求人応募・問い合わせメールの添付ファイル対策：履歴書・見積依頼を開く前のルール

会社の代表メール、採用メール、問い合わせフォームには、日々さまざまなファイルが届きます。

求人応募の履歴書。
職務経歴書。
ポートフォリオ。
見積依頼書。
図面。
写真。
請求書。
取引先からの仕様書。
問い合わせ内容のスクリーンショット。

どれも業務上、開く必要があるファイルかもしれません。

しかし、ここで注意したいのは、求人応募や問い合わせメールは、もともと“知らない相手から届くことが自然な窓口”であるという点です。

営業担当者、採用担当者、総務担当者、店舗担当者は、知らない相手からのメールを日常的に確認します。
そのため、「知らない相手だから開かない」という単純なルールだけでは、業務が止まってしまいます。

一方で、IPAは、不審なメールについて、添付ファイルを開かない、記載されたURLにアクセスしない、記載された電話番号に電話しない、返信しない、といった対応を示しています。また、送信元情報だけでメールの真偽を判断することは困難であり、公式サイトなど確かな情報源で確認するよう説明しています。

つまり、必要なのは「添付ファイルを全部禁止すること」ではありません。
開く前に確認するルール、開いてよい環境、保存する場所、問題が起きた時の連絡先を決めておくことです。

この記事では、中小企業や小規模事業者が、求人応募・問い合わせ・見積依頼メールの添付ファイルを扱うときに決めておきたい実務ルールを整理します。

なぜ求人応募・問い合わせメールは狙われやすいのか

求人応募や問い合わせ窓口は、外部からファイルが届くことを前提にしています。

たとえば、次のようなメールは、業務上あり得ます。

「履歴書と職務経歴書を添付します」
「見積依頼書を送付します」
「図面をご確認ください」
「不具合の画面をスクリーンショットで送ります」
「請求書を添付しました」
「資料を確認のうえ返信ください」
「応募作品をポートフォリオとして添付します」

攻撃者から見ると、このような文面は自然に見えます。
受信者も「業務上ありそう」と感じやすくなります。

JPCERT/CCは、Emotetの注意喚起の中で、実在の組織や人物になりすましたメールに添付された悪性なWord文書ファイルによる感染被害を紹介しています。また、メールに添付されたWord形式のファイルを実行し、「コンテンツの有効化」を実行することで感染につながる事例が確認されています。

さらに、実際の組織間のメールのやり取りを転用し、返信を装うメールが使われることもあるため、取引先や応募者に見える相手から届いたメールでも注意が必要です。

求人応募・問い合わせメールでは、
「知らない相手から来るのは普通」
「ファイルが添付されるのも普通」
という業務特性があります。

だからこそ、担当者の注意力だけに頼らず、会社としての確認手順を作る必要があります。

1. 受信窓口を分ける

最初に見直したいのは、受信窓口です。

すべての外部メールを個人メールアドレスで受けていると、確認漏れ、属人化、退職時の引き継ぎ漏れが起きやすくなります。

次のように、用途ごとに窓口を分けることを検討しましょう。

用途	例
採用応募	recruit@、entry@ など
問い合わせ	info@、contact@ など
見積依頼	sales@、estimate@ など
請求書受領	invoice@、keiri@ など
サポート受付	support@ など

重要なのは、メールアドレスを作ることではありません。
誰が確認するか、誰が代わりに見るか、どこに保存するかを決めることです。

確認したい項目は次のとおりです。

個人メールではなく、会社管理の窓口で受けているか
複数人で確認できる体制になっているか
退職者のメールアドレスに応募書類や問い合わせが届いていないか
共有メールボックスの閲覧権限を必要最小限にしているか
添付ファイルを保存する場所を決めているか
誤って私物メールや私物クラウドに転送していないか

ライトハウスコンサルタントの中小企業セキュリティ現状診断でも、標的型メール、フィッシングメールへの注意喚起、メール添付ファイル、URLリンク、請求書メールへの対応ルール、問い合わせフォーム等の確認が診断項目に含まれています。

2. 添付ファイルを開く前の確認項目を決める

添付ファイルを開く前に、最低限確認する項目を決めておきましょう。

担当者ごとに判断が違うと、危険なファイルが開かれたり、必要な応募書類が放置されたりします。

確認項目は次のとおりです。

そのメールは想定していたものか
件名と本文が自然か
差出人のメールアドレスは不自然ではないか
会社名、氏名、電話番号などが本文にあるか
添付ファイル名が業務内容と一致しているか
ファイル形式が不自然ではないか
パスワード付き圧縮ファイルではないか
本文で「マクロを有効化してください」などと促していないか
急がせる表現、不安をあおる表現がないか
返信、電話、別経路確認が必要なメールではないか

特に注意したいのは、次のようなメールです。

本文が極端に短く、添付ファイルだけがある
「ご確認ください」だけで詳細がない
日本語が不自然
送信元名とメールアドレスのドメインが一致しない
返信を装っているが、過去のやり取りに心当たりがない
見積依頼や採用応募なのに、実行形式ファイルが添付されている
Officeファイルを開いた後にマクロ有効化を求める
ZIPファイルを解凍すると、さらに別のファイルやショートカットが出てくる

警察庁も、電子メールは送信元名称や送信元メールアドレスを変更することが容易であり、表示される送信元情報だけで真偽を判断することは困難と説明しています。

3. 開いてよいファイル形式を決める

採用応募や問い合わせで受け付けるファイル形式は、あらかじめ決めておくと安全です。

たとえば、求人応募であれば、次のように案内できます。

履歴書・職務経歴書はPDF形式でご提出ください。
マクロ付きOfficeファイル、実行形式ファイル、圧縮ファイルでの提出は受け付けていません。

見積依頼や問い合わせでも、次のようにルール化できます。

用途	原則受け付ける形式	注意が必要な形式
履歴書・職務経歴書	PDF	Word、Excel、ZIP
見積依頼書	PDF、画像、会社指定フォーム	マクロ付きOfficeファイル
図面・仕様書	PDF、画像、CAD等は事前確認	圧縮ファイル、実行形式
スクリーンショット	PNG、JPEG、PDF	ZIP、HTML、スクリプト
請求書	PDF	ZIP、マクロ付きExcel

ただし、PDFであれば必ず安全というわけではありません。

2026年4月にも、IPAはAdobe AcrobatおよびReaderの脆弱性について注意喚起し、悪用された場合にアプリケーションの異常終了や攻撃者によるパソコン制御などの被害が発生するおそれがあるとして、セキュリティ更新プログラムの適用を求めています。

つまり、ファイル形式を制限することは有効ですが、同時に、PDF閲覧ソフト、Office、OS、セキュリティソフトを最新状態に保つことも必要です。

4. マクロ付きOfficeファイルは原則開かない

WordやExcelのマクロは、業務自動化に使われることがあります。
しかし、外部から届いたマクロ付きOfficeファイルは、特に注意が必要です。

JPCERT/CCは、Emotetの感染経路として、メール添付のWord形式ファイルを開き、「コンテンツの有効化」を実行することで感染につながる事案を説明しています。

Microsoftも、インターネットやメール添付など外部由来のOfficeファイルについて、マクロを既定でブロックする動作を説明しています。Microsoftの説明では、外部由来のマクロ付きファイルを開くとセキュリティリスクのバナーが表示され、以前のような「コンテンツの有効化」ではなく、ファイルのプロパティからブロック解除する操作が必要になる場合があります。

中小企業では、次のルールを推奨します。

外部から届いたマクロ付きOfficeファイルは原則開かない
「コンテンツの有効化」「編集を有効にする」を安易に押さない
マクロが必要な業務ファイルは、社内の信頼済み保存場所で管理する
応募者や問い合わせ相手に、PDFまたは会社指定フォームで再提出を依頼する
マクロ付きファイルを業務上どうしても開く場合は、IT担当者または保守会社へ確認する

採用応募や問い合わせで、応募者にマクロ付きファイルを提出してもらう必要は通常ありません。
履歴書、職務経歴書、見積依頼、資料請求であれば、PDFやフォーム提出で代替できるケースが多いはずです。

5. 圧縮ファイル・パスワード付きZIPの扱いを決める

求人応募や見積依頼では、複数ファイルをまとめるためにZIPファイルが送られてくることがあります。

しかし、圧縮ファイルには注意が必要です。

中身が分かりにくく、解凍後に危険なファイルが含まれている場合があります。
また、パスワード付きZIPはセキュリティ製品で中身を確認しにくい場合があります。

中小企業では、次のようなルールにすると実務的です。

求人応募ではパスワード付きZIPを原則受け付けない
複数ファイルは会社指定のアップロードフォームで提出してもらう
見積依頼の大型ファイルは事前に送付方法を相談してもらう
ZIPファイルを解凍する前に送信者へ確認する
ZIP内に実行形式、ショートカット、スクリプトがある場合は開かない
解凍後のファイル拡張子を確認する
不明な場合は担当者一人で判断せず、管理担当者へ相談する

特に、次の拡張子や形式には注意が必要です。

.exe
.scr
.bat
.cmd
.js
.vbs
.ps1
.lnk
.iso
.img
.docm
.xlsm
.zip内にさらに別の圧縮ファイル

すべての会社で高度なメールセキュリティ製品を導入できるとは限りません。
その場合でも、受け付ける形式を絞ることと不明なファイルを開かないルールはすぐに始められます。

6. 添付ファイルは「保存場所」を決めてから扱う

添付ファイルを開いた後の保存場所も重要です。

よくある問題は、次のようなものです。

履歴書を担当者のデスクトップに保存している
応募書類を私物PCや私物クラウドに保存している
問い合わせ資料を全社員が見られる共有フォルダに置いている
採用が終わった後も応募者情報が残り続けている
メール添付ファイルをダウンロードフォルダに放置している
退職者の個人フォルダに応募書類が残っている

求人応募や問い合わせには、個人情報や取引先情報が含まれることがあります。

政府広報オンラインは、個人情報保護法における個人情報について、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報であり、メールアドレスもユーザー名やドメイン名から特定の個人を識別できる場合は個人情報に該当すると説明しています。

履歴書、職務経歴書、応募メール、面接日程、評価メモなどは、採用活動で扱う重要な個人情報として管理すべきです。

保存場所については、次のルールを決めましょう。

採用応募書類は指定フォルダに保存する
閲覧できる人を採用担当者と責任者に限定する
不採用者の書類をいつ削除するか決める
採用者の書類をどの人事フォルダへ移すか決める
個人PC、私物端末、私物クラウドに保存しない
メール添付のまま長期保管しない
退職者や異動者が閲覧できないよう権限を見直す

個人データを保管・管理するときは、漏えい等が生じないよう安全に管理するために必要な措置を講じる必要があり、政府広報オンラインでは、紙なら鍵のかかるキャビネット、パソコンならファイルへのパスワード設定やセキュリティ対策ソフトの導入などが例示されています。

7. 応募書類・問い合わせ資料の保管期間を決める

添付ファイルは、開いた後に放置されがちです。

特に採用活動では、次のような書類が残りやすくなります。

履歴書
職務経歴書
ポートフォリオ
面接日程調整メール
評価メモ
不採用通知
選考結果一覧
応募者とのやり取り
本人確認書類
資格証明書

保管期間を決めていないと、「念のため」という理由で長期間残り続けます。

実務上は、次のように分けると整理しやすくなります。

情報	保管例
採用者の履歴書・職務経歴書	人事・労務上必要な期間、会社ルールに従って保管
不採用者の応募書類	選考終了後、一定期間で削除または廃棄
問い合わせ添付資料	対応完了後、必要な案件フォルダへ移動または削除
見積依頼資料	取引記録として必要な期間保管
不要な添付ファイル	確認後、速やかに削除
怪しい添付ファイル	開かずに隔離、管理担当へ報告

個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会への報告や本人通知が必要になる場合があります。政府広報オンラインでは、不正アクセスによる個人データの漏えいや、ランサムウェア等による暗号化、書類・媒体の盗難などの例も示されています。

保管期間を決めることは、単なる整理整頓ではありません。
漏えい時の影響範囲を小さくするためにも重要です。

8. 問い合わせフォームの添付ファイル機能を見直す

Webサイトの問い合わせフォームに、ファイル添付機能を付けている会社もあります。

便利な機能ですが、次の点を確認しましょう。

添付できるファイル形式を制限しているか
添付できる容量を制限しているか
実行形式やスクリプトをアップロードできないか
アップロードされたファイルの保存先を把握しているか
保存先に誰がアクセスできるか
ファイルはいつ削除されるか
通知メールにファイルが直接添付されるのか、リンクで届くのか
Web制作会社やフォームサービス事業者の管理範囲はどこか
退職者や前任ベンダーが管理画面に入れないか
個人情報の利用目的を案内しているか

フォーム添付機能は、問い合わせ対応を効率化します。
一方で、危険なファイルや大量ファイルが届く入口にもなります。

特に、採用フォーム、資料請求フォーム、見積依頼フォームでは、ファイル添付の必要性を見直しましょう。

必要であれば、
「PDFのみ」
「10MBまで」
「履歴書・職務経歴書のみ」
「ZIP不可」
など、受付条件を明確にします。

9. 受信後すぐに全員へ転送しない

添付ファイル付きメールを受け取ったとき、内容を確認する前に社内へ転送してしまうことがあります。

これは避けるべきです。

もし危険なファイルであれば、社内の複数人へ拡散してしまいます。
また、履歴書や職務経歴書など個人情報を、必要のない社員へ送ってしまうおそれもあります。

確認したい項目は次のとおりです。

採用応募書類を採用関係者以外に転送していないか
問い合わせ資料を関係部署だけに共有しているか
見積依頼資料の共有範囲を決めているか
添付ファイルを共有する前にファイル形式を確認しているか
個人情報を含むファイルをチャットに直接貼っていないか
転送時に宛先を確認しているか
BCC、送信保留、宛先チェック機能を活用しているか

政府広報オンラインでは、メールマガジン配信時に本来BCCに入力すべき個人データであるメールアドレスをCCに入力して1,000人超へ送信した例が、漏えい等の事案として示されています。

求人応募や問い合わせメールでも、添付ファイルそのものだけでなく、転送先の誤りが情報漏えいにつながることがあります。

10. 開く環境を分ける

可能であれば、外部から届いた添付ファイルを開く端末や環境を分けることも検討します。

中小企業でいきなり高度なサンドボックス環境を用意するのは難しいかもしれません。
しかし、次のような工夫は可能です。

採用・問い合わせ専用の端末で確認する
管理者権限のない一般ユーザーで作業する
OS、Office、PDF閲覧ソフト、ブラウザを最新にする
セキュリティソフトを有効にする
マクロを無効化する
不審なファイルは開かず、IT担当者や保守会社へ相談する
重要な業務システムや会計データを扱う端末で不用意に開かない

JPCERT/CCは、Emotet対策として、組織内への注意喚起、Wordマクロの自動実行の無効化、メールセキュリティ製品による検知、OSへの定期的なパッチ適用、定期的なオフラインバックアップ取得などを挙げています。

採用担当者や総務担当者が使う端末は、会社の入口になりやすい端末です。
その端末で会計、給与、オンラインバンキング、管理者アカウント操作まで行っている場合は、特に注意が必要です。

11. 応募者・問い合わせ相手への案内文を用意する

安全な受け取り方をするには、相手への案内も重要です。

求人ページや問い合わせフォームに、提出形式を明記しておくと、担当者の判断が楽になります。

求人応募ページの文例

履歴書・職務経歴書はPDF形式でご提出ください。
マクロ付きOfficeファイル、実行形式ファイル、圧縮ファイルでの提出は受け付けておりません。
提出いただいた応募書類は、採用選考の目的で利用し、当社の個人情報取扱方針に従って管理します。

問い合わせフォームの文例

ファイルを送付される場合は、PDF、PNG、JPEG形式をご利用ください。
ZIPファイル、実行形式ファイル、マクロ付きOfficeファイルは受け付けておりません。
大容量ファイルや特殊形式のデータを送付される場合は、事前にご相談ください。

見積依頼の文例

見積依頼書・仕様書はPDF形式でお送りください。
CADデータや大容量ファイルを送付される場合は、当社指定の方法での受け渡しをお願いする場合があります。

このように案内しておくと、危険な形式で届いた場合に、
「会社ルールとして再提出をお願いする」
という対応がしやすくなります。

12. 怪しい添付ファイルを開いてしまった場合の初動

どれだけ注意しても、誤って添付ファイルを開いてしまう可能性はあります。

大切なのは、開いてしまった後に隠さないことです。

初動として、次の手順を決めておきましょう。

すぐに上長または管理担当者へ連絡する
メールを削除せず、件名、差出人、受信日時、添付ファイル名を記録する
不審なファイルをさらに開かない
URLをクリックした場合は、アクセス先や入力した情報を記録する
ID・パスワードを入力した場合は、対象サービスを確認する
端末のネットワーク切断を検討する
ITベンダー、保守会社、外部専門家へ相談する
セキュリティソフトで検知があるか確認する
必要に応じてパスワード変更やセッション無効化を行う
顧客情報・応募者情報が関係する場合は影響範囲を確認する
対応内容を時系列で記録する

JPCERT/CCは、Emotet感染が疑われる場合の事後対応として、組織内端末のウイルス対策ソフトによるフルスキャン、感染端末で利用していたアカウントのパスワード変更、ネットワークトラフィックログの監視、感染端末の初期化などを示しています。

開いてしまったこと自体を責める運用にすると、報告が遅れます。
重要なのは、早く共有し、被害拡大を防ぐことです。

13. 採用・問い合わせ担当者に周知したい合言葉

添付ファイル対策は、難しい専門用語よりも、現場で使える短い合言葉にすると定着しやすくなります。

たとえば、次のようなものです。

知らない添付は、すぐ開かない
履歴書はPDF、マクロは不可
ZIPは開く前に確認
コンテンツの有効化は押さない
応募書類は指定フォルダへ
個人情報は必要な人だけ
怪しいと思ったら削除ではなく報告
急がせるメールほど一度止まる

担当者に完璧な判断を求めるのではなく、迷った時に止まれるルールを作りましょう。

添付ファイル受信ルールの例

社内ルールとしては、次のような形にできます。

受信時

求人応募、問い合わせ、見積依頼は会社指定のメールアドレスまたはフォームで受ける
個人メールで受けた場合は、会社指定の保管場所へ移す
私物メールや私物クラウドへ転送しない

開封前

差出人、件名、本文、添付ファイル名を確認する
想定外の添付ファイルは開かない
ZIP、実行形式、マクロ付きOfficeファイルは担当者一人で開かない
不審な場合は送信者に別経路で確認する

開封時

OS、Office、PDF閲覧ソフトを最新状態にした端末で開く
マクロやコンテンツの有効化を求められても押さない
警告画面が出た場合は中断する
解凍後に不明なファイルがある場合は開かない

保存時

応募書類は採用専用フォルダに保存する
問い合わせ資料は案件フォルダに保存する
閲覧権限を必要最小限にする
不要なファイルは保管期間に従って削除する

事故時

開いてしまった場合はすぐ報告する
メールやファイルを削除せず、証跡を残す
入力したID・パスワードがあれば速やかに申告する
ITベンダーや外部専門家へ相談する

添付ファイル点検チェックリスト

最後に、中小企業向けの確認項目をまとめます。

求人応募・問い合わせ・見積依頼の受信窓口を決めている
個人メールではなく会社管理のメールアドレスで受けている
添付ファイルを開く前の確認項目を決めている
受け付けるファイル形式を決めている
履歴書・職務経歴書はPDF提出を基本にしている
マクロ付きOfficeファイルを原則受け付けない
ZIPファイルやパスワード付きZIPの扱いを決めている
実行形式、スクリプト、ショートカットファイルを開かないルールがある
OS、Office、PDF閲覧ソフトを最新状態にしている
「コンテンツの有効化」を押さないよう周知している
応募書類や問い合わせ資料の保存場所を決めている
採用関係者以外が応募書類を見られないようにしている
不採用者の応募書類の削除時期を決めている
問い合わせフォームの添付可能形式と容量を制限している
添付ファイル付きメールを社内へ不用意に転送しない
怪しい添付ファイルを開いた場合の報告先を決めている
報告した人を責めず、早期報告を促す運用にしている
採用ページや問い合わせフォームに提出形式を明記している
私物メール、私物端末、私物クラウドへの保存を禁止している
添付ファイル対応ルールを年1回以上見直している

すべてを一度に整える必要はありません。

まずは、受信窓口、受け付けるファイル形式、保存場所、怪しい場合の報告先の4つから決めてみましょう。

まとめ

求人応募、問い合わせ、見積依頼の添付ファイルは、業務上必要なものです。
しかし、外部から自然にファイルが届く窓口だからこそ、攻撃メールや情報漏えいの入口にもなります。

中小企業でまず確認したいのは、次の5点です。

求人応募・問い合わせの受信窓口を会社管理にする
添付ファイルを開く前の確認項目を決める
受け付けるファイル形式を絞る
応募書類・問い合わせ資料の保存場所と保管期間を決める
怪しいファイルを開いた場合の報告手順を決める

添付ファイル対策は、担当者の注意力だけに頼るものではありません。
業務として開く必要があるからこそ、会社としてのルール、保存場所、確認手順を整えることが重要です。

ライトハウスコンサルタントでは、福岡・九州の中小企業、個人事業主、小規模事業者を対象に、情報セキュリティの現状診断を行っています。同診断では、メール添付ファイル、URLリンク、請求書メール、Webサイト、問い合わせフォーム、クラウド利用、情報資産、個人情報、インシデント対応体制なども確認項目に含まれています。

自社の求人応募、問い合わせ、見積依頼メールの扱いに不安がある場合は、まずは「どの窓口で受け、誰が開き、どこに保存しているか」を確認するところから始めてみてください。

投稿タグ: Emotet, Officeファイル, PDF, マルウェア対策, メールセキュリティ, 中小企業の情報セキュリティ, 個人情報保護, 問い合わせメール, 履歴書, 採用情報管理, 標的型メール, 求人応募, 添付ファイル, 見積依頼

MENU