儀式セキュリティ王国の興亡
― PPAPという名の霊験あらたかな護符 ―
情報処理王国史 外典第一巻
実話に基づく・ブラックコメディ仕立て西暦2000年代の初頭、インターネットという名の新大陸に乗り出したばかりの日本のビジネスマンたちは、 恐ろしい事実に気づいていた。メールというものは、絵葉書とまったく同じ構造をしていたのだ。 封筒に入っておらず、配達員も途中で中身を読める。 郵便屋が悪人なら、見積書も個人情報も筒抜けである。
そこで生まれた智慧がある。ファイルをZIPで圧縮し、パスワードをかけて送る。 パスワードは、FAXか電話で別途伝える——。 当時の総務省ガイドラインも「メール以外の方法でパスワードを伝えること」と明記していた。 これは、実は正しい発想だった。金庫を送り、鍵は別の道で届ける。論理的である。
しかし、王国建設には必ず「簡略化」という悪魔が取り憑く。 FAXは面倒くさい。電話で話すのも手間だ。 気づけば誰かがつぶやいた——「パスワードも、メールで送ればよくないか?」。 こうして金庫と鍵は、同じ郵便受けに投函されるようになった。
2005年、個人情報保護法という名の「神の啓示」が降りた。 企業たちは震えあがり、信仰の証として「プライバシーマーク」という聖印を求めて走り出した。 この認証を取れば、顧客と取引先に「我々は真面目です」と示せる。 取れなければ、異教徒のレッテルを貼られかねない——そんな空気が漂っていた。
ところがここで問題が起きた。急拡大した市場には、 知識の怪しい僧侶たち(コンサルタント)が大量参入してきた。 彼らは独自の「戒律(規程文書)」を企業に配布した。 その戒律には「ファイルを暗号化せよ」と書かれていたが、 肝心の「パスワードはメール以外で伝えよ」という一文が、 なぜかすっぽりと抜け落ちていた。
「暗号化されたzipをメール添付して、パスワードを後から送るのが安全」という誤解が企業間に広まった。公的機関がPPAP方式を積極的に推奨してきた実はないが、ガイドラインもPPAPを明確に否定していなかったため、誤った認識が定着した。
— NTTドコモビジネスX「PPAP問題とは」より要約
こうして「暗号化ZIPさえ送っておけば合格」という誤信仰が日本中に広まった。 しかも市場はさらに一歩進んだ。 ZIPの作成とパスワードの自動送信を行うソフトウェア製品まで登場し、 「ボタン一つで儀式が完了する」という至れり尽くせりの環境が整備された。 王国の礎は、こうして自動化された怠惰の上に築かれた。
ここで、物語が最もシュールな局面を迎える。 このPPAPシステムを売っていたベンダー(IT事業者)たちに、 研究者がインタビューをした。すると彼らは口をそろえてこう言った—— 「いや、うちもこれやめたいんですよ。時代遅れだし、 クラウドストレージへのワンクリック移行も案内してます。 でもみんな使い続けるから、うちもやめられないんです」と。 推進派が一人もいないのに、王国は動いていた。 誰も信じていない宗教が、誰も動かないせいで維持される——。 これほど完璧なブラックコメディの構図はない。
セキュリティの世界には「セキュリティ・シアター(見世物小屋セキュリティ)」という言葉がある。 2003年、米国の著名な研究者ブルース・シュナイアーが使い始めた概念で、 「実質的なリスク低減効果はないが、やっている感だけを演出する対策」のことだ。
「セキュリティ対策の大きな特徴に、芝居の脚本で出てきそうな脅威を扱うという点がある。たとえばテロリストが靴底に爆弾を隠して持ち込む、というような脅威だ。確かにその可能性はあるかもしれない。しかし、そこだけ塞いでも他の道を塞がなければ単に迂回されるだけである。PPAPは、その典型的な儀式セキュリティである——科学的根拠はない。あるのは儀式としての意味だけである。そして、これを非難するものは異端として糾弾される。」
— 情報処理学会誌「情報処理」2020年7月号 特集巻頭言より要約
この学者は「儀式セキュリティ」をさらに痛烈に言い換えた—— 「新型コロナウイルスを消毒するとして信者の口に塩水でスプレーを吹きかける教団と同レベルである」と。 もちろん皮肉である。しかし笑えない。なぜなら、 PPAPも暗号化ZIPを経由してウイルスを拡散させていたからだ。 防御を装った行為が、攻撃者の侵入路になっていたのだ。
構造上の欠陥を整理しよう。まず、ZIPとパスワードは同じメール経路を通るため、 どちらかを盗める攻撃者は両方を盗める。次に、 多くの企業が使っていた「ZipCrypto」という暗号方式は、 解析ツールを使えば誰でも短時間で突破できた。 メーカー自身が「機密情報には向かない」と認めていたほどだ。 そして何より、暗号化されたZIPファイルはウイルス検知をすり抜ける。 守るはずの鎧が、ウイルスの隠れ蓑になっていた。
物語には、奇妙な登場人物がいる。 「PPAP」という名前を付けた男、大泰司章(おおたいし あきら)氏は、 プライバシーマークを運営するJIPDEC(日本情報経済社会推進協会)に所属しながら ITコンサルタントを務めていた人物だった。 つまり、制度の番人として城の中にいながら、城を嘲笑っていた人物だった。
2016年、ピコ太郎の楽曲「PPAP(ペン・パイナップル・アップル・ペン)」が世界中でバズった。 大泰司氏はその語感に着想を得た——「プロトコルっぽい」。 こうして「パスワード付きZIPを送ります・パスワードを送ります・暗号化・プロトコル」の頭文字が、 あの歌のリズムに乗せられた。
重要なのは、これが最初から揶揄として設計された命名だったということだ。 転向でも告発でも内部告発でもない。 この慣行は最初から無意味なコメディー的パフォーマンスだと見抜いており、 そのことを世間に伝えるために、 世界一バズったナンセンスソングの名前を借りた。 批判の刃を、言葉遊びで包んで投げ込んだのだ。
「『PPAP』という名称は、普及済みの手法に後から否定的な名前が付けられたもので、『コメディー的なパフォーマンスにすぎない』と揶揄する意味合いも含む。」
— ITmedia「PPAPとは?正式名称や歴史的背景、問題点、代替案を解説」より要約
しかし道化師の笑いは、なかなか王宮には届かなかった。 「セキュリティ的に意味がない」と何年も叫んでも、 「でも社内規定にそう書いてあるので」という一言の前に、 すべての論理は霧散した。 笑いのネタにされた慣習は、笑われながらも生き続けた。 これもまた、ブラックコメディの構造そのものである。
メール添付ファイルの暗号化が始まる。当初の正しい運用では、パスワードはFAXや電話で別途伝達されていた。
個人情報保護法施行。プライバシーマーク取得ブームが起き、知識不足のコンサルタントが誤った規程を企業に配布。「パスワードもメールでいい」慣習が定着し始める。
ZIP暗号化の自動送信ソフトが普及。ボタン一つで儀式が完了する環境が整備され、王国は完成形を迎える。2012年にはIPA(情報処理推進機構)もZIPファイル暗号化によるセキュリティ対策を推奨する資料を公開し、お墨付きを与える形となった。
ピコ太郎の楽曲「PPAP」が世界的大ヒット。大泰司章氏がこれに着想を得て、パスワード別送方式に「PPAP」と命名することを思案し始める。
大泰司氏が正式に「PPAP」と命名・問題提起。セキュリティ業界では「PPAP問題」が認知され始める。
IPA(情報処理推進機構)が、Emotetによる「パスワード付きZIPを使った攻撃事例」を警告として公開。王国の城壁に亀裂が入る。
平井卓也デジタル改革担当大臣が記者会見で「内閣府・内閣官房のPPAP廃止」を宣言。「デジタル改革アイデアボックス」で投票数1位を獲得した民意が政府を動かした結果だった。JIPDECも「PPAPは推奨しない」と公式声明を発表。
日立製作所がグループ全体でPPAPを廃止。取引先からのZIPファイルも受け取りを拒否する運用へ。
カシオ計算機・三菱重工業・日清食品HD・小学館・双日・JR九州など49社以上が相次いで脱PPAP宣言。文部科学省も廃止を発表。
大手企業・官公庁の多くは廃止済み。しかしいまだ半数以上の企業が対策未実施との調査も。特に中小企業・地方企業・一部の自治体では、社内規程の更新が追いつかず「儀式」は続いている。
これほどの批判にさらされても、PPAPという儀式は完全に消えなかった。 その理由は技術的なものではなく、完全に社会学的・組織論的なものだ。
文化人類学者デヴィッド・グレーバーは著書『ブルシット・ジョブ』の中で、 「社会的に無意味な仕事がなぜ増え続けるのか」を分析した。 ゆるコンピュータ科学ラジオの語り手はこう言い放った—— 「グレーバーが日本人じゃなかったから、PPAPを収録できなかった。 これ、ブルシット・ジョブのナンバーワン事例だったのに」と。 そしてこう続けた。「日本が世界に誇るブルシット・ジョブ。 クール・ジャパンの真骨頂ですよ、これ」と。
「PPAPの導入企業の多くは大企業で発注側だ。受注側が中小企業であれば文句は言いづらい。現場の営業担当者は取引先に迷惑をかけるし、PPAPよりも便利なツールでファイル共有をしたいと言う。だが情報システム部や総務部などは一度決めた社内ルールを変えようとしない。」
— 大泰司章・PPAP総研代表 東洋経済オンライン(2021年)掲載発言より要約
力関係の問題もある。大手企業がPPAPを廃止した後、 取引先の中小企業は否応なく対応を迫られた。 しかし取引先の中小企業には、クラウドストレージを導入するIT担当者もいなければ、 変更のための稟議(りんぎ)を通す余力もなかった。 「見積書はZIPでお送りします」と言い続ける他になかったのである。
「PPAPを廃止した後に起きた実際の話として、取引先に見積書をZIPで送ったところ一向に返信がなく、後になってPPAPをブロックしていたことが発覚。期日が過ぎており、不採用となった。」
— ファイル転送サービス「Kozutumi」運営ブログ「【2026年版】なぜPPAPは禁止されるのか?」より要約
さらに深い問題がある。PPAPは日本が生んだ 「ガラパゴス的愚行」(Wikipedia原文)であり、 海外ではほぼ存在しない。外国のビジネスパートナーにパスワード付きZIPを送ると、 むしろ「ウイルスの可能性がある怪しいファイル」として疑われた。 一方、日本の取引先に送らないと「セキュリティ意識が低い」と思われた。 この同時に両立しない要求が、担当者を静かに苦しめ続けた。
情報処理学会誌の学者は、PPAPを「ハンコ(印鑑)と並ぶ日本固有の慣行」と位置づけた。 かつて手掘りのハンコと手漉き和紙の組み合わせは、確かに偽造困難な認証手段だった。 しかし現代では、3Dプリンタで印影を複製できる。偽造は容易だ。 それでも「押さなければ信頼されない」という儀式だけが残った。 PPAPも同じ構造だ。残ったのは「暗号化しましたという儀式の証明」だけだった。 審査官はチェックリストを埋めた。担当者は責任を果たした気になった。 攻撃者は、誰も開けない金庫の横に ガラスケースに展示された鍵を眺めながら、微笑んだ。
ここに、人間の本質的な問題がある。 「安心」と「安全」は、まったく別物なのだ。 コンピュータサイエンスを専門とするある語り手は、 こんな体験談を打ち明けた——「サーバーへのログインに、 現代的で安全な公開鍵認証方式と、旧来のパスワード方式の どちらかを選べる場面がある。公開鍵の方が圧倒的に安全なのに、 パスワードを毎回手入力する方が、なんとなく安心なんですよ。 あっさりログインできすぎると、これ大丈夫かって気持ちになる」と。
この逆説——安全なほど不安で、不安全なほど安心できる——こそが、 PPAPが20年以上生き延びた根本原因だ。 毎回ZIPを作り、パスワードを別送する、その「手間のある手続き」が 「セキュリティを真剣にやっている」という感覚をもたらした。 ワンクリックでクラウド共有できるより、 二度メールを送る方が「偉いことをした気がする」のだ。
この現象は、日本だけのものではない。 台湾のエンジニアたちの間には「乖乖(カイカイ)文化」という慣行がある。 サーバールームに、緑色のパッケージの菓子「乖乖」を置いておくと サーバーが落ちない——というものだ。 「乖乖」とは台湾語で「いい子にしてね」という意味。 緑色でないとダメ。賞味期限切れでもダメ。 台湾の優秀なエンジニアたちが、大真面目にポテチをサーバーに供える。 笑えない理由は、これが「安心のための儀式」として機能し、 実際に現場の精神的安定に寄与しているからだ。
「ITは広まってから30年近い歴史がある。そんだけ歴史があると、もう儀式が生まれる余地があるんですよ。『呪術化するコンピュータ』というテーマを、2年前からずっとやりたいと思っている。」
— ゆるコンピュータ科学ラジオ「パスワード別送って意味あるの???」(2025年9月)より要約
これは技術の問題ではない。 「何かをやっている」ことへの安心、「規程通りにやった」という免責、 「変えることへのコスト」を誰も負いたくないという組織の惰性、 そしてエビデンスを示されても変わらない人間の心理——。 正しさで人は動かない。必要なのは論破ではなく、寄り添いだ。 しかしそれが最も難しい。 だからPPAPは今日も、誰かのパソコンで動き続けている。
「PPAPは典型的なセキュリティシアターであり、実際のリスク低減効果はほぼ存在しない。その結果、PPAPを前提としたメール送信を自動化・支援するソフトウェア製品まで市販され、不合理な愚行が制度と市場の双方によって固定化された。日本国外ではこのような運用はほとんど見られず、PPAPは日本固有のガラパゴス的愚行と評価されている。」
— Wikipedia「PPAP(セキュリティ)」より要約(2026年2月時点の記述)
かくして王国は、滅びたのでも栄えたのでもなく、
ただ少しずつ忘れられていく途中にある。
今日もどこかの中小企業のパソコンで、
自動化ソフトがパスワード付きZIPを生成し、
0.3秒後に同じサーバー経由でパスワードを送信している。
誰も疑わない。
誰も責任を取らない。
誰も困っていない——まだ。
そしてどこかのサーバールームでは今日も、
緑色のパッケージの菓子が棚に供えられ、
エンジニアが手を合わせている。
人類は、コンピュータを手に入れても、呪術をやめなかった。
それは弱さではなく、おそらく——人間らしさだ。