パスワード付きメールでの請求書等の送付について（PPAP）

取引先とメールで書類をやり取する際に、メールでパスワード付きのZipファイルを送ったり、別メールでパスワードを送るという方式（PPAP）が一般的に行われていますが最近ではその問題について指摘がされています。
日本政府もPPAPの廃止を表明するなど、世の中的にも廃止の流れにあり、invox発行請求書でもPPAP形式についてはサポートしない予定となっています。

以下ではその背景とinvox発行請求書の対応方針について説明します。

PPAP形式の問題点

メールが盗み見される可能性

ファイルが添付された1通目のメールと、パスワードの記載された2通目のメールが同じ経路で送られる場合、1通目が盗み見された場合は2通目も盗み見できる状態にある可能性が高く、分けて送る事によるセキュリティ効果はほとんど期待できません。

ウイルスチェックができない

セキュリティ製品の多くはメールの添付ファイルをスキャンしますが、パスワード付きのZipファイルの中身はスキャンができないため、セキュリティリスクが高まります。

ZIPパスワードの脆弱性

ZIPファイルの暗号は何度でも入力可能なため、専用のツールと時間さえかければ突破可能です。

業務効率の低下

送信側はサービスによって自動化されている場合もありますが、受信側ではメールを2通確認してパスワードを入力して解凍する手間が発生するため業務効率が低下します。

PPAP形式に変わる対策

2段階認証

いくつかのサービスでは受信側にリンク付きのメールが送られ、リンクから二段階認証を経て請求書等がダウンロードできる仕組みを導入しています。
セキュリティは高まりますが受信側の手間が多く自動化も難しくなります。

PDFにパスワードを付ける

PDFに直接パスワードをかける方式では、パスワードの受け渡しというPPAPの課題を解決できておらず、参照の都度パスワードを求められるなどより多くの手間が発生します。
またパスワードを共有可能な状態で残しておかないと担当者が変わると参照できなくなってしまうなどの問題があります。

invoxの方針

invoxのメール送信では受信側のメールサーバが受け入れ可能な最も安全性の高い暗号化レベルで送信します（受信側のメールサーバが暗号化を受け入れない場合は暗号化されずに送信されます）。
受信メールサーバの約90%が暗号化通信に対応しているという調査レポートもあり、セキュリティ対策を行っている事業者とのやり取りであればメールサーバ間のセキュリティについは一定の安心感がある状態になります。

invoxでは請求・決済業務の自動化を目指しており、受信側に手間をかける事で社会全体の効率を下げたり、将来的に自動化が難しくなる方向でのセキュリティ対策については慎重な姿勢を取っております。