情報セキュリティにおける「PPAP」をご存じでしょうか?PPAPとは、主にメールで添付ファイルを送信する際に使われる情報セキュリティ対策手法です。「パスワード付きzipファイルを送り、そのパスワードを別送する」という方法で、日本において官民問わず広く使われてきました。しかし近年、PPAPはセキュリティ対策として無意味であると問題視されています。今回は、PPAPの問題点と対応策について考えます。
PPAPは、「”P”assword付きzipファイルを送ります、”P”asswordを送ります、”A”ngoka(暗号化)”P”rotocol(プロトコル=手順)」の略号です。
具体的な方法は、以下の手順です。
PPAPは、パスワードを知っている人でなければファイルの中を見ることができないという考えのもと、機密性の高い情報をメールでやり取りする際にセキュリティ対策として広く使われるようになった手法です。
しかし近年、PPAPには様々な課題があるとして廃止する動きが広まりつつあります。内閣府では、2011年頃から外部へのファイル送信でPPAPを採用していましたが、セキュリティ対策や受け取り側の利便性の観点から適切ではないとして、平井卓也前デジタル改革担当大臣が昨年11月24日の記者会見で、11月26日から内閣府、内閣官房で「PPAP」を廃止する方針を発表しました。会見の詳細は以下をご参照下さい。
政府のPPAP廃止をきっかけに、民間企業でも廃止の動きが少しずつ広まっていますが、まだ多くの企業で使われているのが現状です。特に企業間取引で注文書や請求書などの機密性の高い伝票をやり取りする際に使われています。
では、PPAPにはどのような問題があるのでしょうか?
PPAPの主な問題点としては、以下が挙げられます。
ファイルをパスワード付きでzip化していても、従来型のアンチウイルス製品ではパスワード付きzipファイルの中身まで検知できないものも多くあります。そのためウイルスに気づかず、受信者が感染してしまうリスクがあります。
パスワード付きzipファイルとパスワードを別メールで送信したとしても、同じ経路上にあるため両方のメールが攻撃者に渡ってしまえば、簡単にファイルを開くことが可能です。
パスワード付きのzipファイルを受信すると、そのファイルごとのパスワードも一緒に管理する手間が発生します。また、そのファイルを開くごとに毎度パスワードを入力する必要がありますし、ファイルが注文データなどであれば、基幹システムへ転記をしなければならず、受信者側の生産性が下がってしまいます。
前述の通り、PPAPは企業間取引でのファイルのやり取りに広く使われていますが、PPAPを採用しているか否かに関わらず、メールでの取引情報の授受は、電子帳簿保存法の定める電子取引に該当し、取引情報の保存義務が発生します。さらに、2022年1月に改正される電子帳簿保存法により、これまで容認されていた電子取引情報の紙出力保存が廃止となり、電子取引情報は電子データのまま法令要件を満たして保存しなければならないのです。メール取引の改正電子帳簿保存法への対応方法に関しては、以下のコラムをご参照下さい。
つまり、発注書や請求書などの企業間取引情報をPPAPでやり取りしている場合は、前述のPPAP自体に問題がある上、電子帳簿保存法の要件にも対応しなければならず、問題がさらに悪化するのです。
PPAP問題の解決策として、クラウド型EDIが挙げられます。EDIとは、”Electronic Data Interchange”の略語で、企業間取引情報を電子データでやり取りする仕組みです。EDIの詳細は、以前のコラムをご覧ください。
クラウド型EDIを利用すれば、以下のようにPPAPの問題を解消することができます。
クラウド型EDIは、クラウド上に環境構築されているため、一企業の社内環境よりはるかにセキュアな環境に守られています。全ての通信はSSL/TLSにより暗号化されるため、盗聴の心配もありません。また、電子データを直接やり取りするため、ファイルを介したウィルス感染のリスクもありません。
クラウド型EDIでは基幹システムとデータ連携できるので、送信者、受信者ともに業務工数を削減することができます。APIで基幹システムとEDIをシームレスに繋げることで、送信者は基幹システムから直接データを受信者に送ることができます。また、受信者も受け取ったデータを直接基幹システムに取り込むことができるので、メール取引で発生していた基幹システムへの手入力といった手間を削減することができます。
EDI取引も電子帳簿保存法が定める電子取引に該当します。そのため、メール取引と同様に、取引情報は電子データのまま規定の保存要件を満たして保存する義務があります。しかし、2020年10月の電子帳簿保存法改正で、クラウドサービスの利用が保存措置として認められたことで、メール取引に比べて要件を満たしやすくなりました。詳しくは、以下のコラムをご参照ください。
このように、クラウド型EDIを利用すればPPAPの問題を解決し、送信者、受信者ともに業務効率化を図ることができます。2022年1月の電子帳簿保存法改正を機に、取引方法のリプレースを検討してみてはいかがでしょうか。
2022年1月電子帳簿保存法の改正内容やデジタル発注を始めるポイントをホワイトペーパーにしております。
こちらもぜひご覧ください。