ドメイン番人
メールセキュリティPPAP中小企業

PPAP 廃止 2026|中小企業の代替策 4 つ

ドメイン番人6 分で読めます
目次

この記事でわかること

  • PPAP(パスワード付き zip 添付)が廃止される背景と、現在も残っている理由
  • 中小企業が予算 0 円〜数万円で導入できる代替策 4 つの比較
  • 取引先がまだ PPAP を要求してきた時に角を立てずに断る対応スクリプト

「パスワード付き zip です、パスワードは別便で」がなぜ廃止されたのか

長らく日本の企業メールでは、機密ファイルを zip で圧縮してパスワードを掛け、本文は zip ファイル、続けてもう一通でパスワードを送る、という運用が定着していました。頭文字を取って PPAP(Password 付き zip、Password を送る、Angou(暗号)化、Protocol)と呼ばれます。

2020 年 11 月、デジタル庁の前身である内閣府が中央省庁での PPAP 廃止を発表して以降、民間企業の追随が進みました。背景にあるのは次の 3 点です。

  1. 暗号化強度が低い。zip の暗号化(ZipCrypto / AES)は、現代の総当たり攻撃ソフトで数分〜数時間で破られます。攻撃者にとって「解除コスト」が極めて低い
  2. 同じ経路で鍵を送る矛盾。本文を盗み見られた攻撃者は続くパスワードメールも当然盗み見ます。鍵と錠を一緒に送っているのと変わりません
  3. マルウェア検査をすり抜ける。受信側のセキュリティゲートウェイは暗号化 zip の中身を検査できないため、マルウェアの侵入経路として悪用される

2026 年時点では大手 SIer・銀行・通信キャリアの多くが PPAP を全面廃止しており、取引先からの PPAP 受信を自動拒否する設定の企業も増えています。つまり PPAP を送り続けると、自社のメールが取引先で届かなくなるリスクが出てきました。これは企業メールが届かない原因の一つにも挙げられます。

PPAP のセキュリティ問題と代替策の比較

それでも PPAP が残ってしまう 3 つの理由

中小企業の現場で PPAP がなかなか廃止できない理由は、技術ではなく運用にあります。

  • 「うちは ISO 27001 で zip 暗号化を required にしてある」。10 年以上前の運用ルールが惰性で残っている
  • 「取引先のフォームが zip 添付前提」。相手側の受領プロセスを変えないと止められない
  • 「経営者・営業部門が代替手段を知らない」。共有リンクは「セキュリティ的に大丈夫なの?」と止められる

この 3 つは「廃止の意思決定」と「代替手段の準備」を同時に進めないと解決しません。次章では、中小企業がすぐ導入できる代替策 4 つを紹介します。

中小企業向け代替策 4 つ

優先度順に、コスト・運用負荷・取引先側の負担を比較します。

代替策 月額目安 取引先の負担 向く用途
共有リンク(OneDrive / Google Drive) 0 円〜 クリックだけ 5 MB 以上の大容量ファイル、社外との一時共有
ファイル転送サービス(GigaFile / firestorage 法人版) 0 円〜数千円 クリックだけ 不特定多数への一時送付、登録不要
メール暗号化(S/MIME / PGP) 0 円〜数万円 鍵交換が必要 機微情報の継続送受信、法務・経理間
ビジネスチャット(Slack / Teams) 一人 1 千円前後〜 アカウント発行 同じ取引先と継続的にやり取りする案件

(1) 共有リンク(OneDrive / Google Drive)

最も導入が早く、すでに Microsoft 365 / Google Workspace を契約している企業は追加コスト 0 円で始められます。ファイルをクラウドにアップロードし、有効期限とアクセス権を設定した共有リンクをメール本文に貼るだけです。

ポイントは「期限を切る」「ダウンロード後に削除する」「組織外メンバーは閲覧のみ」など、リンク設定をテンプレ化することです。

(2) ファイル転送サービス

GigaFile 便や firestorage 法人版は、相手がアカウント登録不要で受け取れます。月額数千円のプランで送信ログ・ダウンロード通知・自動削除が付くため、PPAP からの移行先として定番です。

(3) メール暗号化(S/MIME / PGP)

法務・経理など機微情報を継続的にやり取りする部署では、メール自体を暗号化する S/MIME / PGP が有効です。Outlook / Thunderbird で標準対応していますが、取引先と公開鍵を事前交換する必要があります。

(4) ビジネスチャット

同じ取引先と長期間プロジェクトを進める場合、Slack コネクトや Teams 外部共有のチャンネルで完結させる選択肢があります。ファイル送付の都度メールを打つ必要がなく、ログも一元化されます。

取引先がまだ PPAP を要求してきた時の対応スクリプト

廃止を決めても、相手の運用が変わるとは限りません。角を立てずに断るためのテンプレを 3 パターン用意しておくと、現場が困りません。

(A) 廃止済みの取引先に対して

弊社では情報セキュリティポリシーの見直しにより、パスワード付き zip での送付を段階的に廃止しております。お手数ですが、本ファイルは共有リンクでお送りいたします。リンクは 7 日間でアクセス不可となります。

(B) PPAP 受領しか認めない取引先に対して

弊社のセキュリティ基準では暗号化 zip の送付ができない運用となっておりますため、貴社のファイル受領フォーム、もしくは共有リンクでの受領が可能か、ご確認いただけますでしょうか。

(C) 取引先のフォームが PPAP 前提の場合

該当のフォームの仕様変更について、貴社のシステム担当部門に確認をお願いできますでしょうか。弊社からは共有リンクで送付させていただきます。

「うちの規定で」「セキュリティ基準で」と主語を社内ルールに置くのがコツです。

取引先別 PPAP 対応マトリクス

メール認証の整備と並行して進める

PPAP 廃止は「添付ファイルの届け方」の話ですが、同時に進めたいのが送信ドメインの認証整備です。共有リンクをメールで送るようになると、リンク先にアクセスする取引先が増えるため、メール自体が偽装されていないことの証明が一層重要になります。

SPF / DKIM / DMARC が整っていないと、共有リンクが入ったメールがフィッシング判定されかねません。仕組みはメールと DNS の関係で解説しています。

よくある質問

PPAP の廃止に法的な強制力はありますか

中央省庁向けの内部ルールから始まったもので、民間企業に対する一律の法的強制はありません。ただし個人情報保護法のガイドラインでは「適切な安全管理措置」が求められており、PPAP は今や「適切」とは言いにくい状況です。

取引先が PPAP しか受け付けてくれません

(B) のスクリプトで一度打診し、それでも難しければ当面は PPAP で送りつつ移行計画を握る現実解もあります。完全廃止は半年〜1 年スパンで進める前提が現実的です。

暗号化 zip 以外の zip(パスワードなし)も廃止対象ですか

PPAP 廃止の対象は暗号化 zipです。圧縮目的のパスワードなし zip は問題ありません。ただし容量が大きい場合は共有リンクの方が受信側で扱いやすいです。

まとめ

  • PPAP は暗号化強度が低く、鍵を同じ経路で送る矛盾があり、マルウェア検査をすり抜けるため廃止が進む
  • 代替策は共有リンク・転送サービス・メール暗号化・ビジネスチャットの 4 つから業務に合わせて選ぶ
  • 取引先への伝え方は「社内ルールで」と主語を置けば角が立たない
  • PPAP 廃止と並行して SPF / DKIM / DMARC の整備も進める

まずは現状を把握しましょう

自社ドメインのメール認証がどの段階にあるか、無料で診断できます。 PPAP 廃止と合わせて送信ドメインの状態を確認したい方は、ドメイン診断からどうぞ。 判断に迷う場合はお問い合わせからご相談ください。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから