デジタル庁よりパスワード付きZIPファイルの廃止ニュースより考えてみました。
デジタル庁 PPAP廃止へ

メール添付ファイル送信時に、ファイルを暗号化し送信後、後でパスワードを送る慣行的な作業について、添付ファイルについて、zipパスワード付きも、そのまま送るも、違いはないという事らしい。
確かに、みんな意味が無いと感じつつも、なんとなくやっていた企業も多いはず。このような無駄なことはやめましょうというニュースでした。私も同感です。

今現在、特に何もしなくても、メールの送受信はTLS技術で暗号化されています。

TLSとは

TLS:トランスポートセキュリティ(Transport Layer Security) TLSという技術を使って暗号化 することで、配信中のメールが傍受されるのを防ぐことができ ます。 これは、受信と送信の両方のメール トラフィックでメール を暗号化して安全に配信するためのプロトコルです。メールサーバー間 の傍受を防ぎ、メール プロバイダ間を移動中のメールのプライバシーを 守ります。TLS は安全なメールの標準として採用されています。

となり標準的な暗号化で安全に送受信しています。
既に”TLS暗号化が標準”となっている今、そのまま送信したとしても一般的な文章についてはリスクは少ないと思います。

問題は、送信者、受信者両方がTLSに対応している必要 があります。一部メール プロバイダが TLS に対応していないとの事ですが、現在の普及率を見ると、、、

Googleの公開する透明性レポートにおいて、メールにおけるTLS暗号化の普及率が、世界的には2014年の約30%から2020年には約90%に増加 となっています。

実際に私の最近のメールでも、暗号化されていないメールはほとんどありません。唯一暗号化されていないメールを見つけましたので紹介します。
Gmailより暗号化されていないメールの確認方法です。

【事例:暗号化なしメール】
PPAP 暗号化されていないメール

上記のマークが表示されます。赤のカギのマークが表示されるのでわかりやすいです。

【事例:暗号化ありメール】
PPAP 暗号化されているメール TLS暗号化
上記の通り、TLS暗号化されている事が分かります。

今後のメール送信について

送信するメールの内容をパターン化します。

(分類:C)通常のビジネスメール

  • 請求書、納品書、作業指示書、その他チェックリストなど
  • そのまま送信、標準のTLS暗号化を利用します。

(分類:B)個人情報が含まれるメール

  • 名簿、個人購入履歴など
  • クラウドスペース経由での受け渡しを行います。
    ※注意としては、クラウドサービス提供企業の選定は重要。機密データを契約企業のサーバに置くことのリスクも考える必要があります。選定については、継続性の問題を考えると、会社設立から30年以上の企業を選定したほうがリスクは少ないと思います。

(分類:A)超機密書類

  • 特許仕様書、設計書など
  • 専用のシステムが必要

企業毎に扱う商品が違うなどで、簡単に分類できませんが、一般的な企業の場合は、標準のTLS暗号化(C)で充分であると考えています。

-追伸-

今回、政府からのアナウンスで、パスワード付き添付ファイル の廃止は急速に進むものと思われます。
高度の暗号化を採用し実践している企業が偉い風潮があるので、少々心配な部分があります。
TLSで暗号化しているにもかかわらず、無駄に、クラウド経由や、ファイル共有サービスへの登録の要請など増えそうな気がします。更に煩雑になる事だけは勘弁してほしいものです。

取り扱う情報の機密性の確保と、業務の効率化とのバランスを考える必要がありますね。受け渡しが煩雑になり操作手順ミスで情報漏洩したら信用問題になりますので。。

ではでは~

Previous Post