最終更新日: 2026年5月28日
結論から言うと、WeTransferは通信・保存ともに暗号化された一定水準のサービスです。ただし、ウイルススキャンは上位プラン限定で、ダウンロード回数制限やIPアドレス制限は用意されていません。サーバーは海外にあり、プライバシーマークも取得していません。「WeTransferは危険?」という声の多くは、この日本での使い勝手の差から来ています。
この記事の結論(30秒でわかる)
- 個人で軽いファイル: TLS+AES-256で暗号化され、パスワード保護も無料で使える。概ね安全
- 仕事・機密ファイル: 無料でもパスワード保護は可能。ただしウイルススキャンはUltimate(US$23/月〜)のみ、DL回数制限・IP制限は全プラン非対応
- 日本の法人: 無料は「非商用利用限定」、法人利用はTeams(最低2人〜)が必要。海外サーバー・Pマークなし・日本語非対応もネック
- 代替候補: ギガワタス(333GB・AES-256・Pマーク・無料会員で全機能)
この記事では、ファイル転送サービスの運営者として、WeTransferのセキュリティを正確に整理します。過去に実際に起きた2つの事案も、出典付きで検証しました。
この記事はギガワタス(giga-watasu.jp)の運営ブログです。競合サービスについても事実に基づいて解説しています。
WeTransferのセキュリティ機能を正確に整理する
まず、WeTransferに「ある機能」と「ない機能」を正確に整理します。ネット上には旧仕様の情報も多いため、公式の料金ページと公式ヘルプをもとにまとめました(2026年5月確認)。
| 項目 | Free(無料) | Starter | Ultimate |
|---|---|---|---|
| 通信の暗号化(TLS) | ○ | ○ | ○ |
| 保存時の暗号化(AES-256) | ○ | ○ | ○ |
| エンドツーエンド暗号化 | × | × | × |
| パスワード保護 | ○ | ○ | ○ |
| マルウェアスキャン | × | × | ○ |
| ダウンロード回数制限 | × | × | × |
| IPアドレス制限 | × | × | × |
| 最大容量 | 月3GB・月10回まで | 月300GB(10転送/30日) | 無制限 |
| 保存期間 | 最大3日 | 最大3日 | 期限を任意設定可(ストレージ上限あり) |
| プライバシーマーク | × 取得なし(運営は海外企業) | ||
| サーバー所在地 | 海外(EUまたは米国。運営: WeTransfer B.V./オランダ) | ||
| 月額料金 | 無料 | US$8前後 | US$23前後 |
料金はUSドル建てで、日本円表記はありません。為替で変動するため、上表は目安としてください(公式料金ページ・2026年5月時点)。
WeTransfer公式の料金ページ。無料プランは「個人の非商用利用限定(For individual, non-commercial use only)」、自動マルウェアスキャンはUltimate以上(Teams・Enterpriseを含む)に記載されている(2026年5月時点)
評価できる点: TLS+AES-256で暗号化されている
WeTransferは、転送中の通信をTLS、保存中のファイルをAES-256で暗号化しています。AES-256は銀行のオンラインバンキングと同じ暗号化方式です。公式ヘルプにも「files are encrypted in transit (TLS) and at rest (AES-256)」と明記されています。暗号化の基本は備わっており、この点は正当に評価できます。GDPR(EUの個人情報保護規則)にも準拠しています。以前は有料限定だったパスワード保護も、公式ヘルプによると現在は無料アカウントでも設定できます。
注意点: エンドツーエンド暗号化は非対応
一方で、WeTransferはエンドツーエンド暗号化(送信者と受信者の間だけで復号でき、サービス側でも中身を見られない方式)には対応していません。保存時の暗号化はサービス側が鍵を管理するため、運営側ではファイルを復号できる仕組みです。これはWeTransfer特有の弱点ではなく、ギガワタスを含む多くの汎用ファイル転送サービスに共通する仕様です。最高水準の機密性が求められる場合は、この前提を理解しておく必要があります。
過去に実際に起きた2つの事案
「WeTransferは安全か」を判断するうえで、過去に実際に起きた2つの事案は無視できません。どちらも海外メディアで広く報じられたものです。
事案①: 2019年、ダウンロードリンクが第三者に誤送信された
2019年6月16〜17日、WeTransferでシステムエラーが発生し、ユーザーがアップロードしたファイルのダウンロードリンクが、本来とは違う第三者に送信される事案が起きました。WeTransferはリンクをブロックし、一部ユーザーにパスワードのリセットを求め、関係当局に報告しています。原因については「特定できていない」と公表されました(BleepingComputer、SecurityWeek)。
運営者の立場で言うと、ファイル転送で本当に怖いのは「外部からの攻撃」よりも、こうした内部システムの不具合による意図しない流出です。URLを知っていれば誰でもダウンロードできる方式では、誤送信がそのまま情報漏洩につながります。
事案②: 2025年、利用規約の「AI学習」文言が炎上し撤回された
2025年7月、WeTransferは新しい利用規約を発表しました。その中に、ユーザーがアップロードしたコンテンツを機械学習モデルの学習に利用できると解釈される文言が含まれていました。クリエイターを中心に強い反発が広がり、WeTransferは2025年7月15日に該当箇所を修正し、機械学習やAIへの言及を削除しています(The Register、Malwarebytes)。
WeTransfer側は「有害コンテンツの検知にAIを使う可能性を想定した表現で、生成AIの学習に使う意図はなかった」と釈明しました。現在の規約からは該当文言が削除されています。ただし、規約は事業者の判断で変更されるものです。海外サービスを使う以上、規約改定のリスクは継続的に確認しておく必要があります。
日本で使うときの3つのセキュリティリスク
WeTransferは危険なサービスではありません。ただし、日本のビジネスで使う場合に知っておくべきリスクが3つあります。
リスク①: 無料プランはウイルススキャンがなく、容量・回数の制限が厳しい
WeTransferのマルウェア(ウイルス)スキャンは、Ultimate(US$23/月前後)以上(Teams・Enterpriseを含む)だけの機能です。無料プランとStarterでは、ウイルスが仕込まれたファイルでもサービス側で検知されません。受信者は自分のPCで都度スキャンする必要があります。
さらに、無料プランは30日間で3GBまたは10回までの送信、保存期間は最大3日と制限が厳しめです。不特定多数からファイルを受け取る業務(採用応募、取引先からの納品物受領など)では、スキャンがない点が特に効いてきます。業務で日常的に使うには、有料プランへの移行がほぼ前提になります。
リスク②: サーバーが海外・プライバシーマークなし
WeTransferの運営はオランダのWeTransfer B.V.で、2024年にイタリアのBending Spoons社に買収されています。サーバーも海外にあり、日本のプライバシーマークは取得していません。
日本企業が顧客の個人情報を扱う場合、個人情報保護法では外国にある第三者へのデータ提供に追加の対応が求められるケースがあります。取引先によっては「Pマーク取得サービスでないと不可」「データは国内保管が条件」と指定されることもあります。海外サーバーであること自体が直ちに危険なわけではありませんが、コンプライアンス上の確認は必要です。
リスク③: 個人向けプランは「非商用・個人利用限定」、管理機能も乏しい
WeTransferの料金ページでは、無料プランに「For individual, non-commercial use only(個人の非商用利用に限る)」と明記されています。上位のUltimateも「個人利用限定(For individual use only)」とされ、法人で正式に使うには最低2ユーザーからのTeams(US$19/ユーザー/月〜)が必要です。会社の業務で無料プランを使うこと自体が、規約上は想定されていません。
さらに、どのプランにもダウンロード回数制限とIPアドレス制限がありません(公式の機能一覧に記載なし・2026年5月時点)。一度URLが流出すると、誰が何回ダウンロードしたかを制御できません。2019年の誤送信事案のように、URLが意図しない相手に渡ったときに歯止めがかからない設計です。UI・サポートも英語のみで、日本語表記はありません。




