PPAPは廃止された。その"次"が決まっていない
2020年11月の内閣府・内閣官房の廃止宣言以降、多くの企業がPPAP(パスワード付きZIPを別送する運用)を見直しました。しかし中小企業では、「廃止はしたが、何に置き換えたか曖昧」な状態が多く残ります。結果、部門ごとに違うサービスを使い、セキュリティ・ガバナンスが崩壊しています。
本記事では、脱PPAP後のデファクトである4サービス(Box、OneDrive、Google Drive、Dropbox Business)を比較し、組織規模別の推奨を提示します。
選定の5軸
- ①セキュリティ:暗号化、DLP、権限管理、ログ、認証連携
- ②社外共有:有効期限、パスワード、ダウンロード禁止、透かし
- ③既存ツール連携:Office/Google Workspace、Teams、業務システム
- ④運用負荷:管理者作業、ユーザー教育コスト
- ⑤コスト:月額単価、容量、隠れコスト
主要4サービス比較
| 観点 | Box | OneDrive | Google Drive | Dropbox Business |
|---|---|---|---|---|
| 暗号化 | AES 256bit、KeySafe対応 | AES 256bit、BYOK対応 | AES 256bit、CSE対応 | AES 256bit |
| 社外共有ガバナンス | ◎(透かし・期限・DLP) | ○(Purview連携で強化) | ○(DLP for Workspace) | ○ |
| 権限粒度 | ◎(7段階) | ○(4段階+継承) | ○(4段階) | △ |
| Office連携 | ○ | ◎(ネイティブ) | △ | ○ |
| Google Workspace連携 | ○ | △ | ◎(ネイティブ) | ○ |
| 月額単価(目安) | 2,000〜4,000円 | OneDrive Plan1: 900円 M365 Business含:1,500円〜 | Business Standard: 1,360円(Workspace込) | 1,850円〜 |
| 容量 | 無制限プランあり | 1〜5TB/ユーザー | 2〜5TB(以降追加) | プランにより可変 |
Boxの強み・弱み
- 強み:コンテンツガバナンス(透かし・有効期限・ダウンロード禁止)が標準で強い/Box Shieldで異常検知/金融・医療・公共向け実績が豊富
- 弱み:他サービスと比べコストが高め/Office/Workspace連携はネイティブではない/学習コストが若干高い
- 推奨:ガバナンス重視、機密データを多く扱う中堅以上、規制対応が必要な業界
OneDriveの強み・弱み
- 強み:Microsoft 365を使っているなら追加コストゼロ/SharePointと組み合わせた組織共有/Purviewで情報保護を統合/Copilotとの連携
- 弱み:共有外部設定のデフォルトが緩め/ユーザーが個人OneDriveとSharePoint Teamsiteを混同しがち
- 推奨:M365ライセンスを既に導入している企業、コスト最優先の中小企業
Google Driveの強み・弱み
- 強み:Google Workspace利用企業ならシームレス/リアルタイム共同編集/Googleサービスとの統合
- 弱み:Office文書の体験は若干劣る/日本企業文化(紙・印鑑ベース)とのフィット
- 推奨:Google Workspace導入済み企業、クラウドネイティブ志向のスタートアップ
Dropbox Businessの強み・弱み
- 強み:UIがシンプル、外部共有が簡単/macOSユーザーに人気/Dropbox Paper、Replay等のクリエイティブ連携
- 弱み:エンタープライズ向けガバナンス機能が競合に比べて手薄/価格に対しての機能差
- 推奨:少人数のクリエイティブ組織、macOS主体の企業
組織規模別の推奨パターン
| 規模 | 推奨構成 | 理由 |
|---|---|---|
| 〜50名 | M365 + OneDrive/SharePoint or Google Workspace + Drive | 既存ライセンスで完結、追加費用ゼロ |
| 50〜300名 | M365 + OneDrive + Purview(情報保護) | 情報保護ラベルでDLP実装、Copilot活用も視野 |
| 300〜1000名 | M365 + Box(機密データ専用) | 社外ガバナンスが強いBoxを機密データ向けに併用 |
| 金融・医療・公共 | Box中心+OneDrive補完 | 規制対応と監査ログの強さ |
移行プロジェクトの要所
- 棚卸し:既存ファイルサーバー/NAS/個人PC上の機密データを特定
- 権限設計:移行前に全体の権限マトリクスを再設計
- 社外共有ポリシー:外部ユーザーは期限付き共有を原則に
- DLPルール:マイナンバー、クレカ番号、機密ラベルの自動検知
- ユーザー教育:URL共有の基本ルール、誤送信対策
- 監査ログ保管:最低1年、業界によっては5〜7年
BTNコンサルティングの支援
BTNでは、ファイル共有サービスの選定、権限設計、データ移行、ガバナンス運用までをワンストップ支援します。「Security365」「情シス365」で導入後の継続運用もサポート可能です。
まとめ
脱PPAP後のファイル共有選びは、単純な機能比較ではなく組織の既存ライセンスとガバナンス要求のバランスで決まります。まずは自社の現状ライセンス+機密データ量を整理し、この記事の4サービス比較を参考に、3年後まで見据えた意思決定を行いましょう。