最終更新日: 2026年6月14日
結論から言うと、パスワードや機密情報をメールの本文に書いて送るのは安全ではありません。別のメールで「別送」しても同じです。機密のテキストそのものを渡すなら、1回見たら消える暗号化URL(シークレット便)が最も安全です。
「履歴書をメールで送るとき、パスワードはどうすればいい?」「個人情報や口座番号を、メールに直接書いて大丈夫?」。こうした不安はよく聞きます。この記事は、プライバシーマーク取得企業としてファイル転送サービスを運営する立場から、パスワード・機密情報の安全な渡し方を解説します。
この記事はギガワタス(giga-watasu.jp)の運営ブログです。自社サービスを紹介しますが、デメリットも正直に書きます。
パスワードをメールで送るのは、なぜ危険か
パスワードや機密情報をメール本文に書くと、3つのリスクが生まれます。
メールで機密を送る3つのリスク
1. 盗聴されたら一発で漏れる
メールは平文でやりとりされる区間が残ります。経路上で盗み見られれば、本文のパスワードはそのまま読まれます。
2. 誤送信したら取り消せない
宛先を1文字間違えるだけで、無関係な相手に機密が届きます。送信済みメールは回収できません。
3. 相手の受信箱に残り続ける
送ったパスワードは、相手のメールボックスに半永久的に残ります。相手の端末紛失やアカウント乗っ取りのたびに、漏えいリスクが復活します。
個人情報保護委員会も、個人データをメールで送る際は誤送信などの漏えいに注意するよう求めています(個人情報保護委員会 ガイドライン)。一度送った機密は「相手がどう保管するか」をこちらで制御できない、というのが本質的な問題です。
「パスワードを別送する意味は?」PPAPが推奨されない理由
「ファイルにパスワードをかけて添付し、パスワードだけ別のメールで送る」。この方法はPPAP(ピーピーエーピー)と呼ばれ、長く使われてきました。しかし今は推奨されません。
理由はシンプルで、ファイルもパスワードも同じメール経路を通るからです。1通目が盗聴されているなら、2通目も同じように盗聴されます。金庫と鍵を同じ宅配便で送るようなもので、別送しても安全性はほとんど上がりません。
プライバシーマーク制度を運営するJIPDECも、2020年にメール添付による個人情報ファイルの送信を「従来から推奨していない」と明言しています(プライバシーマーク制度 お知らせ)。政府も2020年11月にPPAPを廃止し、日立やIIJなどの大手企業が続きました。IIJは2022年からパスワード付きZipの受信自体を拒否しています。
PPAPには、別送以外にも弱点があります。詳しくは「PPAPとは?なぜ廃止が進むのか」と「PPAPの代替|安全なファイル受け渡し方法」で解説しています。
運営者の正直な話
正直に告白すると、当社でも以前はPPAPを使っていました。パスワードは「本日の日付4桁です」とメールに書く運用です。受信者はメールの日付を見れば、誰でもパスワードが分かります。セキュリティ対策としては無意味でした。
「パスワードは本日の日付です」に心当たりがある方は、今がやめどきです。大事なのは「パスワードをかけること」ではなく「パスワードを別の経路で安全に渡すこと」です。
安全な渡し方=1回見たら消えるワンタイムURL
では、パスワードや機密のテキストをどう渡せばいいか。答えは「メールとは別の経路で、1回しか開けないURLで渡す」ことです。当社のシークレット便は、まさにこのための機能です。
使い方は3ステップです。
- 機密テキストを入力:パスワードやAPIキーなど、渡したい内容を貼り付けます
- 暗号化URLを発行:ブラウザ内で暗号化され、1回限りのURLが発行されます
- 相手が1回開くと消滅:相手がURLを開いて閲覧すると、内容は自動で消えます
このURLをチャットや電話など、ファイル本体とは別の経路で相手に伝えます。相手が一度開けば内容は消え、同じURLは二度と開けません。受信箱に残り続けることもありません。
仕組みのポイントは3つです。
| 仕組み | 何が起きるか |
|---|---|
| ブラウザ内で暗号化 | 内容はあなたの端末でAES-256(銀行と同じ暗号化方式)で暗号化。復号鍵はURLの「#」以降にだけ入り、運営サーバーには届きません。だから運営者にも内容は見えません |
| 1回閲覧で自己消滅 | 一度開かれると即座に消滅。同じURLは二度と開けないため、後から盗み見られません |
| 未読でも自動削除 | 閲覧されなくても、選んだ有効期限(10分〜7日)で自動的に削除されます |
「運営にも見えない」という点を補足します。暗号化はブラウザの中で完結し、復号に必要な鍵はURLの「#(ハッシュ)」以降にだけ含まれます。「#」以降はサーバーに送信されない、というブラウザの仕様を利用しているため、当社のサーバーには暗号文しか届きません。この方式を「ゼロ知識」と呼びます。
シークレット便の作成画面。送りたい内容を入力し「ワンタイムURLを発行する」を押すだけ。画面下部に「内容はブラウザ内で暗号化されてから送信される/復号鍵はURLの『#』以降に含まれ当社サーバーには送信されない」と明記されている(ゼロ知識方式の証拠)
機密のテキストを渡す主な方法を、4つの観点で比べました。
| 渡し方 | 暗号化される | やりとりに残らない | 開封後に消える | 送信を取り消せる |
|---|---|---|---|---|
| メールに直接書く | ✕ なし | ✕ 残る | ✕ 残る | ✕ 不可 |
| チャットに直接貼る | △ 経路のみ | ✕ 残る | ✕ 残る | △ 一部可 |
| PPAP(Zip+パス別送) | △ 弱い暗号 | ✕ 残る | ✕ 残る | ✕ 不可 |
| シークレット便 | ○ AES-256 | ○ 残らない | ○ 1回で消滅 | ○ 可(会員) |
※「送信を取り消せる」は無料会員登録で利用できます。チャットは投稿の削除はできますが、相手が見た後・スクリーンショット後は防げません。データの最終確認日は2026年6月14日です。
ケース別・機密情報の安全な送り方
「何を送るか」によって、最適な渡し方は変わります。よくある機密情報ごとに整理しました。
| 送りたいもの | メール直書きのリスク | おすすめの渡し方 |
|---|---|---|
| ID・パスワード | 盗聴・受信箱に残存。乗っ取りに直結 | シークレット便で1回限りのURL。URLは電話・チャットで |
| 口座番号・カード情報 | 金銭被害に直結。誤送信が致命傷 | シークレット便。閲覧後に自動消滅させる |
| マイナンバー | 取扱いに法的義務。漏えいは報告対象 | シークレット便。有効期限を最短(10分)に |
| 契約書・見積書(ファイル) | 添付がメールサーバーに残り続ける | ファイル転送サービス+パスワードは別経路で |
| 写真・動画など大容量 | 容量オーバーで送れない | 最大333GBのファイル転送サービス |
ポイントは2つです。パスワードや番号などの「短い機密テキスト」はシークレット便、ファイルそのものはファイル転送サービス、と使い分けることです。どちらの場合も、URLやパスワードはメールとは別の経路で伝えてください。
履歴書・職務経歴書のパスワードはどうする?
就活や転職で、履歴書をメールで送る場面は多いです。「パスワードをかけるべきか」「なしで送っていいか」で迷う方は多いでしょう。
結論から言うと、応募先から指定がなければ、履歴書はパスワードなしで送って問題ありません。採用担当者は大量の応募書類を扱うため、解凍やパスワード入力の手間を嫌うことも多く、PPAP廃止の流れもあります。指定がない限り、過剰なパスワード設定はかえって相手の負担になります。
ただし「応募先からパスワード設定を求められた」「機微な情報を含む」場合は、ファイル本体にパスワードをかけ、そのパスワードはシークレット便で別経路で渡すのが安全です。パスワードを同じメールに書いてしまっては、かけた意味がありません。ファイルへのパスワードのかけ方は「ファイル転送のパスワード保護の付け方」を参考にしてください。
ファイルごと送りたいときは
シークレット便は、パスワードやAPIキーなどのテキスト専用です。ファイルそのものは送れません。
書類や写真・動画などのファイルを送りたい場合は、ファイル転送サービスを使ってください。ギガワタスなら、登録不要・無料で最大333GBまで送れます。ファイルにパスワード保護をかけ、そのパスワードをシークレット便で渡せば、ファイルもパスワードも別経路になり、PPAPの弱点を解消できます。安全なサービスの選び方は「安全なファイル転送サービスの選び方」で解説しています。
よくある質問
Q. パスワードを別のメールで別送する意味はありますか?
ほとんどありません。1通目と2通目が同じメール経路を通るため、盗聴されていれば両方とも漏れます。別送するなら、メールとは別の経路(電話・チャット・シークレット便)を使ってください。経路を分けて初めて意味が出ます。
Q. パスワードをメールで送ると、どんなリスクがありますか?
主に3つです。①経路上で盗聴されれば本文のパスワードがそのまま読まれる、②宛先を間違えると無関係な相手に届き取り消せない、③相手の受信箱に残り続け、端末紛失やアカウント乗っ取りのたびに漏えいリスクが復活する、です。
Q. 本当に運営にも内容は見えないのですか?
見えません。暗号化はあなたのブラウザ内で行われ、復号に必要な鍵はURLの「#」以降にだけ含まれます。「#」以降はサーバーに送信されない仕様のため、当社は暗号文しか保持しません。これを「ゼロ知識」方式と呼びます。
Q. URLを相手にどう伝えればいいですか?
チャット・電話・SMSなど、機密本体を送る経路とは別の手段で伝えるのが基本です。任意で追加パスワードも設定できますが、その場合もURLとパスワードは別々の経路で伝えてください。
Q. 料金はかかりますか?
無料です。登録なしで使えます。無料の会員登録をすると、閲覧通知メール・送信履歴の確認・送信取消が利用できます。
Q. ファイルも送れますか?
シークレット便はテキスト専用です。ファイルを送りたい場合は、最大333GBまで送れるファイル転送サービスをご利用ください。
まとめ
パスワードや機密情報をメール本文に書くのは安全ではありません。別のメールで別送しても、同じ経路を通る以上、安全性はほとんど上がりません。これがPPAPが推奨されなくなった理由です。
機密のテキストそのものを渡すなら、メールとは別の経路で、1回見たら消える暗号化URLを使うのが安全です。ファイルを送りたいなら、ファイル転送サービスでパスワードを別経路にする。この使い分けを徹底してください。
シークレット便なら、登録不要・無料で、ブラウザ内暗号化(運営にも見えない)・1回で自己消滅・有効期限による自動削除が使えます。無料会員登録すれば、閲覧通知・送信履歴・送信取消も追加料金なしで利用できます。
この記事の内容は2026年6月14日時点のものです。サービス仕様は変更される場合があるため、利用前に公式サイトで最新情報を確認してください。
