わたしはWeb制作会社に勤めていますが、見積書や契約書などをメールでやり取りすることがあります。
その際に、クライアントによってはパスワード付きzipファイルを送信することがありました。
「クライアントによって」というのは、つまりそれなりに大きい会社だったり、セキュリティに敏感なそうな会社だったり、先方からパスワード付きzipファイルが送られてくる会社、ということです。
さて2020年11月に、当時のデジタル改革担当相が、官庁でのパスワード付きzipファイルのメール送信を廃止する方針を明らかにしました。
調べたところ、廃止の理由は主に以下のようなもののようです。
- パスワード付きzipファイルの送信は、セキュリティ上ほとんど意味がない
- zipファイルの圧縮・解凍、パスワードの設定などに手間がかかる
- パスワード付きzipファイルを送っているのは日本だけ
わたしの会社では、そもそも見積書や契約書のメール送付についてのルールが明文化されていませんでした。
そこでこの機会に、わたしが「PPAPは廃止で統一していいのではないか?」と提案したところ、社内でもいろいろな意見があって「意外な必要性があるんだな」と感じたのが今日のテーマです。
わたし自身は今でも廃止でいいと思っているのですが、さて実際に民間の中小企業は一律に廃止してしまっていいのか、考えてみたいと思います。
パスワード付きzipファイルのムダと手間
まずは廃止の賛成意見を取り上げてみましょう。
パスワード付きzipファイルは、そもそもセキュリティを主目的にしているわけですが、これが実際にはほとんど意味がないことが指摘されています。
別のメールとはいえ、同じ電子メールを使ってパスワードを送信してしまえば、暗号化はまったく無意味になります。
パスワード付きZIPファイルはなぜダメなのか?廃止がもたらす本当の効果とは 加谷 珪一
ネット回線を監視してメールを盗み見ようとしている相手を想定しているわけですから、その後に送ったパスワードを記載したメールも監視しているに違いありません。
そうであるならば、ほぼ確実にファイルを開けることができるでしょう(さらに言えばzipのパスワードは極めて脆弱で、パスワードを突破するソフトを使えば誰でもファイルを開くことができますし、そもそもzipは暗号化を目的に作られたソフトではありません)。
さらに、実際に業務の中で使っていると多くの人が、その手間を感じているのではないでしょうか。
1.送付ファイルをzipで圧縮する
2.圧縮する際にパスワードを設定してメモする
3.メールにzipを添付して送信
4.さらにパスワードが記載されたメールを書いて送信
一回ファイルを送るだけでも、これだけの手間がかかってしまいますし、受け取った側もまた、パスワードをコピーしてファイル解凍時に入力するという手間が発生します。
更に無視できないのが、WindowsとMacの互換性です。
Macでzip圧縮したファイルをWindowsで開くと文字化けなどが発生してしまいます。もちろん、それを防ぐ専用のソフトはあるのですが、一部の文字については、解凍ソフトの相性によっては正しく解凍できないケースもあるようです。
わたしはMacを利用しているのですが、実際にWindows互換用のソフトでzipに圧縮したのにも関わらず、先方から正しく解凍できないと電話が入り、何度も送り直した経験があります。
どうやら、ファイル名に含まれていた「(」または「・」が、なぜか先方環境では猛烈に長い記号の羅列になってしまうようで、これに気づくまでに何度もやり取りが発生してしまいました。
(契約書のやり取りで先方も急がれていたので、だいぶ精神を消耗しました)
さて、こんなムダとリスクを背負ってまで、パスワード付きzipファイルが必要でしょうか?
パスワード付きzipファイルの必要性を考える
パスワード付きzipファイルの必要性を社内で問いかけたところ、真っ先にあがったのが次のような意見です。
セキュリティという意味では「メール送信先の間違い」に関しては効果があるのでは?
契約書や見積書などの宛先を間違えてしまっても、パスワードがかかっていれば、解凍できないので一定の効果は期待できる。
もちろんパスワードを送る前に気づくことが必要ですが、ヒューマンエラーは絶対に起こるもの。実際にこれまで数回、他社さんから間違ったファイルを受け取ったこともあるので、確かに一理あるなと感じました。
※ただ、一部の企業で利用されている「自動でzipファイルを生成し、パスワードも別メールで自動送信されるシステム」だと意味がないことにはなりますね。
もう一つ社内であがった意見を紹介しましょう。
デジタル改革担当相の話は、単純にzipファイルを廃止するわけではなくて、クラウドストレージでファイルを送信し、パスワードだけメールで送るということ。
「パスワードをかける」という点は変わらないので、その点は注意した方がよいのではないでしょうか?
なるほど、確かに「パスワード付きzipファイル廃止」=「パスワード不要」というわけではないのですね。
Dropboxやboxなどのクラウドストレージを利用すれば、メールの送信容量を気にすることなく送れますし、パスワードも簡単につけることができそうです。
クライアントによっては、社内でルール化されているところがあるようで理解いただくことが難しそう。特に大きい会社さんほどその傾向が強いので、現実的に考えるとお客さんによってはまだzipを利用したほうがよさそう。
こうして話をしていくと、どうやらパスワード付きzipファイルは単純に廃止していいという話ではないことが(廃止派だった自分にも)理解できてきました。
パスワードが必要な重要なファイルの送付は、これからどうしていくべきなのか?
さてわたしの会社で最終的に出した解決策は、「クライアントごとにあらかじめ固定パスワードを決めてご案内しておく」でした。
これは既に取引先の1社さんが実践されていたのですが、最初に「弊社からお送りするファイルの解凍パスワードはこれです」と案内しておきます。
以後、その会社さんに送るファイルは同じパスワードにしておき、パスワードを別便で都度お送りすることはしません。
こうしておければ、いちいちパスワードだけ後で送る必要もありませんし、送り先を間違えてしまっても、「他社のファイルを開けてしまう」という事態は防ぐことができます。
もちろんクラウドストレージを利用する場合も、同じパスワードにしておけばムダを省くことができます。
というわけで、わたしの会社ではまだ「パスワード付きzipファイル」そのものは利用していくことになりました。
皆さんの会社ではどうでしょうか?もっと簡単な解決方法があれば、ぜひ教えていただきたいなと思います。
