取引先から「パスワード付きzipでの送付はご遠慮ください」という案内を受け取り、 何に変えればいいか分からないまま止まっている——そんな相談が増えています。
ファイルをパスワード付きzipで送り、パスワードを別のメールで送る方式は 「PPAP」と呼ばれ、官公庁や大手企業で廃止が進みました。その流れが取引先経由で 中小企業にも届いている、というのが現在の状況です。
なぜPPAPはダメなのか
もっともらしく見える方式ですが、実質的な効果がほとんどありません。
- 同じ経路で送るなら別送の意味がない: メールを盗み見られる状況なら、 パスワードのメールも同じように盗み見られます
- zipのパスワードは強固ではない: 総当たりで解析されるリスクがあります
- ウイルス検査をすり抜ける: 暗号化zipは受信側のセキュリティ機能で中身を検査できず、 かえってマルウェアの搬入経路になっています。大手が受信自体を拒否し始めた主因はこれです
- 受信側の手間: 2通のメールを突き合わせて解凍する作業を、相手に毎回強いています
つまり「セキュリティ対策のつもりが、実際はリスクと手間を増やしている」方式です。
代替手段の選択肢
第一候補: いま使っているサービスの共有リンク
Microsoft 365 を契約していれば OneDrive / SharePoint、Google Workspace なら Google ドライブの共有リンクが、追加費用ゼロの第一候補です。
- ファイル本体ではなくリンクを送るため、誤送信時はリンクを無効化すれば回収できます
- 有効期限や「特定の相手のみ閲覧可」などの制限が設定できます
- 送信側・受信側とも追加のソフトは不要です
まず自社の契約を確認してください。すでに持っている機能で解決するケースが最多です。
法人向けファイル転送・共有サービス
取引先が多く、送受信のログ管理や承認機能まで必要な場合は、 法人向けのファイル転送サービスやストレージサービス(Box など)が選択肢になります。 月額費用はかかりますが、「誰が・いつ・何を・誰に送ったか」を管理できます。
個人向けの無料転送サービスを業務で使うのは、ログが残らない・広告経由の誤操作などの 理由で推奨しません。
受信側の窓口も忘れずに
見落とされがちですが、「自社が受け取る側」の整備も必要です。 こちらが送るのをやめても、取引先からはPPAPで届き続けるからです。
受信側の整備として有効なのが、受信専用のリンク(またはQRコード)を相手に渡し、 そこからファイルをアップロードしてもらう方式です。
- 相手はリンクを開いてファイルを置くだけ。アカウント登録もソフトのインストールも不要
- 受け取ったファイルは自社側の決まった場所に集まるため、「あのファイルどのメールだっけ」がなくなる
- メール添付そのものが減るので、暗号化zipの検査問題や誤送信のリスクも同時に減る
主要なストレージサービスには、相手にファイルの提出を依頼する機能 (ファイルリクエスト)が用意されています。
また、当社ではこの「受信専用の窓口」をそのまま形にしたサービス 受取ポスト を提供しています。 受付リンクやQRコードを相手に渡すだけで、相手は登録不要・ブラウザだけで ファイルを送れ、ファイルは暗号化されて自社の窓口に集まります。 「取引先に『弊社の受取ポストにお送りください』と言える窓口を会社にひとつ」が コンセプトです。
あわせて、取引先がPPAPで送ってきた場合の扱い(受け取るか、 リンクでの再送を依頼するか)も決めておくと、社内の判断がぶれません。
選ぶ基準
- 既存契約に乗るか: 追加費用ゼロが最優先の検討軸
- 取引先の手間: 相手にアカウント登録を強いる方式は嫌がられます。 リンクを開くだけで受け取れる形が無難です
- 管理機能: 誤送信時に取り消せるか、ログが残るか
- 社内の運用しやすさ: 手順が複雑だと、結局メール添付に逆戻りします
移行の段取り
- 社内ルールを1枚にまとめる: 「社外へのファイル送付は共有リンクを使う。 パスワード付きzipは使わない」と例外の扱いを明文化します
- 取引先への案内文を用意する: 「弊社はパスワード付きzipの送付を廃止しました。 今後は◯◯でお送りします」という定型文を作り、送付時に添えます
- 例外の相談先を決める: 「この取引先はリンクを開けないと言っている」といった 例外は必ず出ます。判断者を決めておきます
まとめ
方式の比較と移行の段取りはここまでで判断できます。 一方で、自社の契約(Microsoft 365 か Google か、どのプランか)と取引先の顔ぶれによって、 最適な組み合わせと設定内容は変わります。「うちの場合はどれか」で迷ったら、 現在の契約内容を添えてご相談ください。