【保存版】PPAP問題とは｜広まった背景や理由、危険性、代替手段まで徹底解説

無料メルマガ登録でプレゼント！書籍「セキュリティ対策の基礎知識」

2021年2月24日に開催されたサイバーセキュリティ.com主催のウェビナーで、「現場から見たPPAPが蔓延していく流れ」を説明したところ、意外と反響があったようで、是非コラムでも触れていただきたいという話が参りました。

【レポート】第1回ウェビナー「専門家に聞く！日本だけ！？間違った認識が広まったPPAPの現状と今後の課題」

2021.2.24

2021年2月24日(水)に「専門家に聞く！日本だけ！？間違った認識が広まったPPAPの現状と今後の課題」と題しまして、ウェビナーを開催いたしました。 PPAP対策サービスを展開する３社にご登壇いただき、100名以上の方にご参加いただきま

約20年セキュリティマネジメント界隈で見てきた個人的な経験談としてまとめたいと思います。

この記事の目次

1 インターネット黎明期（1995年頃〜）
2 個人情報保護法とプライバシーマークの大波（2003年頃〜）
3 プライバシーマークが広めたもの
4 第一次PPAP撲滅運動とその終焉
5 PPAPを利用した攻撃の登場（2018年頃〜）
6 最後に

インターネット黎明期（1995年頃〜）

最近では「インターネットが無い時代を知らない」という人も多くなってきました。私は関東の山村出身で、幼い頃まだ電話交換手が存在していたくらいなので、時代の変化に驚くばかりです。

なので、これも世代間ギャップでご存じない方もいらっしゃるかと思います。昔、メールは平文だったことを。

メールは”平文”で送られていた

初期のメールは平文でしたし、企業では許可制でした。そもそもPCが1人1台ありません。メールは会社で1日1通程度あるくらいで、私が当時所属していた組織では、社外の人の入退室記録みたいに”メール受発信記録簿”なんかが作られていました。

公的機関の対応

当初はそのような時代でしたが、PCが1人1台体制になり、メールの送受信が日常になってくると、いちいち受発信記録簿をつけるわけにはいかなくなってきます。またインターネットにアクセスすることも普通になってきます。

とはいえ公的組織等では”メールの盗聴”も気にしなければなりません。そこで、国は「地方公共団体における情報セキュリティポリシーに関するガイドライン」の中でメールに対してこういうルールを作ります。

機密性2以上の情報を送信する者は、必要に応じ暗号化又はパスワード設定を行わなければならない

ここでいう「機密性2以上」というのは、「行政事務で取り扱う情報のうち、秘密文書に相当する機密性は要しないが、漏えいにより、国民の権利が侵害され又は行政事務の遂行に支障を及ぼすおそれがある情報」と定義されています。

漏れてしまうと問題になるような情報ですから、パスワードも当然含みます。つまり、公的機関ではメールおよびメール添付で漏えいさせてはいけない情報を送る場合のルールが決められました。

暗号化された状態で送ること

暗号化されていない場合はパスワード設定し、パスワードはメール以外の方法で送ること

この時点では「パスワードを次のメールで送っても良い」と誤解するような人はいませんでした。

個人情報保護法とプライバシーマークの大波（2003年頃〜）

その後、2005年（平成17年）に個人情報保護法が全面施行となり”プライバシーマーク取得”の大ブームがやってきます。

公的機関の業務を請け負っていた企業は、入札条件になってくるので慌ててプライバシーマークの取得に走ります。当時は審査申請しても”半年待ち”なんてこともあるほど、プライバシーマークの狂乱はスゴイものでした。

個人情報保護法
2003年（平成15年）5月23日成立
2005年（平成17年）4月1日全面施行

ネットワークセキュリティの知識がある人材が足りない

ところが、です。今でも不足がちではありますが”ネットワークセキュリティの知識があり規程類の作成もできる人材”というのは、そんなにいるわけではありません。

そこで人の不足を埋めるためにどうしたかというと…「プライバシーマークは、個人情報保護マネジメントシステムだからISOマネジメントシステムをやってる人ならできるだろう」という発想が出てきたのです。

ISO9001審査員補の資格しか持っていない人が、数日の研修を受けただけでプライバシーマークの審査員になれる、なんて時期がありました。審査員ですらこのような状態だったのですから、コンサルタントも推して知るべしです。ネットワークセキュリティの知識の無い人・組織が大挙してプライバシーマークマーケットに押し寄せることになりました。

意味を理解しないままの規程作成

ネットワークセキュリティの知識が無いとはいえ、コンサルタントも規程類を作成しなければなりません。そこでプライバシーマーク取得の目的「公的機関の入札条件のため」に立ち戻って考えます。「公的機関と同等水準の管理が求められているんだから、公的機関と同じような規程の文言にすれば大丈夫だろう」と。

かくして、「情報を送信する者は、必要に応じ暗号化又はパスワード設定を行わなければならない」の文言が、コンサルタントの規程ひな形に盛り込まれることになりました。

規定に則った送信手法としてPPAPが誕生

この時点でガイドラインにあった「機密性2以上」という言葉が消えてしまいます。プライバシーマークでは「個人情報」しか対象にしませんから、情報のレベル分けも行われていません。なので機密性レベルに関する単語は削除されました。

そしてこれにより”パスワードはメール以外で伝えなければならない”という認識も薄れてしまうことになりました。そもそも個人情報だったら、暗号化しようがパスワードをかけようが”外部に出たら漏えい”と扱う必要があるのですが、そのあたりの認識も一般にはありませんでした。

コンサルタントからひな形を貰った企業は、「パスワードをかければいいんだな」とだけ考え、多くのプライバシーマークの審査員も「公的機関と同じような文言なら問題ないだろう」とその内容の意味を考えず指摘をしませんでした。こうしてPPAPが広まることになりました。

プライバシーマークが広めたもの

JIPDECは2020年11月18日、PPAP問題について「JIPDECとしては従来から推奨していない」との声明を発表しました。

参照メール添付のファイル送信について（2020年11月18日)/JIPDEC

確かに「JIPDECとして」は「推奨」はしていないと思います。しかし、多くのJIPDECの審査員が、不適として指摘して来なかったのもまた事実でしょう。

企業側から見たら、規程を変更してプライバシーマークの認証が取り消されたら大事件です。たとえ、社内に問題であることを気付いた者がいたとしても、できる限り審査員の指摘が無いものは変えたくないものなのです。

プライバシーマークを維持するために

同様にプライバシーマークが広めてしまったものに「ノートパソコンにワイヤー」があります。ノートパソコンは携帯がしやすいので盗難防止のためにワイヤーをつけろ、というもの。これも明らかにおかしいですよね。

そもそもノートパソコンは持ち運びできるようにするためのもの。持ち運びできなかったらノートパソコンである意味がありません。ISMSの観点からすれば、情報資産の可用性を低下させるものであって、改善を推奨する事項ですらあります。実際、ISMS審査で指摘しようかと思いヒアリングしたところ、プライバシーマークの審査で指摘されたら困るから、仕方なくやっているという答えが返ってきたこともあります。

これも当初は、B to C企業の窓口でノートパソコンを使う場合、目を離した隙に持ち逃げされる可能性があるからワイヤーで固定すべき、という指摘が、意図を理解しないコンサルタント及び審査員によって「（全ての）ノートパソコンにワイヤー」と誤解されたまま広まった事例です。

第一次PPAP撲滅運動とその終焉

プライバシーマークのおかげで今でいうPPAPが広がりましたが、当然ネットワークセキュリティをある程度でも知る者は問題視します。パスワードをかけたところで、同じ経路のメールでそのパスワードを送ったら意味がない。家に鍵をかけたのに、ドアノブに鍵をつけておいているようなものですから。

簡単な対応では、規程の文言に「ただし、パスワードはメール以外の方法で伝達する」という一文を付け加えたり、もう少し高度になるとメールに添付ファイルがあると自動でZIP化し別経路でパスワードを送信するシステムを開発したりしました。後者のシステムはその後増加して行き、現在のPPAP撲滅運動の始まりに繋がって行きます。

“メール暗号化”の広がり

そしてもう一つの対応方法を行う組織も出てきます。「メールの暗号化」です。

「情報を送信する者は、必要に応じ暗号化又はパスワード設定を行わなければならない」というのが元々の規程の文言でしたから、暗号化していれば対応したことになります。

とはいえ、情報のやりとりは相手方と双方向であることが普通です。自分の所は暗号化していても相手先もそうであるとは限りません。そのため、パスワード設定の方法も必要になります。両方のやり方が併存していきますが、やがてメールの暗号化は普通の事となり、PPAPは「セキュリティ的に問題あり」から「意味がないけど相手方を安心させる行為」に代わって行ったため、それほど強く変更を要求されるようにならなくなりました。