昨年の話ですが、以下の内容が話題になりましたね。
・パスワード付きzip、内閣府と内閣官房で26日から廃止へ 外部ストレージサービス活用平井デジタル相
この話題も落ち着いてきたので、今回は個人的に思うことを記事にしていきます。
なお、内容については個人的な見解となりますので、予めご了承ください。
PPAPについて
このブログを見に来ている方はすでに把握していると思いますが、以下のことです。
P:Passwordを送ります
A:暗号化(あんごうかのA)
P:Protocol(プロトコル)
なお、RFC等で規格されているプロトコルではありませんので、悪しからず。
社会人経験が多少あれば、国内の官民等でPPAPでやりとりしたことがある、または現在も実施しているといった感じかと思います。
私自身もこれまで数えきれないくらいPPAPを使用してきました。
今回記事にしたい内容
私自身は今回のPPAP廃止については賛成です。
ただ、そのニュースが出てきたすぐ後に、以下の記事が出てきたことに多少疑問を持ちました。
・「これまでPPAP推奨したことはない」旨をプライバシーマークのJIPDECが明言
実際にJIPDECのサイトでも以下のようになっています。
画像だと読みにくいかもしれませんので、以下に内容を記載します。
PPAPについては従来から「推奨していない」とサイトに記載しています。
実はこのニュースが出る少し前にPマークの審査で、JIPDECの審査員の方とやり取りしていましたが。
普通にPPAPを使用していたんですが・・・
パスワードが設定されたWordファイルを送ってきた後に、すぐにパスワードが記載されたメールが来ていたので、zipファイルではないにしろ同じ事かと思います。
審査時(直接会う時)にこちらに使用するパスワードを伝えれば済む話だと思うのですが、特にそういったやりとりもなく、普通にPPAPを使用していたので、組織で推奨していない方法(メールの誤送信等による個人情報の漏洩を防げないこと等)を許可もなく使ってきたのかと驚きました。
JIPDECについてはそもそもあまりいいイメージは個人的にはありません。
Pマークについても入札に必要な要件となっているところが多少あるため、仕方なく取るか、といった感じです。
※場所によってはISMSとPマークが両方必要になる場合もある・・・
問い合わせしようかと思ったんですが、いろいろ面倒なので、ここで吐き出すだけにしておきます。
PPAPを使わないけど添付ファイルは使いたい!
個人的にはPGPとか使えばいいじゃん!とか思っているのですが、いろいろな人に聞いたところ、敷居が高い(?)ということなので。
以下の方法がそこまで運用方法を変更せずにできるやり方かな~と個人的に思っています。
画像だと限界があるので補足すると。
①ディスクを郵送(安全な輸送手段)で顧客へ送付
②メールでディスクの中身を開封するためのパスワードを送付
※このパスワードは添付ファイルの開封には使用しない
③以後のやり取りはディスク内に記載のパスワード使用して添付ファイルの開封を行う
ファイルの中身は以下のようになっており、添付ファイルのメール本文に「添付ファイルの開封には①のパスワードを使用してください。」的な感じにすればいいかと思います。
なお、ディスクにパスワードを使用しているのは郵送での盗難または紛失を懸念しているためです。
直接渡す場合はパスワードを設定する必要はない可能性があります。
※打ち合わせ時の状況によります。
また、①に設定するパスワードについては英数字大小記号を含め16桁以上とし、もし盗難にあっても、解読までに十分な時間(総当たりで数十年以上)かかるようにします。
契約にもよりますが、年に一度の契約更新の際に再度同じように新しいパスワードにすることで、推測されることも防ぐことが可能になるかと思います。
最初の受け渡し以外は普段のメールでのやりとり、しかも送信も添付ファイル付きの一通のメールの送信で済むかと思います。
なお、標的型攻撃については別途対策の必要はあるので、注意してください。
※PPAPが来たメールは無視する。既定のパスワード以外で送信された添付ファイルは削除するである程度対応できる可能性もありますが。
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント