日本情報経済社会推進協会(JIPDEC)、メール添付ファイル送信のパスワードは非推奨と表明

大半の企業で度々発生するメール誤送信。誤送信対策について変化が求められそうだ。(写真:アフロ)

 日本情報経済社会推進協会(JIPDEC)は、メール添付ファイル送信のパスワードは非推奨と表明した。同協会のレポート等ではこれまで添付ファイルのパスワードによるロックは有効と紹介されていた。多くのプライバシーマークを取得している企業がこれまでも同協会の対策を参考としてきただけに、混乱が生まれそうだ。

■突然の非推奨の発表

 2020年11月18日、日本情報経済社会推進協会は同協会の公式サイトにて、"メール添付のファイル送信について"というニュースを投稿した。

昨今、個人情報を含むファイル等をメールで送信する際に、ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信することについて、お問合せを多くいただいております。

プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません

出典:JIPDEC:メール添付のファイル送信について

■日本情報経済社会推進協会の過去の誤送信対策例

 このニュースを見て驚いた人も少なくないだろう。これまで同協会のレポートやセミナーでは誤送信対策例として、パスワードによる保護は度々紹介されてきたからだ。

 例えば、「平成29年度:個人情報の取扱いにおける事故報告にみる傾向と注意点」では、以下のような対策例が記されている。

 

2018年に日本情報経済社会推進協会が提示した誤送信対策案。メール誤送信対策例として添付ファイルのパスワードロックが有効と記載されている。
2018年に日本情報経済社会推進協会が提示した誤送信対策案。メール誤送信対策例として添付ファイルのパスワードロックが有効と記載されている。

 2019年にも「メール誤送信を防ごう」という資料を公開し、そこでも対策例としてパスワードによる保護を挙げていた。

 

出典:日本情報経済社会推進協会「メール誤送信を防ごう」
出典:日本情報経済社会推進協会「メール誤送信を防ごう」

 日本情報経済社会推進協会作成のメール誤送信対策は非常に良く出来ており、事故の事例や、なぜ誤送信が発生するのか?といった心理状況の描写や、それらから導かれた対策案は多くの企業が参考にしていた。しかし、突然「ファイルをパスワード設定により暗号化して添付する行為は、誤送信対策として効果が無いため従来から推奨していない」と表明されたため、誤送信対策の変更に迫られる企業も現れそうだ。

■添付ファイルのパスワードによる保護は一定の効果がある

 デジタル庁の決定や、日本情報経済社会推進協会の表明で「添付ファイルにパスワードを付ける行為は良くない」と誤解する人も少なくないだろうが、「添付ファイルにパスワードを付けてはいけない」ということではない。

 日本情報経済社会推進協会作成の「メール誤送信を防ごう」にも記載があるように、企業における誤送信として多いのは、メールの送信先を誤入力してしまったり、補完機能で同姓同名の他社の人に送信してしまうような、うっかりミスだ。このように本来送るべき相手では無い人に対して、添付ファイルを送信してしまったとしても「パスワード」で保護されていれば、添付ファイルに記載された内容が読まれるリスクは低下する。

 さらに「パスワードによる保護」は、最も低コストであり専任の担当者も不要でどんな企業でも誰でも出来る対策である。

 問題なのは、この送信側の面倒な手順を省略するために、一連の操作を自動化し「誤った送り先」に「パスワード」まで自動的に送信するような仕組みを導入している場合だ。

 間違っても「添付ファイルにパスワードを付けてはいけない」というような誤認識を広めるべきではないし、デジタル庁や、日本情報経済社会推進協会は「PPAP」等とチャカすのではなく、民間企業に対して指針となるべく、もう少し丁寧な説明をすべきではないだろうか。

 なお、日本情報経済社会推進協会は「メール送信時、添付ファイルを自動でZIPパスワード化して送信する機能」を持った"CipherCraft/Mail 7"の導入企業として紹介されている。