デジタル改革担当相が11月26日にパスワード付きファイルとパスワードを同じ経路で送信する方法（いわゆるPPAP）を廃止。僅か4日で行政機関から3件ものメール誤送信の報告が発生した。

■機密情報や新型コロナウイルス感染者情報も

　メール誤送信を報告したのは、以下3つの行政機関。開示された順に記載する。

　・11月26日開示:公正取引委員会

　　令和2年11月24日に、説明会参加者27名に対して資料などをメールで送信。本来BCC送付すべき内容だったが、Toに全ての参加者を入力して送信したため、送付した宛先全てに参加者のメールアドレスが漏洩した。

　　公式発表:公正取引委員会「電子メールの誤送信について」

　・11月27日開示:総務省関東総合通信

　　令和2年11月24日に、ケーブルテレビ事業者55社への業務上の電子メールでの連絡において、公にしないとの条件でケーブルテレビ事業者3社から任意に提供された情報を含んだ資料を誤って添付し送信した。

　　なお、再発防止案は「電子メールの送信前に複数職員で添付ファイルの内容を確認する」とのこと。

　　公式発表:総務省「電子メールでの添付書類の誤送信」

　　・11月30日開示:山口県庁

　　令和2年11月29日に、新型コロナウイルスに感染し、県内の宿泊療養施設に入所した患者39人分の個人情報を、施設で診察にあたる医師へメールに添付して送信する際、誤ったアドレスに送信した。誤送信に気づいた職員が「日本語と英語でファイルを開かないよう」求めるメールを送信したが、未だ返信はないという。

　　報道発表:「宿泊療養39人分の個人情報流出　山口県　メール誤送信、あて先不明　新型コロナ」

■政府が今のタイミングで「脱PPAP」を推進する意義は?

　COVID-19が世界中で猛威を振るう中、行政機関も民間も急激な変化を余儀なくされ対応に追われている。このような混乱を利用したサイバー攻撃も増加傾向にあり、ランサムウェアによる被害も今年1～9月が61件で、昨年同期より1.5倍に増加している。また、多数のVPN機器等の脆弱性が発見されており、行政機関と思われるパッチ未適用の機器の情報も公開されている。

　少なくとも「民間企業におけるサイバーセキュリテイ対策」という観点では、脱PPAPより優先しなければならない課題は山積みだ。むしろ、サイバー攻撃者にとっては「意味のある対策」に投資されるより「大して意味のない脱PPAP対策」に企業が予算と人員を投下してくれれば好都合かもしれない。

　効率の悪い習慣を廃止することは賛成だが「脱PPAPを実行するタイミングは今」が適切なのだろうか?