こんにちは。
デジタル活用コンサルタントの
黒木やすひろです。

みなさんは「DX」「PPAP」という言葉を耳にされたことがあるでしょうか?

「DX」とは、
Digital Transformation(デジタルトランスフォーメーション)の略

「PPAP」は
メールでパスワード付きのZIPファイルを送り、あとで別メールでパスワードを送る
といったファイル共有方法を指し
国内の超大手企業が相次いで廃止宣言をしたことでも話題になりました。

どちらもニュース等で話題になっているので
「あぁ、よく聞くあれね」
と思われた方も多いのではないでしょうか。

「DX」は、
ますます厳しさを増す経営環境を乗り越え競争に勝ち残るための手段

「PPAP」は、
こちらも日々凶悪さを増すランサムウェアの被害が広がる要因の一つ

脱PPAPとDX

一見、それぞれ異なるテーマのように思えるこの2つの言葉が
実は根っこの大切なところで繋がっていることを、
ある出来事を通して改めて気付かされたので
今日はそのお話を書きたいと思います。

そのPPAPメールはDX推進企業から届いた

私が携わらせていただいている会社では、今年の7月から脱PPAPを宣言し
PPAPメールの送受信を禁止することにしました。

PPAPとは

Password(P)付きファイルを送ります
Password(P)を送ります
暗号化(A
Protocol(P

の頭文字をとった言葉です。

PPAPを用いたファイル共有は、これまで様々な企業が採用してきた方法ですが、
問題点が多く、活用を疑問視されることも多くありました。
日本政府もそのPPAPの危険性から廃止を発表し、
現在PPAPを採用する企業は減少傾向にあると言われています。

ソフトバンクさんや日立さんなど日本を代表する企業が相次いで廃止を宣言し、
これらの会社に勇気をもらい、多くの企業が後に続いています。

しかし、その一方で依然としてPPAPメールを使い続ける企業
しかも、経営課題としてDXを掲げるような大企業が、
当然のようにPPAPメールを送り続けている
という現実もあります。

私が携わる会社でも、
取引先から他社も含めて一斉に送信されるPPAPメールを
受信拒否することで、競争上の不利益、機会損失が懸念される、
として、一部の取引先の担当者のメールアドレスを
PPAP拒否の対象外とする例外措置を取らざるを得なくなりました。

ランサムウェアは送信者になりすまして送信されるため、
送信元の企業のセキュリティ対策がどれほど強固であろうと、
メールアドレスさえ入手できれば送りつけることが可能です。

つまり、この会社は例外措置をとったことで
マルウェアが添付されたメールを受信するリスクが増すことを許容せざるを得なくなった
のです。

そしてその送信元は、誰もが名前を聞いたことのあるような大企業、金融機関など、
何れもDXを経営課題に掲げているような会社です。

確かに、ほんの数年前までは、
メールの添付ファイルを自動的に暗号化し、パスワードを別メールで送る
PPAPこそがビジネスマナーと考えられるほど普及し
暗号化の処理を自動的に行う仕組みも各社で導入されました。

しかし、政府がPPAPを問題としてから既に2年近くが経過。
前述の各企業が廃止を宣言してから半年以上が経ちます。

そしてその間ランサムウェアの被害は収まるどころか、
いつまでもPPAPを続ける日本を標的に攻撃は激しくなる一方です。

そのような中、DXを推進すると公言している大企業が、
メール添付ファイルの自動暗号化処理を辞める程度のことを未だにできないのはなぜなのでしょうか?

脱PPAPを行う2つの理由

そんな中、7月にPPAPの廃止を実施した会社が
取引先や自社の従業員に不便を感じさせることになっても廃止に踏み切ったのは次の2つの理由からです。

  1. 当社から送信された(ようになりすました)メールによって取引先がランサムウェアの被害を受けることを防ぐ
  2. 当社がランサムウェアに感染することで自社は勿論、取引先を含む関係者に迷惑をかけない

先に廃止宣言をされた各企業の案内にも同様の理由が記載されています。

「お客様と自社の情報資産を守るため」

PPAPが問題視される理由は、

セキュリティ対策としてあまり意味がないことに加え、
暗号化されていることにより、セキュリティ対策システムによるチェックができないこと
それを利用してランサムウェアが大量にバラまかれて、被害が特に日本で広がっていることです。

取引先から「御社の○○さんから怪しいメールが届いた」と言われた
自社の社員から「自分から身に覚えのないメールが届いた」と問い合わせがあった
といったご経験がある方も多いと思います。

そのような状況の中、「お客様や取引先に迷惑をかけない」ことを最優先と考え
PPAP廃止を提案したところ、管理部門の担当役員の決断で一気にPPAP廃止に踏み切ったのです。

DXで一番大切なこと=お客さまのことを徹底的に考えること

PPAP廃止から1カ月以上が経過したころ、営業部門から次のような相談がありました。

    • 当社では複数の取引先から定期的に案件の情報をメールで送付して貰っている。
    • これらのメールは競合他社を含む一斉メールで送信されており、
      当社だけが受信エラーになった後、個別にクラウドストレージにアップロードして貰っている。
    • 担当者には面倒がられているし、再送を待つ間に競合に先を越され損失につながる恐れもある。

勿論、廃止を決めた時からこのような相談があることはある程度想定していましたし、
例外処理の方式もしっかり準備していましたので、
「ついに来たか」という気持ちで対応することになったのですが、
例外対象となる送信元アドレスのドメインを見て驚きました。

金融機関や業界大手のメールアドレスがずらりと並んでいたのです。
いずれもDXを経営課題に掲げているような会社です。

まず考えたのは、
「そのような会社がメール添付以外のファイル送信手段を持っていないはずがない」
ということ。

実際、担当者に確認してもらうと、
確かにクラウドストレージを使った送信手段はある
しかし、利用の都度社内申請が必要であったり、
単に面倒だから(とこちらの担当者が忖度したから)
といった理由が返ってきました。

確かに、気持ちは分かります。でも・・・

  • その社内申請は情報セキュリティを守るために定められたルールなのでは?
  • 「面倒だから」で取引先をリスクにさらし続けるつもり?
  • 自動ZIP化を止めるのに技術的なハードルはないよね?
  • その姿勢で「DX」を語っちゃうわけ?

と思わずにはいられませんでした。

「DX」で最も大切なことは「お客様の事を徹底的に考える事」

だと考えているから、
そして、ビジネスの世界において「取引先≒お客様」と考えているからです。

「やってる感」ではなく「本当にやるべきこと」から始めるDXを

DXについては色々なところで、様々な観点で語られています。
攻めのDXと守りのDX。
ただの改善はDXとは言わない。
など、言葉の定義や目的、目標も様々です。

実は、私自身は「DX」という言葉はあまり好きではありません。

当たり前の取り組みに大層な名前がついたせいで、
バズワード化し「都合のいい言葉」になってしまった印象があるからです。

ただし、内容そのものは取り組まなければいけない大切な事と考えていますし、
その会社の理念や目標、現在の状況に応じて、
それぞれが考えるそれぞれの「DX」に取り組む必要があると思います。

そして私なりに「DX」というものを次のように考えています。

「お客様に対して今までとは桁違いの価値を提供すること。
その結果として競争優位を勝ち取り会社が成長すること」

この目的を達成するためには、
お客様のことを徹底的に考え、
その結果生みだされる新しい価値を提供するために
仕事の仕組みや判断基準を根本から見直し作り変えることが必要

勝つために、生き残るために変わる・進化する

これは別に今に始まったことではなく、
デジタルに限ったことでもなく、
企業が存続、成長するために取り組み続けてきたことです。

ただ、今の世の中何をするにもデジタルが関係するし、
以前は到底できなかったこと、無理とあきらめていたことも、
今のデジタル技術を使えば実現できる。
できるかもしれないと考え挑戦する。

私は、この一連の活動と、その結果として起きる変化を「DX」だと考えます。

そして、「DX」で最も大切なことは最初のステップ

「お客様のことを徹底的に考えること」

    • お客様に新しい価値・経験を提供する
    • お客様の負担・苦痛を取り除く
    • お客様のリスクを取り除く
      ・・・

PPAP対策は、

「お客様のリスクを取り除く」立派なDX

そして、

技術的なハードルが殆どない、簡単にできるDXです。

DXは先進企業・成功企業と、なかなか上手く進められない企業との差や
お試し・実験的な取り組みばかりで成果・結果に結びつかない
といった事も問題になっています。

AIやIoT、スマホアプリの実証実験は将来のために勿論大切ですが、

それよりも優先すべき課題というものもあるのではないでしょうか。