はじめに

日本のビジネス社会には、いまなお数多くの「儀式的な安全対策」が存在します。その中でも特に象徴的なのが、いわゆるPPAP方式です。

PPAPとは「Password付きZIPファイルを送信し（P1）、Passwordを別メールで送る（P2）、そしてその暗号化ファイルをAttachment（A）として送信するProtocol（P）」の略称で、メールで機密ファイルを送る際に多くの企業が採用してきた手順です。
要するに、ZIPファイルにパスワードをかけて送信し、そのパスワードを別のメールで知らせる——ただそれだけの方法です。

この方式は一見、安全そうに見えますが、実際にはセキュリティ上の効果はほとんどありません。むしろ検疫をすり抜けるなどの副作用を生みました。ではなぜ、日本ではこのような非合理な運用が長く続いたのでしょうか。本レポートでは、その社会的背景、心理構造、そして技術的誤解を明らかにしていきます。

PPAPの語源と皮肉な定着

「PPAP」という言葉が使われ始めたのは2016年ごろです。もともと世界的に話題を呼んだ古坂大魔王（ピコ太郎）の楽曲「Pen-Pineapple-Apple-Pen（PPAP）」の語感をもじって、セキュリティ業界の人々が “Password付きZIP＋Password別送” という非合理な慣行を皮肉る目的で名付けました。

つまり、最初からIT用語ではなく、ジョークと風刺から生まれた言葉なのです。しかし、その語感があまりにも秀逸で、しかも日本中の企業がその「儀式」を日常的に行っていたため、あっという間に現実世界でも定着してしまいました。

皮肉にも、この言葉が広まったことによって、
本来の問題——形式主義と無理解の構造——が可視化されることになったのです。

監査・チェックリスト文化が生んだ形骸化

PPAPが普及した第一の要因は、監査対応とコンプライアンス文化です。2000年代初頭から、プライバシーマーク（JIS Q 15001）やISMS（ISO 27001）などが広まり、企業は「個人情報を暗号化して送信しているか？」という審査項目に対応する必要がありました。

しかし、S/MIMEやPGPなどの電子証明書による暗号化は導入コストも運用負担も大きく、
非IT部門には扱えませんでした。その代わりに採用されたのが「誰でもできる暗号化」——つまりPPAPです。

監査担当者もまた技術専門家ではなく、“暗号化しているか”というチェックボックスを埋めることが目的化していました。結果として、セキュリティの実効性ではなく、監査を通過できるかどうかが安全の基準になってしまったのです。

このようにして「暗号化ZIP＋パス別送」が制度的に“安全なやり方”とされ、形式的な安全が全国規模で再生産されていきました。

技術的理解の欠如とMITMの想像力欠落

PPAP方式が根本的に無意味である理由は、
同じ通信経路でZIPとパスワードを送る限り、盗聴者には両方届くからです。
MITM（Man-in-the-Middle、中間者攻撃）を理解していれば、この矛盾は誰でも気づけます。

MITM攻撃では、通信経路の途中に潜む攻撃者が送受信されるデータを傍受・改ざんできます。つまり、メールを監視している攻撃者にとって、パスワードを別メールで送られても意味がないのです。

しかし、当時の多くの情報セキュリティ担当者や監査官は、MITMの存在そのものを理解していませんでした。彼らにとっての“情報漏えい”とは、主に「誤送信」や「USB紛失」のことであり、外部攻撃者による通信傍受という発想が欠落していたのです。

こうした無理解が、監査制度と結びつくことで
「とにかくパスワードを別送しておけば安全」という “形だけの暗号信仰” が作られていきました。

責任回避としてのセキュリティ儀式

日本企業におけるPPAPのもう一つの大きな要因は、責任回避の心理構造です。日本では「問題が起きないようにする」よりも、「問題が起きたときに責められないようにする」方が重視されがちです。つまり、リスクの実体よりも “説明責任の形” が求められます。

PPAPはまさにその条件を満たしていました。
「暗号化して送った」「パスワードを別送した」という行動は、万が一情報漏えいが起きても、“自分はやるべきことをやった”という免罪符になります。安全のためではなく、叱られないための儀式だったのです。

この「安心の演出」が社会的に評価され、技術者がPPAPの無意味さを指摘しても、「でも監査がそう求めている」「他社もそうしている」という理由で黙殺されていきました。

高IQ社会ゆえの「愚かさの精密運用」

ここで生まれるのが、日本特有の逆説です。
日本人は平均IQが高く、教育水準も世界的に見て非常に高い。それにもかかわらず、PPAPのような非合理な制度を長期にわたって維持できてしまったのです。

その理由は、「賢い人々が愚かな制度を精密に運用できる」 という社会構造にあります。日本ではルールを厳密に守ることが美徳とされ、制度が不合理であっても、それを完璧にこなすことで個人が評価される文化があります。

このため、「制度そのものを見直す」という発想が出にくく、制度の愚かさを人間の賢さで補う社会が形成されました。結果として、個々の能力の高さが制度の愚鈍さを隠し、改革を遅らせる要因となったのです。

海外との比較：制度の知性の差

対照的に、欧米諸国ではPPAPのような慣行はほとんど存在しませんでした。理由は明確で、制度の側に“知性”があったからです。

欧米では早くから、S/MIMEやTLS、VPN、DLPなど、通信経路そのものを安全に保つ技術が普及していました。暗号化はユーザーの手作業ではなく、システムレベルで自動的に処理されることが前提です。

これは、「人間はミスをする」という発想に立脚した制度設計です。セキュリティは人間の努力ではなく、仕組みで担保するものだという思想が根付いていました。

一方、日本では「社員は真面目にルールを守る」という前提で制度が作られました。
そのため、仕組みよりも手順書が重視され、
“人間が制度を補う文化” が生まれたのです。

日本的「安心の儀式」文化

PPAPは単なるメール運用の問題にとどまりません。優先席付近での携帯電話の電源オフ要請、過剰なマスク着用など、日本社会全体に共通する「安心の儀式」の一形態です。

科学的リスクよりも社会的リスク——つまり “叩かれること” を恐れる社会では、
「安全に見えること」が「安全そのもの」になってしまいます。そして、「危険がない」と証明できない限り、“とりあえず続ける”という保守的心理が制度を維持します。

PPAPもまた、その一環でした。技術的合理性が消えても、「安心の形式」を壊す勇気が社会的に罰せられる。この心理的コストが、PPAPという儀式を延命させたのです。

まとめ

PPAPが日本のビジネス界で流行したのは、
単にメールサーバーの制限や技術的遅れが原因ではありません。根底には、監査文化・技術無理解・責任回避・形式主義という社会的要素が複雑に絡み合っていました。

PPAPとは、暗号技術の話ではなく、日本社会の構造的風刺です。個々が賢く誠実であっても、制度が非合理であれば、集団としての知性は簡単に鈍化する。

言い換えれば、PPAPとは「高知能社会が生んだ高精度の愚行」です。そしてその愚行は、形式を重んじる日本社会の鏡であり、「安全とは何か」「合理とは何か」を私たちに問い続ける象徴的な現象なのです。