担当者が集まり、実現までの道のりを本音で語り合った。

[PR／ITmedia]

PR

　電子メールに暗号化したZIPファイルを添付してパスワードを別送するビジネス慣習、いわゆる「PPAP」は“セキュアにファイルを送信する手段”としてこれまで普及してきた。

　しかし、PPAPは暗号化したファイルとパスワードを同一経路で送るためセキュリティ対策として有効ではない。パスワード付きZIPファイルはウイルス対策ソフトで検知できないという特徴によって、「Emotet」などのマルウェアに悪用されるケースも増加した。スマートフォンで受信しても添付ファイルが開けず、受信側の利便性が低い。こうした多くの問題が指摘されるようになり、近年は「脱PPAP」の動きが企業間で広まっている。

　では実際に脱PPAPを実現した企業はこれをどのように進めたのか。HENNGEが2022年6月に開催したオンラインセミナー「情報システム部が語る脱 PPAP 導入のリアル」で事例企業の情報システム部門担当者3人が登壇し、ツール選定の基準や運用変更時のポイントなどを語り合った。

3社それぞれの「脱PPAP」事情　取り組みのきっかけは

　本セミナーには、不動産SHOPナカジツから大石 ひかり氏（IT戦略部IT戦略課）、データベースマーケティング支援事業を手掛けるユーソナーから時田真一氏（データコントロール本部マネージャー）、非鉄金属商社の白銅から奥本雅文氏（経営企画部システム課）が登壇した。また、ユーザーの声を紹介する立場としてHENNGEの西塔高史氏（Customer Success Division Renewal Sales Sectionマネージャー）もパネリストとして参加した。

　今回登壇した3社はいずれも、脱PPAPを促進するクラウドサービス「HENNGE One」のファイル転送機能である「HENNGE Secure Download」を導入して脱PPAPを実現した企業だ。

　HENNGE Secure Downloadは、電子メールから添付ファイルを切り離し、代わりにダウンロードサイトのURLが含まれたPDFファイルを添付する。受信者はPDFファイルに記載されたURLにアクセスすることで添付ファイルをダウンロードできる。パスワードはURLの通知と別経路で送られるため、セキュリティ対策になるとともにユーザーの運用を変更せずに脱PPAPを実現できる。

HENNGE Secure Downloadの概要（出典：HENNGE発表資料）

　パネルディスカッションでは最初に、各パネリストが脱PPAP検討のきっかけとHENNGE Secure Download導入時の課題を説明した。大石氏は「脱PPAPの動きが広がる中、PPAPを拒否する取引先が出てきたことで対策の必要に迫られて検討を始めました」と話す。大石氏は、既に同社がHENNGEの他製品も導入していたというのもあり、HENNGE Secure Downloadであればサポート面でもスムーズに導入できると考えた。

不動産SHOPナカジツの大石 ひかり氏

　次に奥本氏は脱PPAPのきっかけについて「当社はもともと『外部企業とやりとりする際にはPPAPを利用する』という社内ルールがありましたが、実態はあまり守られていませんでした。しかしISMS（情報セキュリティマネジメントシステム）の申請に合わせてPPAPを徹底するという話が持ち上がったときに、IT部門としてそれは避けたかったため、急いで代案を用意する必要がありました」と話す。

白銅の奥本雅文氏

　白銅は「Box」や「OneDrive」など複数のオンラインストレージサービスを検討したが、最終的にHENNGE Secure Downloadを採用した。「Boxは当社のニーズからするとオーバースペックかつ高価格で、OneDriveは運用時のIT部門の負荷が重くなると予想されたためHENNGEを選びました」（奥本氏）

　ユーソナーの時田氏は「当社は営業部門に対してオンラインストレージの利用を禁止しており、PPAPを常用していました。そのため営業部員は脱PPAPの動きに敏感で、代わりのソリューションが必要でした」と語る。比較対象としてBoxを検討したが、営業部門からは電子メールにファイルを添付するというこれまでの運用を変えたくないという要望が上がり、オペレーションを変更する必要がないサービスを探していたところ、HENNGE Secure Downloadに出会った。

ユーソナーの時田真一氏

“これまで通りのオペレーション”が大きなメリットに

　上記の経緯からHENNGE Secure Downloadを利用して脱PPAPに取り組んだ3社だが、導入時における社内外の反応はどうだったのか。

　奥本氏は社内外の反応について、「世間的にもファイル転送サービスの認知度が上がってきていたため、周囲の理解を得られて予想よりもスムーズに導入できました。HENNGE Secure Downloadと『Microsoft 365』を連携させれば、送り先によってダウンロードリンクにするかどうかを使い分けられるため、Toに設定した顧客宛てにはダウンロードリンク付きのPDFファイルを、Ccに設定した社内ドメイン向けの宛先には従来通り添付ファイルを送るといった柔軟な運用ができる点が特に評判が良かったですね」と語る。

　パネルディスカッションでは、添付ファイルの代わりにダウンロードサイトのURLが含まれたPDFファイルを添付する方式に違和感を覚えるユーザーがいるのではないかという議題も上がった。

HENNGEの西塔高史氏

　HENNGEの西塔高史氏は、多くの企業に導入を支援してきた立場から「HENNGE Secure Downloadの利用開始時に、PDFファイルが届くことを受信側に案内する手間が発生しますが、それよりも従来通り電子メールにファイルを添付するという運用を変えずに、セキュアなファイル転送が実現できるメリットの方が大きいという声をよく聞きます」と話す。

　時田氏もこれに同意して「当社における従来の運用では、電子メールの送信履歴を見れば自分がどのようなファイルを送ったのかを確認できました。しかしオンラインストレージを利用するとなればオペレーションが大きく変わる可能性があり、それに不安を覚える従業員もいます。これまで通りのオペレーションを継続できるというのも従業員にとっては大きなメリットになります」と語る。

脱PPAPを基本に、PPAPを求める声にも柔軟な対応を実現

　ただし、電子メールの添付ファイル送受信は送信者側と受信者側の問題だ。脱PPAPの風潮が高まっているとはいえ、全ての企業がこれを受け入れられるわけではない。この問題について3社はどのように対応しているのか。

　大石氏は「HENNGE Secure Downloadを導入したからといって必ずしもダウンロードリンクで送る必要はなく、受信側の都合によってこれまで通りPPAPで送ることもできるので柔軟な運用が可能です」と話す。不動産SHOPナカジツはこれを生かし、送信メールに「zip.txt」というファイル名のテキストファイルを添付すると、自動的にPPAPで添付ファイルを送るように設定している。

　対してユーソナーは不動産SHOPナカジツとは異なるアプローチでPPAPとの併用を図っている。「当社は電子メールの件名に挿入したキーワードによってPPAPかファイル転送かを区別して検索できるようにしています」（時田氏）

　白銅は送信先が希望する場合はPPAPを許可しているが、基本的にはファイル転送機能を利用する方針だ。奥本氏は「送信先の企業が受け取れない理由を営業担当者にしっかりとヒアリングしてもらい、それを踏まえてファイル転送を解除しています。ZIPでの圧縮も許可しない取引先もあるため、その場合は無圧縮のファイルを添付しています」と語る。

　なお、同社が電子メールを送信している企業は2000社を超えるが、そのうちファイル転送の拒否してきたのは数社しかなくごくわずかだ。「電子メールを受信する側は『PPAPで送らないでほしい』とはなかなか言いにくいものです。そのため当社が脱PPAPを採用したことを喜んでいる企業の方が多いと思っています」（奥本氏）

新しい製品を導入する際にどのように普及を図ればいい？

　新たな製品を導入する際には「どのようにこれを普及させるか」についても考える必要がある。3社はHENNGE Secure Downloadを社内展開するときどのような工夫を凝らしたのか。

　時田氏は「導入時の社内説明では『なぜPDFでURLを送るのか』という質問が多く届きました。それに対して『この一手間は安全のためだ』と説明し、PPAPではできなかった添付ファイルの受信確認や、ファイルを誤送信した際の公開停止機能などのメリットを伝えることで社内の理解を得ました」と話す。

　時田氏によれば、社内展開には2カ月を見込んでいたが実際は1カ月程度で完了した。ただし、ユーソナーは電子メールのCcに必ず上長を入れる運用ルールを敷いているため、HENNGE Secure Downloadの設定をチームごとに分けて、利用開始時期についても1チームずつ細かく進めるという対処が必要だった。

　不動産SHOPナカジツはHENNGE Secure Downloadの導入に際して社内向けの案内を作成した。「不動産業である当社はITリテラシーが高い従業員ばかりではありません。そのため、まずは新たな運用がPPAPと何が違うのかを説明し、HENNGE Secure Downloadの利用方法についてもドキュメントを整備しました」（大石氏）

　大石氏は「当社は動作確認後、全社的に稼働を開始しました。HENNGEによるサポートの下、細かな運用ルールを設定したことで不安なく始められました」と話す。

　奥本氏は「当社は早くツールを浸透させるために、まず上層部にHENNGE Secure Downloadを利用してもらい、その結果を現場に下ろしていくというトップダウンの方式を採用しました。上層部へのレクチャーも入れると準備に3カ月はかかったと思います」と述べる。

　社内からの問い合わせとしては「外部からの電子メールがPPAPだった場合、受信できなくなるのか」という内容が多かったと奥本氏は話す。これについてはHENNGE Secure Downloadが有効なのは送信だけで受信には関係ないことを丁寧に説明した。

　HENNGE Secure Downloadを導入した3社の取り組みはPPAPからの脱却を目的としながらも、従業員や取引先に負担を掛けない工夫が随所に感じられるものだった。

　なお、HENNGEは情報交換の場としてユーザー企業限定のオンラインコミュニティー「chameleon」（カメレオン）を運営している。今回のような他では聞けないユーザーの本音が掲載されているので、HENNGE Oneを利用している企業はこちらへの参加もお勧めする。