金融庁が問題視するPPAPとは？パスワード付きZIPを今すぐやめるべき理由

2026.02.04
読了時間目安 12分

「なぜ今、PPAPの廃止が進んでいるのか？」本記事では、PPAPの基本的な仕組みから、なぜ問題視されているのか、金融庁の要請内容、実際に対応を進める企業事例、動向と具体的な代替策まで、体系的に解説します。

PPAPとは何か？基本的な仕組みを理解する
PPAPが抱える3つの深刻な問題点
金融庁がPPAP廃止を明確に要請
企業のPPAP利用実態：JIPDECの調査結果から
PPAPの代替手段：5つの選択肢とその特徴
自社でPPAP廃止を進めるための4つのステップ
まとめ：PPAP廃止は「いつやるか」ではなく「いつまでにやるか」
参考・出典

PPAPとは何か？基本的な仕組みを理解する

PPAPとは、「Password付きファイルを送ります、Passwordを送ります、Angoka（暗号化）、Protocol（プロトコル）」の頭文字を取った造語です。日本の大泰司章氏が命名したとされています。

具体的には、以下のような手順でファイルを送受信する方法を指します。

パスワード付きZIPファイルを作成してメールに添付し、相手に送信する
別のメールで、ZIPファイルを解凍するためのパスワードを送信する

この方法は、かつて「誤送信対策」や「通信経路上での盗聴防止」を目的として、多くの日本企業で採用されてきました。メールを誤って別の相手に送信してしまった場合でも、パスワードを伝えなければファイルの内容が漏洩しないという考え方が背景にありました。

しかし現在では、この方法が持つセキュリティ上の重大な問題点が広く認識されるようになり、政府機関や大手企業を中心に廃止の動きが加速しています。

PPAPが抱える3つの深刻な問題点

1. マルウェア検知を回避される危険性

PPAPの最も深刻な問題は、パスワード付きZIPファイルが受信側のセキュリティ対策をすり抜けてしまう点にあります。

JPCERT/CC（一般社団法人JPCERTコーディネーションセンター）は、「マルウェア Emotetの感染再拡大に関する注意喚起」の中で、パスワード付きZIPファイルがマルウェアの拡散に悪用されている実態を報告しています。

パスワードで暗号化されたZIPファイルは、受信者のメールサーバーやセキュリティソフトがファイル内部をスキャンすることができません。この特性を悪用し、Emotet、IcedID、QakBot（Qbot）といったマルウェアがパスワード付きZIPファイルに仕込まれて拡散されているのです。

金融庁が2025年5月に公表した業界団体との意見交換会資料の中で、この問題について次のように指摘しています。

“ファイルを相手方に送る際にパスワード付きファイルを作成し（自動的にそうなる場合も含む）、当該ファイルをメールで送付する方法は、受信者側において、メール受信時のウイルスチェックでファイル内のマルウェアを検知できず、メール受信者側がセキュリティ上のリスクに晒されてしまうため、望ましくない。”
出典：金融庁「業界団体との意見交換会において金融庁が提起した主な論点」
https://www.fsa.go.jp/common/ronten/202505/01.pdf

2. 盗聴対策としての効果がほとんどない

PPAPのもう一つの問題は、暗号化ファイルとパスワードを同じ通信経路（メール）で送信している点です。

仮に悪意のある第三者が通信を傍受できる状態にある場合、最初のメールに添付されたZIPファイルだけでなく、続いて送信されるパスワードも同様に傍受されてしまいます。つまり、別々のメールで送信したとしても、同一経路を使っている限り、盗聴に対する防御効果はほとんど期待できないのです。

3. 受信者に多大な手間を強いる

またセキュリティ面では無いですが、PPAPは送信者・受信者双方に業務上の負担を強いる方法でもあります。受信者は、パスワードが記載されたメールを探し出し、複数の送信者から受け取った場合はどのパスワードがどのファイルに対応するのかを照合しなければなりません。この作業負担は、セキュリティ効果が限定的であることを考慮すると、コストに見合わないと言わざるを得ません。

金融庁がPPAP廃止を明確に要請

金融庁が検査・モニタリングでPPAP慣行の払拭を促進

2025年5月から、金融庁は主要行、地方銀行、暗号資産交換業者など各金融業界団体との意見交換会において、パスワード付きファイルのメール送付について注意喚起を行いました。

金融庁の見解として示されたのは、「パスワード付きファイルの送付は基本的には行うべきではない」という明確な方針です。代替手段として、メール通信経路自体の暗号化を基本とし、それが難しい場合は安全性の高いオンラインストレージの活用を推奨しています。

特に注目すべきは、2025年6月の暗号資産業界向け資料に記載された次の指摘です。

“グローバルに見てこうした慣行が続けられていることは異例であり、我が国の金融業界のセキュリティ水準に疑義を生じさせているといった声が金融庁に寄せられている。”
出典：金融庁「業界団体との意見交換会において金融庁が提起した主な論点」2025年6月
https://www.fsa.go.jp/common/ronten/202506/06.pdf

金融庁は今後、検査・モニタリングを通じてこうした慣行の払拭を促していく方針を明示しており、金融機関にとってPPAP廃止は避けて通れない課題となっています。

大手企業でも対応が本格化

金融庁の要請を受け、具体的な対応を進める企業も出てきています。

クレディセゾンは2025年10月、取引先各社に対して「パスワード付きファイルのメール送受信の終了に伴うご協力のお願い」という通知を発出しました。
同社は2025年11月20日以降、パスワード付きファイルが添付されたメールについては、送信者のメールアドレス・件名・送信日時のみを受信し、添付ファイルは自動的に削除する対応を開始すると発表しています。
出典：クレディセゾン「パスワード付きファイルのメール送受信の終了に伴うご協力のお願い」（2025年10月）
https://www.saisoncard.co.jp/merchant/pdf/password_protected_files.pdf

このような動きは、今後も他の企業にも広がっていくことが予想されます。取引先がPPAPを廃止した場合、従来の方法でファイルを送信しても相手に届かなくなる可能性があるため、自社の対応を検討しておく必要があります。

国際的にも問題視されるPPAP

PPAP廃止の流れは日本だけの現象ではありません。

インターネットイニシアティブ（IIJ）は、米国のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）がパスワード付きファイルのブロックを推奨していることを紹介しています。IIJ自身も2022年1月26日からパスワード付きZIPファイルを受信時に自動削除し、メール本文のみを受け入れる運用に変更しています。
出典：IIJ「Changes to our operations regarding password protected .zip files」
https://www.iij.ad.jp/en/ppap/

企業のPPAP利用実態：JIPDECの調査結果から

では、実際に日本企業のPPAP利用状況はどうなっているのでしょうか。

一般財団法人日本情報経済社会推進協会（JIPDEC）と株式会社アイ・ティ・アールが実施した「企業IT利活用動向調査2024」（2024年1月実施、有効回答数983件）によると、PPAPに関する利用状況は以下の通りでした。

PPAPの利用状況

「利用している（PPAPのみ利用）」：27.1%
「今は利用しているが、他の手段の導入を検討中であり、いずれ禁止する予定」：29.1%
「利用は禁止していないが、他の方法での送信を推奨している」：14.8%
「他の方法を導入しており、利用を禁止している」：8.3%
「特に利用制限を設けていない」：11.4%
「もともと利用していない」：9.4%

この調査結果から2024年1月時点で、約56%の企業がまだPPAPを利用していることが分かります。一方で、約29%の企業は廃止に向けた検討を進めており、移行期にあることがうかがえます。

また、PPAPによるファイル受信への対応については、「受け取っている」が51.6%と過半数を占め、「禁止している」は13.9%にとどまっています。この数字は前回調査よりも受け入れる割合が上昇しており、PPAPのリスクに対する認識がまだ十分に浸透していない可能性を示唆しています。
出典：JIPDEC「企業IT利活用動向調査2024」
https://www.jipdec.or.jp/library/report/m0p0h60000000x1m-att/20240315_s03.pdf

PPAPの代替手段：5つの選択肢とその特徴

PPAPを廃止する場合、どのような代替手段があるのでしょうか。東京電機大学の佐々木良一客員教授は、JIPDECセミナーにおいてPPAP代替策の比較検討を行っています。
出典：JIPDEC「JIPDECセミナー基調講演 PPAP廃止に関する動向と対策案の検討」(2022年2月)
https://www.jipdec.or.jp/library/report/20220218_r1.html

以下に主な代替手段を整理します。

1. クラウドストレージサービスの活用（最も普及）

JIPDECの調査によると、PPAP以外のファイル送付手段として最も多く採用されているのがクラウドストレージサービス（52.4%）です。

送信者がファイルをクラウドストレージにアップロードし、受信者にアクセス用のURLを通知する方法です。アクセス制御機能があるサービスを利用すれば、受信者は事前に設定したパスワードでログインしてファイルをダウンロードできるため、メール傍受のリスクを大幅に低減できます。

2. ファイル転送サービスの活用

ファイル転送サービスは34.2%の企業で採用されています。

大容量ファイルの送受信に特化したサービスで、ファイルをアップロードするとダウンロード用URLが発行される仕組みです。ダウンロード期限や回数制限を設定できるものが多く、一時的なファイル共有に適しています。

3. S/MIME（電子署名・暗号化メール）

S/MIMEは、電子証明書を用いてメールの暗号化と電子署名を行う技術です。送信者・受信者双方が電子証明書を取得し、S/MIMEに対応したメールソフトを使用する必要があります。

佐々木教授は、S/MIMEのメリットとして以下の2点を挙げています。

公開鍵暗号を利用しており、エンドツーエンドでの暗号化が可能。運用者であっても内容を知ることができない
電子署名によって本人性と通信文の非改ざん性が確保でき、標的型攻撃の防止が期待できる

ただし、電子証明書の取得コストや設定の複雑さ、Webメールでの対応が限られるといった課題もあり、普及にはまだ時間がかかると考えられています。

4. IRM（Information Rights Management）ツール

IRMツールは28.3%の企業で採用されています。ファイル自体にアクセス権限や利用制限（印刷禁止、コピー禁止、閲覧期限など）を設定できる技術で、ファイルが外部に流出した場合でも情報漏洩を防ぐことができます。

5. パスワードを別経路（SMSなど）で送信

パスワード付きZIPファイルを使いつつ、パスワードをSMSや電話などメールとは異なる通信経路で送信する方法もあります。この方法であれば、メールが傍受されてもパスワードは漏洩しないため、一定のセキュリティ効果は期待できます。

ただし、受信側でウイルスチェックが行われない点は解消されないため、根本的な解決策とは言えません。

自社でPPAP廃止を進めるための4つのステップ

PPAP廃止を検討している企業向けに、具体的な進め方を整理します。

ステップ1：現状把握と関係者への周知

まず、自社におけるPPAPの利用実態を把握します。どの部門がどの程度PPAPを使用しているか、取引先との間でPPAPが慣例化していないかなどを調査しましょう。

併せて、PPAPの問題点とセキュリティリスクについて、経営層や関係部門に説明し、廃止の必要性について理解を得ることが重要です。

ステップ2：代替手段の選定

自社の業務特性や取引先との関係性を考慮し、最適な代替手段を選定します。

多くの企業と頻繁にファイルをやり取りする場合は、クラウドストレージサービスやファイル転送サービスが適しています。機密性の高い情報を扱う場合は、IRMツールやS/MIMEの導入も検討に値します。

ステップ3：取引先への事前連絡

PPAP廃止を実施する前に、取引先に対して変更内容を通知します。クレディセゾンの事例のように、十分な猶予期間を設けて周知することが望ましいでしょう。

ステップ4：段階的な移行と運用

いきなり全社的に切り替えるのではなく、特定部門から試験的に導入し、問題点を洗い出しながら段階的に展開していく方法が現実的です。

まとめ：PPAP廃止は「いつやるか」ではなく「いつまでにやるか」

PPAPは、かつてはセキュリティ対策として広く採用されてきましたが、現在ではむしろセキュリティリスクを高める要因となっています。マルウェアの拡散経路として悪用される危険性があり、盗聴対策としても実効性が乏しいことが明らかになっています。

2025年から、金融庁は金融機関に対してPPAP慣行の払拭を明確に求めており、検査・モニタリングの対象となる可能性もあります。また、大手企業を中心にPPAP廃止の動きが加速しており、取引先がPPAPを受け付けなくなるケースも増えてきています。

PPAP廃止は、もはや「やるかやらないか」ではなく「いつまでにやるか」という段階に入っています。クラウドストレージサービスやファイル転送サービスなど、使いやすい代替手段も充実してきました。自社のセキュリティ水準を向上させ、取引先からの信頼を維持するためにも、早期の対応を検討されることをお勧めします。

参考・出典

本記事は、以下の資料を基に作成しました。

金融庁：業界団体との意見交換会において金融庁が提起した主な論点（2025年5月13日開催）（アクセス日：2026年02月02日）
https://www.fsa.go.jp/common/ronten/202505/01.pdf
業界団体との意見交換会において金融庁が提起した主な論点（2025年5月14日・15日開催）（アクセス日：2026年02月02日）
https://www.fsa.go.jp/common/ronten/202505/02.pdf
業界団体との意見交換会において金融庁が提起した主な論点（2025年6月11日開催）（アクセス日：2026年02月02日）
https://www.fsa.go.jp/common/ronten/202506/06.pdf
一般財団法人日本情報経済社会推進協会（JIPDEC）：「企業IT利活用動向調査2024」集計結果（2024年3月15日）（アクセス日：2026年02月02日）
https://www.jipdec.or.jp/library/report/m0p0h60000000x1m-att/20240315_s03.pdf
JIPDECセミナー基調講演「PPAP廃止に関する動向と対策案の検討」（2022年3月25日）（アクセス日：2026年02月02日）
https://www.jipdec.or.jp/library/report/20220218_r1.html
株式会社クレディセゾン：パスワード付きファイルのメール送受信の終了に伴うご協力のお願い（2025年10月）（アクセス日：2026年02月02日）
https://www.saisoncard.co.jp/merchant/pdf/password_protected_files.pdf
株式会社インターネットイニシアティブ（IIJ）：Changes to our operations regarding password protected .zip files sent as an attachment followed by a separate email containing the password (PPAP)（2022年1月26日）（アクセス日：2026年02月02日）
https://www.iij.ad.jp/en/ppap/