最終更新日: 2026年3月28日
結論から言うと、PPAPの代替にはファイル転送サービスが最も手軽です。ただし「パスワードの送り方」を変えないと、PPAPと同じ問題が残ります。
2020年11月24日、平井卓也デジタル改革担当大臣が記者会見でPPAP廃止を発表。11月26日から内閣府・内閣官房で全面廃止されました(内閣府 大臣記者会見要旨)。その後、日立、NTTデータ、富士通などの大手も続き、IIJは2022年からパスワード付きZipの受信自体を拒否しています。
「PPAPをやめなきゃいけないのは分かっている。でも具体的にどう進めればいいか分からない」。この記事は、プライバシーマーク取得企業としてファイル転送サービスを運営する立場から、中小企業が月曜日から実行できる脱PPAPの具体策を解説します。
PPAPの本当の問題点は「Zipの暗号が弱い」こと
PPAPの問題として「パスワードが同じメールで送られる」ことがよく挙げられます。確かにこれは問題ですが、実は本質ではありません。
PPAPの最大の問題は、Zipファイルの暗号化方式そのものが脆弱なことです。
多くのPCで標準的に使われるZipの暗号化方式は「ZipCrypto」です。これは1990年代に設計された古い方式で、NECのセキュリティブログによると、8桁のパスワードでも専用ツールを使えば約2週間で解析できます。つまり、仮にパスワードを別経路で安全に送ったとしても、Zipファイル自体が盗まれたら中身を取り出される可能性があります。
PPAPには合計4つの問題があります。
| 問題 | 具体的なリスク |
|---|---|
| 1. ZipCryptoの脆弱性 | 8桁パスワードが約2週間で解析可能。パスワードを安全に送っても、ファイル自体が盗まれたら意味がない |
| 2. 同一経路でパスワード送信 | メールが盗聴されていれば、ファイルもパスワードも両方漏れる。金庫と鍵を同じ宅配便で送るようなもの |
| 3. ウイルスチェック不可 | パスワード付きZipはメールサーバーのウイルスチェックをすり抜ける。Emotet等のマルウェアがそのまま届く |
| 4. 受信者の業務負担 | 2通のメール確認、パスワードコピー、解凍作業。スマホでは解凍できないケースも多い |
運営者の正直な話
正直に告白すると、当社でも以前はPPAPを使っていました。パスワードは「本日の日付4桁です」とメールに書いて送る運用です。受信者はメールの日付を見れば誰でもパスワードが分かります。セキュリティ対策としては完全に無意味でした。
事故こそ起きませんでしたが、IT企業としてこの運用を続けることに疑問を感じ、自社のファイル転送サービス開発と並行してPPAPを廃止しました。「パスワードは本日の日付です」に心当たりがある方は、今がやめどきです。
PPAP vs ファイル転送サービス — 何が変わるのか
まず、PPAPとファイル転送サービスで「ファイルを送る流れ」がどう変わるかを見てください。
PPAP(従来のやり方)
ファイル転送サービス
自動削除
削除可能
「ファイル転送サービスに変えれば安全」は半分ウソ
よくある脱PPAP記事は「ファイル転送サービスを使えばパスワードとファイルが別経路になるので安全」と説明します。これは正確ではありません。
ダウンロードURLをメールで送り、パスワードもメールで送ったら、PPAPと同じ「同一経路問題」が残ります。メールが盗聴されていれば、URLもパスワードも両方漏れます。
ファイル転送サービスの本当の優位性は、パスワードの送り方ではなく、以下の4点です。
| 比較項目 | PPAP(Zip添付) | ファイル転送サービス |
|---|---|---|
| 暗号化強度 | ZipCrypto(8桁で約2週間で解析可能) | AES-256(解読は事実上不可能)※サービスによる |
| 流出後の制御 | ✕ 不可能(メールは取り消せない) | ○ DL回数制限・ファイル削除が可能 |
| 自動削除 | ✕ メールサーバーに永久に残る | ○ 保存期間後に自動削除 |
| ウイルスチェック | ✕ Zip内部はスキャン不可 | ○ アップロード時にスキャン可能 |
AES-256(エーイーエス256)とは、銀行のオンラインバンキングやアメリカ政府が採用している暗号化方式です。ZipCryptoが2週間で解析できるのに対し、AES-256は現在のコンピュータでは事実上解読不可能です。
つまり、仮にダウンロードURLとパスワードが両方メールで漏れたとしても、ファイル転送サービスなら以下の防壁が残ります。
- ダウンロード回数制限で、3回目以降はダウンロードできない
- 保存期間が切れれば、ファイル自体がサーバーから消える
- サーバー上のファイルはAES-256で暗号化されている
PPAPにはこれらの防壁が一切ありません。Zipファイルはメールサーバーに残り続け、ZipCryptoは時間をかければ解析できます。
ただし、最善の運用は「パスワードをメール以外の手段で送る」ことです。以下の図を社内で共有してください。
パスワードの送り方ガイド
DLリンクをメールで送った後、パスワードは…
下の画像は、ギガワタスでファイルをアップロードする際の設定画面です。パスワード保護とダウンロード回数制限を、無料プランでもこの画面から設定できます。
脱PPAPを社内で進める5ステップ
「PPAPが危険なのは分かった。でも社内でどう進めればいいのか」。ここからは、中小企業が月曜日から実行できる具体的な手順を解説します。
準備は半日で完了。段階移行を含めて2〜4週間
ステップ1: 現状を棚卸しする(所要時間: 1時間)
まず、自社のPPAP利用状況を把握します。
- パスワード付きZipを送っている部署・担当者は誰か
- 送信先は社内か、取引先か、顧客か
- 送っているファイルの種類(見積書、契約書、設計図、個人情報等)
- 週にどのくらいの頻度で送っているか
機密性の高いファイル(個人情報、契約書等)を頻繁にPPAPで送っている部署から優先的に移行します。
ステップ2: 代替手段を選定する(所要時間: 30分)
| 代替手段 | 月額 | 導入の手軽さ | 向いている企業 |
|---|---|---|---|
| ファイル転送サービス | 無料〜550円 | ○ 即日開始 | ITに詳しくない中小企業。社外への都度送信が多い |
| クラウドストレージ | 無料〜1,360円 | △ 権限設計要 | 既にGoogle WorkspaceやMicrosoft 365を導入済みの企業 |
| メールセキュリティ製品 | 数万円〜 | ✕ サーバー変更 | 情シス部門があり、メール基盤を一括管理したい大企業 |
クラウドストレージ(Google Drive、OneDrive等)も有力ですが、社外共有時のアクセス権限設計を誤ると「リンクを知っている全員がアクセス可能」という状態になり、PPAPと同じリスクが残ります。ファイル転送サービスは「送信→ダウンロード→自動削除」の流れが決まっているため、設定ミスのリスクが小さいです。
ファイル転送サービスを選ぶ際の法人向けチェックリストは以下の通りです。
| サービス | 暗号化 | Pマーク | DL制限 | 月額 |
|---|---|---|---|---|
| ギガワタス | ○ AES-256 | ○ 取得 | ○ 対応 | 無料〜550円 |
| データ便 | △ SSL | ○ 取得 | ○ 対応 | 無料〜550円 |
| firestorage | △ SSL | ○ 取得 | ✕ 非対応 | 無料〜1,320円 |
| ギガファイル便 | △ SSL | ✕ 未取得 | ✕ 非対応 | 無料 |
※ SSL = 通信経路のみ暗号化(転送中は守られるが、サーバー保管時は暗号化なし)。AES-256 = ファイル自体を暗号化(サーバーに保管されている間も暗号化されたまま)。
ギガファイル便は完全無料で300GBまで送れる便利なサービスですが、PPAPの代替としてはファイル暗号化とDL回数制限がないため不十分です。法人利用の詳細は「ギガファイル便は危険?セキュリティの実態と安全な使い方」で解説しています。各サービスの詳しい比較は「無料ファイル転送サービス15社を徹底比較」もご覧ください。
ステップ3: 社内の運用ルールを決める(所要時間: 1時間)
ツールを導入しても、運用ルールがなければ「人によってやり方が違う」状態になります。最低限、以下の4点を決めてください。
- パスワードの伝達方法: メール以外(電話、Slack、Teams等)で伝える。これが最も重要なルール
- 保存期間: 業務上必要な最短期間に設定。見積書なら3日、契約書なら7日が目安
- ダウンロード回数: 想定受信者数+1〜2回に設定。5人に送るなら7回
- 対象範囲: 全社一斉か、まず特定部署からか
プライバシーマーク取得企業として言えることがあります。Pマークの審査では「ファイル送信時のセキュリティルールが明文化されているか」が確認されます。PPAPの運用ルールがある企業は、それをファイル転送サービスのルールに書き換えるだけです。新しい文書を一から作る必要はありません。
ステップ4: 取引先に告知する
脱PPAPで最もハードルが高いのが取引先への告知です。以下のテンプレートを参考にしてください。
【告知メール テンプレート】
件名: ファイル送信方法変更のお知らせ
平素よりお世話になっております。
○○株式会社の△△です。
弊社ではセキュリティ強化の一環として、
パスワード付きZipファイルのメール添付(いわゆるPPAP)を
○月○日より廃止いたします。
今後のファイル送信は、ファイル転送サービスを利用いたします。
お送りするメールに記載のURLからダウンロードをお願いいたします。
パスワードはお電話またはチャットにて別途お伝えします。
ご不明な点がございましたら、お気軽にお問い合わせください。
ポイントは「セキュリティ強化」という前向きな理由を伝えることです。IIJのようにパスワード付きZipの受信を拒否する企業も増えており、「脱PPAPしました」と伝えて嫌がる取引先はまずいません。むしろセキュリティ意識の高さを示せます。
ステップ5: 段階的に移行する(2〜4週間)
- 第1週: IT担当者(または推進者1名)が自分の業務で試す
- 第2週: 優先部署(機密ファイルを扱う部署)に展開。操作マニュアルを配布
- 第3週: 取引先に告知メールを送付
- 第4週: 全社展開。旧PPAP運用を禁止
いきなり全社一斉に切り替えると混乱します。まず1人で試し、問題がないことを確認してから広げてください。
よくある質問
Q. パスワードもメールで送ったらPPAPと同じでは?
パスワードの送り方だけを見れば、その通りです。だからこそパスワードは電話やチャットで送るべきです。ただし、仮にパスワードもメールで送ったとしても、PPAPよりは安全です。理由は3つ。①ファイル転送サービスはAES-256で暗号化するため、ZipCryptoのように解析されない。②ダウンロード回数制限で流出被害を限定できる。③保存期間後にファイルが自動削除される。PPAPにはこれらの防壁がありません。
Q. PPAPをやめたら取引先に迷惑がかかる?
逆です。日立、IIJ、NTTデータなどはPPAPを全面廃止し、IIJはパスワード付きZipの受信自体を拒否しています。取引先がPPAP廃止済みなら、パスワード付きZipは届かない可能性すらあります。
Q. 無料のファイル転送サービスでも法人利用して大丈夫?
サービスによります。法人利用で確認すべきは、①AES-256暗号化に対応しているか、②運営会社がプライバシーマークを取得しているか、③ダウンロード回数制限があるか、の3点です。ギガワタスなら無料プランでも3点すべて対応しています。コンプライアンス規定が厳しい場合は、IPアドレス制限やウイルススキャンが付くプレミアムプラン(月550円)の検討をおすすめします。
Q. クラウドストレージではダメ?
ダメではありません。Google DriveやOneDriveを既に導入済みなら有力な選択肢です。ただし注意点が1つ。共有設定で「リンクを知っている全員」を選ぶと、URLが漏れた場合に誰でもアクセスできます。必ず「特定のユーザーのみ」に設定してください。ファイル転送サービスは「送信→DL→自動削除」が自動で完結するため、設定ミスのリスクが小さいのが利点です。
Q. いつまでにPPAPをやめるべき?
法的な期限はありませんが、今すぐ始めるべきです。政府の廃止発表から5年以上が経過し、大手企業はほぼ移行済みです。取引先からパスワード付きZipの受信を拒否される前に、自社から動いてください。
まとめ
PPAPの本質的な問題は「パスワードの送り方」ではなく、「ZipCryptoの暗号強度の低さ」「流出後に制御できない」「ウイルスチェックが効かない」ことです。
ファイル転送サービスに切り替えれば、AES-256暗号化・ダウンロード回数制限・自動削除という3つの防壁が加わります。ただし、パスワードはメール以外の手段(電話・チャット)で送ることを徹底してください。ツールを変えても運用を変えなければ、PPAPと同じ穴にはまります。
中小企業の脱PPAPは、5ステップ・2〜4週間で完了します。まずはファイル転送サービスを無料で試すことから始めてください。
ギガワタスなら、登録不要・無料でAES-256暗号化・DL回数制限・パスワード保護が使え、300GBまで送信可能です。プレミアムプラン(月550円)ではウイルススキャン・IPアドレス制限・保存最大90日が追加されます。
この記事のデータは2026年3月28日時点のものです。各サービスの仕様は変更される場合があるため、利用前に公式サイトで最新情報を確認してください。
