むしろ、セキュリティリスクを高める

それどころか、「zipファイル＋パスワード別送」は、むしろセキュリティリスクを高めるという専門家の指摘も。

【添付ファイルになりすました標的型攻撃も！】
標的型攻撃＝悪意を持った第三者が、機密情報の詐取や不正操作を目的に特定の組織や個人の情報システムに対しておこなうサイバー攻撃の一種。そのやり方は日々巧妙化し、メールの添付ファイルを利用するケースも増えてきました。極力、添付ファイルを使わない運用も考えたいものです。

【パスワード付きファイル、ウィルススキャンに引っかからない場合も】
パスワード付きzipの添付ファイルは、メールサーバー上のウィルスチェックが機能しないことがあります。その結果、添付ファイルに仕組まれたマルウェア（ウィルスなどを含む悪意のあるソフトウェア）の侵入を許してしまいます。

【不要なファイルやフォルダが相手のデスクトップに散乱する】
zipファイルは、相手がデスクトップや初期設定されたtemporary（一次）領域で解凍します。その時、無駄にフォルダが増えます。また、削除し忘れたファイルが、そのままデスクトップやtemporaryに残り続けることも。

・ゴミフォルダが散乱して、どこになにがあるのかわからなくなる
・気づかないところに、解凍した機密情報が残り続けている

このような状況を誘発しがち。たとえるなら、作業机の上や、引き出しの中に、機密情報が書かれた書類が散らばっている状態。セキュリティ上、好ましいとはいえません。

「zipファイル＋パスワード別送」は、送信する側だけスッキリして、受け取る側の手間やセキュリティリスクには配慮しない、自己満足な習慣ともいえます。

【セキュリティに鈍感な人を増やす】
機密性のかけらのない情報も、とにかくzip圧縮してパスワード。ツールで自動化しようものならなおのこと、組織と個人のセキュリティに対する危機感を低めます。

何が本来守るべき情報で、何がそうでないのかを考えなくなる。判断する力がなくなる。その結果、思考停止の社員を量産してしまうのです。

リスク管理できていない「残念な組織」であることを公表してしまっている可能性ももはやメリットが薄く（むしろ、他者とのコラボレーションを邪魔するデメリットが多い）、日本のガラパゴスな慣習であるにもかかわらず、なかば惰性のように「zipファイル＋パスワード別送」を続けている。

「この会社はリスク管理ができていない」
「思考能力のない組織」
「情報セキュリティがザルなのではないか？」

そう思われかねません。組織のブランドマネジメントに関わる問題です。

もちろん、PPAPとて、生まれた時は合理性があるものだったかもしれません。しかし、時代が変われば、環境も変わる。気がついたらリスク要素満載の慣習に化ける。そういうものです。

※本稿はFacebookのグループ「くたばれPPAP！」に集う、情報セキュリティの有識者の皆様にご協力、監修いただきました。