freeeが「パスワード付き添付ファイル」受信を廃止freeeが「パスワード付き添付ファイル」受信を廃止するまでのプロセスとは?

「脱ハンコ」に続き、パスワード付き添付ファイルの廃止(脱PPAP)の動きが官民で高まっている。パスワード付き添付ファイルのセキュリティ上の効果の薄さと煩雑さから、平井卓也デジタル改革担当大臣が中央省庁で送信廃止の意向表明をしたことが大きな注目を集めたが、クラウド会計ソフトを提供するfreeeも12月1日からパスワード付きファイルのメール受信を原則廃止とした。効果が薄いとわかっていてもなかなか仕組みを変えられないのが日本企業の特徴だが、いかにして廃止を実現したのか。freeeにその手順や社内外の反応、セキュリティ教育の方法などについて聞いた。(編集・ライター ムコハタワカコ) 

パスワード付き添付ファイルの
メール送受信廃止が官民で進む

 11月17日、平井卓也デジタル改革担当大臣が定例会見で、パスワード付き暗号化zipファイルのメール添付を中央省庁で廃止する方針を明らかにした。また翌18日には、クラウド会計ソフトや労務ソフトを提供するfreeeが、メールによるパスワード付きファイルの受信を12月1日から原則として廃止することを発表している。

 いわゆる「PPAP」(パスワード付きzipファイルをメールで送付し、パスワードをメールで後送する手法)については、セキュリティ上の効果は薄く、受信者の手間がかかるだけとして、情報セキュリティの専門家や有識者からは以前から批判されてきた。

 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)はマルウェア「Emotet」の被害拡大を受け、パスワード付きzipファイルなど、セキュリティ対策ソフトがスキャンできないタイプのファイルを添付したメールのブロックを推奨する文書を10月6日に公開している。

 また平井大臣の方針表明後、内閣府と内閣官房では早速11月26日からPPAP廃止を明らかにしており、今後、官民で対応が進むものと思われる。

 ただ、今のところ、多くの企業が情報漏えい対策の一環としてセキュリティポリシーに添付ファイルのzip暗号化を盛り込んでいたり、ファイル暗号化とパスワード発行・送信を自動化するシステムを取り入れたりしているのが実情。「明日からでもPPAPを廃止しよう」、特に取引先などがこのシステムを導入している場合には「受信をやめよう」とはなかなか言えず、悩める担当者も多いのではないだろうか。

 では今回、パスワード付きファイルのメール受信廃止を決めたfreeeでは、どのように社内の理解を取り付け、実現させたのか。話を聞くと、以前から行ってきたセキュリティに対する意識の醸成が大きな影響を与えていることがわかった。