ルールでは廃止、でも現場は？ ――「PPAP」利用実態を読者に聞いた：教えて！ となりの情シスさん

TechTargetジャパン会員を対象に、自社におけるPPAPの利用実態を調査しました。

[TechTargetジャパン]

　企業のITインフラを支える情報システム部門（以下、情シス）。その業務は多岐にわたり、時には正解のない課題に孤独に立ち向かねばならないことも少なくありません。本企画『教えて！　となりの情シスさん』は、情シス担当者が「気になるけど、なかなか他社には聞けないあんなことやこんなこと」をテーマにアンケートを実施し、現場のリアルな実態を共有します。

　第1回のテーマは、セキュリティの観点からたびたび議論の的となる「PPAP」です。2020年11月に政府が内閣府、内閣官房における廃止方針を表明してから約5年。それを契機に多くの企業において脱却が進みつつある印象はありますが、実際のところどの程度の企業で利用を廃止しているのでしょうか。TechTargetジャパン会員を対象にマイクロポールを実施した結果を発表します。ただし、始まったばかりの企画で回答数は35件と少なめ。参考数値とはなりますが、興味深い現場の状況や声が聞こえてきました。

「廃止済み」が最多の一方で、「現在も利用している」企業も3割超え

　「貴社では現在も『PPAP』（パスワード付きZIP＋別送パスワード）を利用していますか？」という問いに対し、最も多い回答は「利用していない（廃止済み）」で44.44％でした。次いで「現在も利用している」が36.11％、「その他」が19.44％という結果でした。

「貴社では現在も『PPAP』を利用していますか？」に対する回答結果クリックで拡大

　今回、全体の約20％を占めた「その他」の自由回答からは、一筋縄ではいかない現場のリアルな実態が浮き彫りになりました。

　複数寄せられたのは、「自社では使っていないが、外部の協力者が使用する前提で運用している」といった、取引先との関係性による悩みです。また、「ルールで禁止しているが物理的な制限はしていない」「ルールとしては生きているが、使うかどうかはケースバイケース。なお、廃止はアナウンスされている」「Outlookでできるようにはなっている。自分は使っていないが、使っている社員もいる」など、システム的な強制力を持たせきれておらず、運用が現場に委ねられている過渡期ならではの課題もうかがえます。

　調査では、「PPAPについて、今後どのようにしたいと考えていますか？」（自由回答）とも尋ねています。「やめたい」「廃止したい」「URL送付方式を一部併用しているので、全面移行する」といった声が目立つ中、すでに移行済みの企業からは「クラウドストレージに置き換わって欲しい（弊社は導入済み）」と、社会全体での脱却を望む声も上がりました。

　代替手段に関する理想として、「外部共有リンクで有効期限、閲覧orダウンロードの権限、パスワードの自動生成を備えて、運用が安価なサービスを導入したいです。国が通信インフラとしてサービスを提供してもよいかと思います」という、セキュリティと利便性、そしてコスト要件を満たす具体的なソリューションを求める意見も寄せられています。意外な所では「送付するのは単発取引の請求書くらいなので、本来はPPAPで運用したい。クラウドを利用するほどではない」と、現場の実態に合わせて利用を続けたいという声もありました。

　PPAP問題は、単なるツールの導入、廃止の問題にとどまらず、社内ルールの徹底や取引先との足並みなど、情シス担当者が多方面で板挟みになりやすい課題だということが見えてきました。他社の取り組みや代替ツールを参考にしつつ、自社の用途に適した落としどころを探っていく必要がありそうです。