2026年6月、三菱UFJ銀行がPPAP(パスワード付きZIPファイルの別送)の全廃を正式に発表しました。本記事では、金融機関およびその取引先企業が今すぐ着手すべき対応を、現場目線で整理します。
PPAPは長年、日本のビジネスメールの慣習として定着してきました。しかし暗号化の実効性が低く、受信側のセキュリティ製品で添付を検査できないため、マルウェアの侵入経路になりやすいという問題が指摘されてきました。
今回の発表はこうした流れを象徴するもので、金融業界全体、ひいては取引先である一般企業にも大きな影響を及ぼすと考えられます。
POINT/代替手段の選定では「相手に負担をかけない受け取りやすさ」と「監査対応のログ要件」を両立できるかが鍵になります。
法人向けのファイル転送サービスは、URLでの受け渡し・ダウンロード期限・アクセスログなどを備え、PPAPの課題を根本から解決します。専任のIT担当者がいない企業でも管理画面から直感的に運用できます。
導入後に「使われない」を避けるため、選定段階で以下の観点を確認します。
URLを発行して共有する場合、期限なしのリンクは情報漏えいリスクを高めます。期限(例:7日間)を設定できるかを確認します。
監査対応を見据える場合、アクセスログは最低1年間保管できると安心です。
受取人をメール認証やパスコードで限定できると、誤送信時の被害を抑えられます。
IT専任がいなくても運用できるよう、権限設定やログ確認が直感的に行えるかを確認します。
脱PPAPは単なるセキュリティ対応ではなく、取引先にとっての受け取りやすさ=信頼にも直結します。まずは現状の棚卸しから始め、双方にとって無理のない移行を進めましょう。