先日PPAPとPHSという言葉を知りまして、苦笑いしか浮かびませんでした。
PPAPは「Pen Pineapple Apple Pen」の略では当然なく、PHSも「Personla Handy-phone System」の略ではないのです。
あえて既存の略語を使うことで、PPAPとPHSという行為を揶揄しているのですね。
なるほどと思う一方で、意味のないことはなくしたいと思いましたので、PPAPとPHSについて考えてみます。
PPAPとは
PPAPの原型は以下になります。
- Passwordつきzip暗号化ファイルを送ります
- Passwordを送ります。
- Aん号化
- Protocol
PPAPとは、仕事で社外向けに添付ファイルを送るときに送りたいファイルをパスワード付きのzipファイルに圧縮して、メール添付して送付する。当該メールには添付したzipファイルのパスワードは記載せずに、後追いのメールでパスワードをお知らせするという手法のことですね。
PPAPは多くの企業のメール送信のセキュリティ対策として、利用されているのですが、正直意味がない手法ですよね。
悪意のある技術者が添付ファイル付きのメールを傍受した場合には、当然次弾のパスワードが記載されたメールも傍受することが可能です。
そして、そのパスワードが記載されたメールには平文でパスワードが記載されているので、前弾のパスワード付きのzipファイルを容易に解凍することができます。
また、そもそもパスワード付きzipファイルが添付されているメールが傍受された段階で、悪意のある技術者であればパスワードをクラックするスペックのコンピューターとパスワードクラックツールによってパスワード付きzipファイルを解凍することもできます。
つまり、PPAPは本当に意味がない手法なのですが、商慣習上定着してしまった悪しきルールのため、改善が難しい状況となっております。
企業内のセキュリティルールとなっているため、PPAPよりも安価で対応が容易なセキュリティ強度の高い代替策を提示しないとルールを変更するのは難しいでしょう。
PHSとは
PHSの原型は以下になります。
- Printしてから
- Hanko押して
- Scanして送ってくださいプロトコル
PPAPよりも苦しい略語ですが、企業内あるあるではありますね。
今回の新型コロナウイルス禍においてもハンコ文化が在宅勤務を妨げているということがニュースで取り上げられておりましたので、改善が必要ですね。
PPAPの改善案までいかないが・・・
PPAPの改善案として有効なのは、S/MIMEによるメール自体の暗号化ではないかと思うのですが、認証環境の準備や運用コストがかかるため、導入はそれほど進んでおりません。
コストという観点と情報漏洩リスクを落とすという観点では、オンラインストレージサービスを利用する案が現時点では現実的かと考えております。
オンラインストレージサービスでは、ダウンロードの回数制限をかけることができるものもありますので、ダウンロードさせたい相手の数だけ設定しておいてダウンロードされたことを確認したのちにオンラインストレージサービスから元ファイルを削除することで、以降の情報漏洩リスクを削減することができます。
仮に第三者に盗聴された場合でも、ダウンロード数を監視しているため、ダウンロードされたタイミングで相手先に確実にダウンロードしてくれたかを確認することで、相手がダウンロードしていないとすぐに気づくことができるので事後処理をスムーズに行えるという点でPPAPよりも利点があります。
ただし、オンラインストレージサービスを使うという観点ではPPAPよりも確実にコストがかかるのが問題でしょう。
最後に、ここ最近の新型コロナウイルス対応によりMicrosoft Teamsなどのコミュニケーションツールの利用が活況なようです。
社外の関係者と同じコミュニケーションツールを使うのは難しいかもしれませんが、仮に同じツールが使えるのであれば、メールではなく当該コミュニケーションツールを使ってファイル共有した方が業務的には負荷がなく、リアルタイムのコミュニケーションになるため、確実に相手に届いたことを確認する手段とはなりえますね。
PHSの改善案までいかないが・・・
PHSについては、そもそもハンコは必ずしも必須ではない業務においてもハンコを求められる状況の改善が必要です。
本当に必要なハンコを法律などと照らし合わせて確認しておく必要があるでしょう。
例えば、契約書であっても口頭でも契約が成立することを考えれればハンコによる押印は必ずしも必要ではありません。ハンコを廃止した場合に何をもってエビデンスとするのかということが重要になります。
本件についても新型コロナウイルス対応により、ハンコを押すために出社せねばならないという状況を招いているために、各社がルールの改定を検討していますね。
e文書法をもう一歩先に進めてくれて、まずは行政機関への手続きからハンコを廃止していただければ、PHS撲滅はかなり進むのではないでしょうか。
今回の新型コロナウイルス対応による在宅勤務の普及を機会に電子契約システムなどの拡販に動いている同業もありますが、前述したように何をもってハンコの代わりとするかというルールを関係者間で合意できれば必ずしも電子契約システムは必要にはならないでしょう。
まとめ
PPAPとPHSの決定的な改善案は、各企業の状況も違うでしょうから、すぐには実行できないかと思います。
一方で、現状は新型コロナウイルスのおかげというと少し可笑しな話ではありますが、働き方を変える好機であるのは疑いようがありません。
これを機会に、本当に必要な手続きとは何かをみんなで考えることが重要でしょう。
ITを導入して問題を解決というのは得てして目的と手段が入れ替わってしまうことが多いため、本質をいつも頭に入れておくと自社にとっての良い解決案が検討できるでしょう。
ITを導入することだけが、解決策ではなく自社の業務手続きをよく見直すことからはじめた方がいいですね。