三菱UFJ銀行、PPAP を原則取り止め(ScanNetSecurity)

皆さんは、メールで送られてきたパスワード付きのファイルを開くとき、別のメールで送られてくるパスワードを入力する、という経験はありませんか？

この方法、実は「PPAP（ピーパップ）」と呼ばれていて、日本独特の文化として長く使われてきました。PPAPとは、P（パスワード付きファイルを送り）、P（パスワードを送り）、A（暗号化し）、P（プロトコル＝手順）の頭文字を取ったもので、ファイルをパスワードで保護して送り、そのパスワードを別のメールで送ることで、もしメールが途中で盗み見られても、ファイルの中身は守られる、という考え方に基づいています。

しかし、このPPAP、実はセキュリティの専門家からは「あまり安全ではない」と指摘されてきました。なぜなら、もしメールを盗み見ようとする悪い人がいた場合、ファイルが送られてくるメールと、パスワードが送られてくるメール、両方を盗み見られてしまう可能性が高いからです。同じ経路で送られてくるわけですから、両方手に入れるのはそれほど難しくない、というわけですね。これでは、せっかくパスワードをつけた意味が薄れてしまいます。

さらに、PPAPは受け取る側にとっても手間がかかります。パスワードを入力する手間はもちろん、パスワードを忘れてしまったり、どちらのメールがパスワードなのか分からなくなったりすることも少なくありません。特に、たくさんのファイルを受け取る人にとっては、かなりの負担になります。

そんな中、ついに国内最大手の銀行の一つである三菱UFJ銀行が、このPPAPを原則としてやめることを発表しました。これは、日本のビジネスシーンにおける大きな変化の兆しと言えるでしょう。これまでは「慣習だから」と使われ続けてきたPPAPですが、セキュリティへの意識の高まりや、より効率的な働き方を求める声が増えてきたことで、いよいよ見直しの動きが本格化してきたのです。

では、PPAPをやめる代わりにどうするのでしょうか？ 三菱UFJ銀行は、安全なファイル転送サービスや、クラウドストレージの利用を検討しているようです。これらのサービスは、ファイルを送る人と受け取る人の間で、より安全に、そしてスムーズにやり取りができるように設計されています。例えば、ファイルをアップロードすると、受け取る側にはダウンロード用のURLだけが送られ、ダウンロードの際には認証が必要になる、といった仕組みが一般的です。これなら、メールが盗み見られても、簡単にファイルの中身を見られる心配は少なくなりますし、パスワードをいちいち入力する手間も省けます。

今回の三菱UFJ銀行の動きは、他の企業にも大きな影響を与えることでしょう。特に、個人情報や機密情報を扱う機会の多い金融業界では、セキュリティ対策は最重要課題です。今後、他の銀行や大手企業もPPAPからの脱却を進める可能性が高く、日本の働き方や情報セキュリティのあり方が、大きく変わっていくきっかけになるかもしれません。