PPAPしてますか？

日立さんがPPAPを2021年度から全面禁止すると発表しました。

PPAPとは、2016年に流行ったアレ・・・ではなく（語源自体はそれですが。。。）、

メールにパスワード付きzipを添付し、

あとから別のメールでzipの解凍パスワードを伝える方法です。

ではなぜ禁止するようになったのか？ですね。

（PPAP 廃止 なぜ　でググると大体出てきますが。。。）

そもそも、PPAPについては国も廃止する方針であるようで、

2020年11月17日にデジタル改革担当相が廃止する方針だと宣言しています。

理由としては毎度おなじみの「セキュリティ的に問題である」ではありますが、

なにが問題なのか？

パスワード付きzipを使用すること自体は特に問題ないでしょう。

問題はzipを添付したメールとパスワードを伝えるメールが

同じメールサーバーのメールだということです。

クラッカー（悪意を持ってサーバー等に侵入する人）目線でみると、

そのメールサーバーのメールを覗ける状態であれば、

zipファイルもパスワードも見ることができるということになります。これでは丸裸同然ですよね。

実はずいぶん前からこの問題は指摘されていたのですが、なかなか動きはありませんでした。

理由としては「いままで問題が無かった。他の会社もやっている。」といったところでしょうか。。。

実に日本人らしい正常性バイアスっぷりですが、国が廃止の方針を示したことで、

民間にも廃止の動きが出てきたといった具合ですね。

廃止するのであれば、代替手段が必要となります。

候補としては、今まで同じメールサーバーのメールで伝えていたパスワードを

「メールで伝えることをやめる」

例えば、部署ごとで予めパスワードを決めておく等ですね。

（勿論、パスワードは単純なものではNGです。）

この方法であれば、追加投資なしで実現できます。

ただし、この方法だと会社×会社の場合に多少弊害があるでしょう。取引先に営業が出向き、

「御社とやり取りする時のパスワードは○○です。」と事前に伝える必要があり、

取引にひと手間かかることになります。

他の方法だと、ファイルの転送やオンラインストレージのようなクラウドサービスを利用する

という手もあります。

こちらの方法であれば高いセキュリティレベルが期待できますが、

往々にして使用料金が発生します。

また、会社×会社である場合は取引先の担当者のアカウントを

作成する等の対応も必要になります。

勿論、取引終了後にはそのアカウントを削除する必要があります。

このように、PPAPは廃止する。と方針は示されましたが代替手段の

選択肢は示されているわけではないため、

「お金をかけずに手間をかける」のか「お金をかけて手間を省く」のか、

自信の身の丈に合った選択が必要になりますね。