ビジネスメールで長年使われてきた「パスワード付きZIPファイルを送り、パスワードを別メールで送る」という慣習、通称PPAP。セキュリティ上の脆弱性が指摘されながらも根強く残っていましたが、ついに国内メガバンクの雄が動きました。三菱UFJ銀行が発表した、添付ファイル送信方法の原則廃止と新たな運用方針の全貌に迫ります。
2026年7月から順次移行、サイバー攻撃の温床となったPPAPの限界
株式会社三菱UFJ銀行は2026年6月8日、当行からのメールを受信されるお客さまのセキュリティを確保するため、パスワード付き添付ファイルのメール送信を原則取り止めることを発表しました。2026年7月18日(土)より順次、当行から添付ファイルを送付する際は専用のダウンロードサイトを利用する方式へ変更いたします。これまで行っておりました「メールでパスワード付き ZIP ファイルを送り、パスワードを別送する方法」(通称:PPAP)につきましては、ファイルが暗号化されているため、メール受信時のマルウェアのチェックが困難とされています。
また近年、パスワード付き ZIP ファイルを悪用したサイバー攻撃の事例が確認されていることも踏まえ、お客さまのセキュリティ確保を目的として、当行役職員から添付ファイル送信を行う際は、方式の変更を決定いたしました。
専用ダウンロードサイトへのURLとパスワード別送による新たな運用
2026年7月18日以降の新たな運用方法では、三菱UFJ銀行の役職員から添付ファイルが送られる際、メールの本文に「専用のダウンロードサイト」へアクセスするためのURLが記載される形になります。受信した顧客側は、そのURLから安全な特設サイトへアクセスし、別途送られてくるダウンロード専用のパスワードを入力することで、ファイルを安全に取得・確認できるようになります。一時的な手順の変更による利用者の負担や不便さには理解を求めつつも、金融インフラとしての圧倒的な安全性を最優先した形です。
見解として、経済界や官公庁で廃止の動きが進みながらも、企業の慣習として根強く残っていた「PPAP」に対し、国内最大のメガバンクが原則廃止のデッドラインを明示したインパクトは極めて大きいです。 単なる一企業のセキュリティ対策(セキュリティDX)にとどまらず、日本のビジネス社会全体におけるメール運用の悪習を根絶させ、サプライチェーン全体のサイバーセキュリティ水準を引き上げる強力な呼び水となるでしょう。
詳しくは「株式会社三菱UFJ銀行」の公式ページまで。 レポート/DXマガジン編集部
