“Pマーク”認証団体が見解 パスワード付きファイルのメール送信は「以前から推奨していない」(転載)~JIPDECもPPAP撲滅に向けて前進か!?~

  一般財団法人日本情報経済社会推進協会(JIPDEC)は11月18日、パスワード付きファイルのメール送信について、誤送信した場合に情報の漏えいを防げないなどとして「以前から推奨していない」とする公式見解を発表した。

プレスリリース

 パスワード付きファイルをメールに添付する場合、ファイルとパスワードをそれぞれ別メールで送る場合がある。こうした慣習を「Password付きzipファイルを送ります、Passwordを送ります、An号化(暗号化)Protocol(プロトコル)」の頭文字を短縮し、セキュリティの世界ではPPAPと揶揄(やゆ)することが多い。

 17日に平井卓也デジタル改革担当相が、霞が関でいわゆるPPAPを廃止する方針を示したことを受け、JIPDECに「zipファイルがダメなのか」などの問い合わせが複数寄せられたという。

 JIPDECは事業者の個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)を運営する団体。JIPDECは通商産業省(現経済産業省)の指導を受け、1998年からPマーク制度を創設した。

「PPAPの総本山ではなかったのか?」ネットの声にJIPDECが回答

 JIPDECの公式発表を受け、ネット上では歓迎する声がある一方、「パスワード付きzip業界の総本山だと思われていたプライバシーマークがそんなことは推奨してないと熱い手のひら返し…!」と驚きの声も上がっている。

 こうした反応について、JIPDECはITmedia NEWS編集部の取材に「ネット上でさまざまなご意見があることは存じている」としつつ、「個人情報を含むファイルをパスワード設定により暗号化してメールに添付し、パスワードを別メールで送信することは以前から推奨していない」と明確に否定した。

 他方、ネット上の反応を見ると、PPAPが社内ルールになっている企業もあるようだ。こうした企業に対する取り組みについて「プライバシーマーク制度は、事業者の自主的な取り組みを促し、状況や場面に合わせて適切な対策を講じていただくことを求めており、その運用状況を確認するものだ」と制度趣旨を説明した上で「特定の手法や手段を推奨、指導することはない」とコメント。具体的な方法は示さなかった。

 JIPDECは「(プライバシーマークの)付与事業者には、個人情報を含むファイルなどをメールで送信する場合は、送信先や取り扱う情報などを踏まえ、リスク分析を行った上で必要かつ適切な安全管理措置を講じていただく事を今後も継続してお伝えしていく」とコメントした。