平井卓也デジタル改革担当大臣の宣言が引き金となり、「脱PPAP」が日本中で加速している。暗号化ファイルとパスワードをメールで送る「PPAP」は、セキュリティー対策として無意味だからだ。日立製作所に続いて富士通やNTTデータも脱PPAPに動く。PPAPがなぜ悪いのか。その5つの「大罪」を振り返ると共に、安全に社外へファイルを送る、正しいやり方を紹介しよう。
ある日本の大手ITベンダーではつい数年前まで、こんな光景が繰り広げられていたという。昼過ぎのオフィスに事業部長クラスの役職者が部下数人と共に現れ、「メール誤送信防止のために守るべき原則」と書かれたパネルの内容の唱和を求める。するとフロア全員が業務を止めて立ち上がり、「添付ファイルは必ず暗号化ZIPにし、パスワードを別メールで送ること」と繰り返すのだ。こうした数日間に及ぶ「PPAPキャラバン」が、このベンダーでは年に1~2度の頻度で開催された。
PPAPは「Password付き暗号化ファイルを送ります、Passwordを送ります、Aん号化(暗号化)Protocol(プロトコル、手順)」の略。セキュリティー対策として無意味なだけでなく、セキュリティーリスクを高める旧時代的なこの風習を、日本の大手ITベンダーはこよなく愛していた。しかしその状況が大きく変わろうとしている。
転機となったのは2020年11月。平井卓也デジタル改革担当大臣が、内閣府と内閣官房でPPAPを廃止すると発表した。さらに日立製作所は日経クロステックの取材に対し、2021年度からPPAPを全面禁止すると明らかにした。日経クロステックがこれを2021年1月に報じたところ、同月の時点で脱PPAPは未定としていたNTTデータと富士通が今回、脱PPAPに方針を転じた。NTTデータは2021年度にPPAPを禁止する方向で社内規定を改定する。富士通もPPAPを禁止する方向で検討しているという。
