1. HOME
  2. お役立ち情報
  3. Blog
  4. メール送信時の添付ファイル送信が注目されています(脱PPAPを進めましょう!)【スワットブレインズ社 寄稿】

お役立ち情報

メール送信時の添付ファイル送信が注目されています(脱PPAPを進めましょう!)【スワットブレインズ社 寄稿】

  • このエントリーをはてなブックマークに追加

 

普段の業務で電子メールを利用する事が多い方にとって、様々な資料をメールに添付して相手に送り届ける操作はとても便利です。

そして、受け取る側も、短い時間で資料を手にすることが出来るので、同様に便利です。

この電子メールに「資料データファイルを添付して送信する」という一連の操作について、注目される状況にあります。

 

 

1.10年以上運用してきた「パスワード付Zipファイル」

国内の大手総合電機メーカが、最近取引先に通知した話題がその発端になっています。 


・2021年10月11日12月13日から、メールの添付ファイルが、
 パスワード付ZIPファイルである場合は、そのメールの受信をしない

・2021年10月11日12月13日以降、電子データを届ける場合は、
 パスワード付ZIPファイルをメールに添付する方法では無い手段で送付すること。

※ 当初10月11日からの措置でしたが、12月13日からと延期になりました。


 というものです。

 

日本では、この10数年間、電子メールの添付ファイルは、
「パスワード付ZIPファイル」へ変換した形で送付するのがスタンダードのようにおこなれてきました。

 

これは、2003年に成立し注目された「個人情報の保護に関する法律(略称:個人情報保護法)」が背景にあると考えられます。 

2005年4月から全面施行された 個人情報保護法では、
企業や組織が内部で管理する個人情報 の管理に対して適切な管理と運用を促し、
適切な対応が出来ていないと事業者に対して刑事罰が科せられることになりました。

この考え方の解釈の1つとして、
「電子メールで添付ファイルを社外に送信する際には、そのメールが通信経路で盗聴されることへの懸念と、
相手に対して情報を部外者に閲覧できない状態にして送付している状況を具体的に知らせることで信頼を損なわない。」
という考え方が広まりました。

個人情報保護法への対応策として、この方法は当時としては「理解される」方法だったと思います。 

しかし、この方法は、手間が掛かるものでした。
そして、運用に至っては、とてもメンドクサイと言うべきものでした。

それでも、会社や組織が決めたルールとして、さらに言うと「セキュリティポリシー」と呼ばれる、
セキュリティ行動基準などの運用に組込まれることもあり、実施するのが「仕事の手順」となる状態となりました。
その結果、手間が掛かりメンドクサイものとは思いながらも、メール送信の際には、多くの人が対応してきました

また、ITベンダーでは、この手順を改善するために、
添付ファイルの暗号化変換を「ツールにより実現する仕組み」を提供したり、
パスワードを取り決めに従って、自動的に生成する仕組みも考案されました。 

それからも創意工夫をしながらも、この手間が掛かりメンドクサイ対応を実施してきました。

 

2.パスワード付Zipファイルは「業務効率の改善となる対象」

 この日本が努力して実施してきた「手順」である電子メールの添付ファイルは、
パスワード付ZIPファイルで行うこと。という「お作法」 に対して
国務大臣が「やめる!」と発言されました。

この発言とは、平井卓也デジタル改革担当大臣が2020年11月24日の記者会見で、
暗号化ZIPファイルをメールで送付した後に別のメールでパスワードを追送する手順、
通称「PPAP」を内閣府と内閣官房で11月26日に廃止すると発表されたものです。

この発言は、非常に大きな衝撃を与えました。

簡単に言うと「国は、パスワード付ZIPファイルをメール添付して送るのを止めます」という事になり、
同様の事をやってると、「そのままで良いの?」という風潮が生まれるからです。

ただ、この話題について触れる場合には、注意が必要です。

それは、このニュースを知り得た直後から、
あらゆる事がごちゃごちゃに混ぜられたような説明と、それを利用した「好都合な解釈」が氾濫したからです。

平井大臣が発言された背景を正しく確認する必要があります。
内閣府のサイトに掲載されている大臣記者会見の要旨です。
https://www.cao.go.jp/minister/2009_t_hirai/kaiken/20201124kaiken.html

 

ポイントは、

・アイデアボックスで投票数が第1位であった自動暗号化ZIPファイルの廃止

内閣府、内閣官房で11月26日に廃止をする予定

・セキュリティ対策の観点からも、受け取る側の利便性の観点からも、適切なものではない

・しかし、内閣府・内閣官房からのファイル送信方法は(その当時)決まっていない

などが注目されます。

 

大臣は、デジタル改革のアイデアを募る「デジタル改革アイデアボックス」なるものを開設され、
その中に投稿された投票数が一番多い項目として紹介されました。 

これは、筆者も驚きました。
個人情報保護法を遵守する上で、電子メールの添付ファイルの利用については、
役所側が積極的にパスワード付ZIPファイルの運用を推進してきた側だったと思っていたからです。

そこで人脈に聞いてみました。すると聞こえてきたのは、
やり始めた頃からの「手間が掛かる・メンドクサイ」が根底に残っているようでした。 
確かに複雑な操作運用は、10数年間変わりません

自動化するツールを導入された組織であれば、手間も無く実現出来るようになっていたかと思いますが、
残念がら「役所は、今でも 手動でパスワード付ZIPファイル変換処理 を実施しているのが多かったようです。
そのため「業務効率の改善となる対象」として挙げたと言えます。

 

もちろん、パスワード付ZIPファイルの開始背景は、情報セキュリティのためでした。
そこで、情報セキュリティに関連する部分についても触れた説明となりました。

特に、メールの添付ファイルを開く事で、極めて悪質なマルウエアに
感染する事が知られるようになり、国内で多くの企業や組織が被害を受けた状況もあったと推察されます。


・パスワード付ZIPファイルでは、メール受信した側でその中身を検査できない
と、いう点ですね。

これは、従来の「添付ファイルに対する運用のポイント」が、 
送信者側のお作法から、受信者側に配慮したお作法への大きな転換になるものです。

パスワード付ZIPファイルに変換するのは、手間が掛かるしメンドクサイ。
の観点から、メール受信者側での悪質なマルウエアの検知がやりずらい。
という範囲までを一度に変える発言だったのです。

まぁ、皮肉を言うと、そこまでの範囲になると理解し想定されていたのか・・は、疑問です。

  

3.「メールの添付ファイル送信」運用の見直し

いずれにしても、この発言により10数年間運用されてきた
「メールの添付ファイル送信」の運用が見直されることになりました。

それから約1年近くが経過し、
ついに日本の大手電機メーカと関連グループ会社で具体的に対応を開始する日が来ました。 
きっと、これからこの動きに追従する企業や団体は増えると思います。 

そして、パスワード付ZIPファイル をメールに添付する運用と、
添付されたメールを受信しない運用が、混乱する状況がやってきます

この記事を書いているのは9月末になろうとしている時期ではありますが、
10月11日までは、2週間程度12月13日までは2か月半のタイミングです。

さて、この対応は、どうしましょうか。

最近のニュースや、広告を見ていると「脱PPAP対策」「PPAP回避方法」などの単語が増えました。 
そして、10月11日12月13日以降に、対応が求められる企業や団体は、その単語に注目しているかと思います。

 

4.脱PPAP対策の注意点

そこで、あえて、注意点を挙げておきたいと思います。

ポイント1:勘違いしている事に気付く

メールの添付ファイルをパスワード付ZIPファイルで送信することは、
情報セキュリティの観点ではありますが、そもそもは「メールの誤送信対策」で実施する手法である
それを混乱させてはいけません。 

誰もが経験したことがあるメール誤送信ですが、そのメールに添付されたファイルを
パスワード付にしておくことで、万が一「あ、宛先を間違っていた!」となった際に、
後から知らせるパスワード情報を知らせなければ、相手は中身を見ることが出来ない。
という観点で実現された手法です。 

誰かが、何か勘違いしてセキュリティ解釈を拡大したかもしれませんが、
本来は「メール誤送信対策」のために実施するものです。

 

ポイント2:メール送信の際に添付する理由を確認する。

そもそも資料などのファイルをメールに添付して送付するのは、業務の効率が良いからです。
そして、メールの送信履歴に、「誰に・いつ・どういうメール本文で・どんな資料を送った」
という履歴が残ります。これが重要です。 

これは、メールを利用している本人にとって大事なだけでは無く、組織側にとっても大切です。 
メールのアーカイブに記録出来るため、後からの監査で検索する対象として保存できます


ポイント3:オンラインストレージなどへ移行することが、現場と企業の新しいストレスになる。

PPAPの回避策として、なにやらオンラインストレージの利用を推進する
動きやアピールがありますが、これを選択するのは間違いです。 

単に、メールを使って仕事をしている現場の人たちに対して
「相手によって仕組みの使い分けを強制する」という点を無視しています。

さらに、メール送信履歴に送信した内容が残らないので、
メール運用の効率の良さを完全に無視した仕組みの導入となります。 
まさに安易な選択肢です。

また、それだけで無く、添付ファイル送付がオンラインストレージ利用に移ると、
メールのアーカイブシステムにも残りません。 
オンラインストレージは、送信の記録は残りますが、送信したデータファイルそのものを
長期に渡って実態(原本)を保存できません。

結果としてセキュリティインシデントや監査の際に、探し出すことが出来なくなるのです。

 

この3つのポイントを、正しく理解しておいて欲しいと思います。

オンラインストレージを売りたいベンダー社は、もう少し丁寧に対応して欲しいとすら思います。

 


・メール送信者にメールとオンラインストレージの使い分けを「委ね」て手間を増やす事

・メール送信者にとって、特定の相手だけオンラインストレージを使うような事になると
 手間が増えるだけでなく、それ以外の相手へのメール通知をする2つの対応が必要になる事

・そして、オンラインストレージで対応した内容は、メール送信履歴に残らないので、
 後からの見直しがわかりづらい事になるため、業務が遅延したり、間違いが増えるリスクがある事

・組織として、メールアーカイブシステムの運用に「穴」が生まれるリスクを想定していない事


 

このような点は、完全に見落とされています。

この点を忘れて、安易にベンダーやメーカの提案に乗ってしまうと、
それを選択した情報システム部や経営者は、
社内の現場と監査担当や、法務担当などから苦情やクレームを受ける覚悟が必要ですね。

 

5.必要な対応処理が出来る仕組みを導入する

では、脱PPAP、PPAP回避、PPAP対応策…。

どうしましょう。

 

電子メールで資料などのファイルを送付する手順と方法。
これは、これまでの電子メールの添付ファイルのままで良いのです。
便利で簡単で、そして、効率も良いと言えます。

 

その操作手順も、メールに添付ファイルを添付して送信する「メールを送る人」は、
何も加工しないで、つまり「平文」のままで…そのファイルのままで添付して送信する操作で良いのです。

 

一方で企業や組織では、セキュリティポリシーの運用があり、ISMSやプライバシーマークの運用、
そしてPDCAを求められるワークフローの厳守など、様々なルールもあります。

そこで、メール送信する利用者には、これまで通りに「メール添付での資料の送付」を実施するような運用で、
むしろパスワード付ZIPファイル変換作業などの手間を削減しながら
メール配送経路の中で必要な対応処理を実施するように仕組みを導入するのが正しい方法です。

 

6.メール送信運用のポイント

これからのメール送信運用のポイントをまとめます。

 

メール送信者は、これまで以上に簡単に「資料などのファイル」は、そのまま加工せずに添付送信。

 パスワード付ZIPファイルへの加工などは必要ありません

メール送信された後、送信先の宛先に応じて、添付されたファイルの届け方を自動処理。

 パスワード付ZIPファイルが求められる相手には、自動変換し送信

 ダウンロード用の URL をメールに差込み送信。

 平文を推奨する相手には、そのまま平文で送信。

 この処理を、宛先アドレスごとに、事前にルールを定めることで自動的に対応する仕組み

 導入する。

 

これが正解です。

 

この正解の中には、コロナ禍の中で変化した新しい働き方にも対応出来ます。
例えば、iOS を搭載したデバイスや端末で、メールを受信する相手だと判った場合、
パスワード付ZIPファイル で送信しても相手は解凍が容易ではありません。

つまり、相手には迷惑なメールとなります。

また、モバイルルータなどの「通信データ量に一定の利用上限量」がある環境で
メールを受信し確認するような場合も増えていますので、それを考えると、
メール添付で資料を送ると余計にパケットを消費しますので、相手からするとこれも迷惑です。

そういう場合は、ダウンロード用の URL をメールに差込んで送信すれば大丈夫です。

メール受信者は、受信者の都合で、問題の無い場所とタイミングで、
添付ファイルを取得してもらえるようになります。相手も助かります。

これは、コロナ禍の中で生まれた新しい働き方の一端ですが、言われてみたら気付ける内容です。

電子メールと電子メールの添付ファイル送信については、
かつては「送信者側」の理屈で開始された背景がありました。

しかし、これからは同時に「受信者側への配慮」も実現する必要があります。

 

今の現場の運用を変えず。

・変更による現場の業務効率の低下や、間違いによるインシデントリスクを増やさない

・相手側の都合を考慮する際に、企業や組織前提で自動的に対応する仕組み

・企業や組織として、後から困らない・監査が出来る・確認が出来て把握できる仕組みを崩さない

情報セキュリティの観点と、メール利用者の誤送信時の対応保護の仕組みをごっちゃにしない

 

このような点を対応の際に忘れないようにしていただきたいです。


 

7.まとめ

この環境を全て提供出来る仕組みは、safeAttach Evolution です。

オンプレミス製品として、社内にメールサーバなどをお持ちであれば、
それに連携する製品として提供が可能です。 

Microsoft365や、クラウドサービスのメールを利用されている場合は、
申込みから僅かな期間で利用が開始出来る、
クラウドサービス提供型の safeAttach EVS/VPS をオススメします。


<safeAttach Evolution>の製品情報はこちらより!▼
https://swatbrains.co.jp/product/sae/index.html
(スワットブレインズ社ホームページへ遷移します)

明電商事では、safeAttach Evolutionや、
safeAttach EVS/VPS の製品・サービスの導入提案やコンサルティングを行っていますので
ご興味がありましたらお気軽に問い合わせ下さい!!

 

  • このエントリーをはてなブックマークに追加

CONTACTお問い合わせ

資料請求はこちら

資料請求はこちら

資料をご希望の方は以下の資料請求より
お問い合わせください。

ご質問やお問い合わせはこちら

ご質問やお問い合わせはこちら

製品についてやご不明な点など、
まずはお気軽にお問い合わせください。

お電話からの
お問い合わせはこちら

お電話からのお問い合わせはこちら

03-6384-6655

受付時間 9:30~18:00(土日・祝日除く)