大容量のファイルを取引先へ送る時、ファイル転送サービスやクラウドストレージを使っている会社は多いと思います。

しかし、そのサービスが突然停止したらどうするでしょうか。

「急ぎだから、今回はメール添付で送ろう」
「無料のファイル共有サービスを使えばよい」
「個人のクラウドストレージに置いてURLを送ろう」

このような対応は、一見すると業務を止めないための応急処置に見えます。しかし、送るファイルの中に、見積書、契約書、請求書、図面、名簿、履歴書、顧客情報、従業員情報などが含まれている場合、安易な代替手段は情報漏えいにつながるおそれがあります。

ファイル転送サービスが止まった時に必要なのは、とりあえず別の方法で送ることではありません。
必要なのは、誰が、どのサービスを、どの条件で使ってよいかを決めることです。

WebARENAの大容量ファイル転送機能で起きたこと

2026年6月23日、NTTPCコミュニケーションズは、「WebARENA 大容量ファイル転送機能」の停止について公表しました。対象は、WebARENAメールホスティングおよびWebARENA SuiteXの付帯機能として提供されていた大容量ファイル転送機能です。NTTPCの発表によると、2026年4月29日深夜から外部からの攻撃と思われる通信が断続的に発生し、安全性確保のため当該サーバーへのアクセスを遮断し、機能を停止したとされています。調査の結果、同機能を構成するサーバーの一部で、2026年4月21日から第三者による不正アクセスの痕跡が確認されています。

同社は、攻撃を受けたサーバーで情報漏えいを示す痕跡は確認されておらず、現時点で情報が外部に漏えいした事実や二次被害は確認されていないと説明しています。一方で、不正アクセスの痕跡が確認されたサーバーには、認証ログ、アップロードされた電子ファイル、アップロード関連情報、操作ログ、Webサーバーログが格納されており、情報漏えいの可能性を完全には否定できないとも説明しています。

格納されていた情報として、契約数1,510契約、認証ログにおけるユニークメールアドレス7,446件、契約者がアップロードした電子ファイル4,463件が公表されています。アップロード関連情報には、日時、IPアドレス、ファイル名、ダウンロード用パスワード、ダウンロード用URL、メッセージが含まれるとされています。

また、同機能は現在も利用できない状態が継続しており、システム全体を再構築したうえで、安全性を十分に確保して提供再開するため、再開は2026年12月頃を目途とすると説明されています。

この事案で重要なのは、特定のサービスだけを問題視することではありません。
中小企業にとっての教訓は、日常的に使っているファイル送信手段が突然使えなくなった時、社内が迷わず安全な代替手段を選べる状態になっているかという点です。

「メール添付に戻す」が危ない理由

ファイル転送サービスが止まった時に、最も起こりやすいのがメール添付への逆戻りです。

しかし、メール添付には次のような問題があります。

  • 送信後にファイルを取り消しにくい
  • 宛先を間違えると、ファイルそのものが相手に届いてしまう
  • 誰が、いつ、ダウンロードしたかを確認しにくい
  • 添付ファイルが社内外のメールボックスに残り続ける
  • 大容量ファイルでは送信エラーや分割送信が起きやすい
  • パスワード付きZIPにしても、同じメール経路でパスワードを送る運用では効果が限定的になる

特に注意したいのが、いわゆるPPAP、つまり「パスワード付きZIPファイルをメールで送り、その後に同じメール経路でパスワードを送る」方法です。内閣府の記者会見では、内閣府・内閣官房で採用していたZIPファイル送付と同じ経路でパスワードを自動送信する方式について、セキュリティ対策と受け取る側の利便性の観点から適切ではないとの考えが示されています。

つまり、ファイル転送サービスが止まったからといって、昔のメール添付やPPAPに戻せばよい、という話ではありません。

まず決めるべきは「使ってよい代替手段」

サービス停止時の混乱を防ぐには、あらかじめ代替手段を決めておくことが重要です。

代替手段を決める時は、次のように分類すると実務に落とし込みやすくなります。

1. 通常の業務ファイル

例として、一般的な提案書、社外秘ではない資料、公開済みのパンフレット、画像データなどです。

この場合でも、個人アカウントのクラウドストレージや、承認されていない無料サービスを自由に使わせるのは避けるべきです。
会社として利用を認めたクラウドストレージ、ファイル転送サービス、グループウェアなどに限定します。

2. 社外秘・取引先情報を含むファイル

例として、見積書、契約書、仕様書、図面、取引条件、未公開資料などです。

この場合は、URLを知っていれば誰でも開ける共有リンクではなく、受信者を限定できる方法を優先します。
可能であれば、相手のメールアドレスを指定して閲覧権限を付与し、ダウンロード期限を設定します。

3. 個人情報を含むファイル

例として、顧客名簿、申込書、履歴書、従業員情報、給与・勤怠情報、健康情報などです。

この場合は、送信の必要性から確認します。
送らなくてよい情報を削除できないか、必要な項目だけに絞れないか、ファイルを分割できないかを確認したうえで、送信方法を決めるべきです。

個人データについては、漏えい等が発生した場合やそのおそれがある場合に、個人情報保護委員会への報告が必要となる類型があります。個人情報保護委員会は、不正アクセスにより個人データが漏えいした場合や、不正検知を行う専門家等の第三者から漏えいのおそれについて連絡を受けた場合などを、漏えい等報告が必要となる例として示しています。

そのため、個人情報を含むファイルの送信では、「便利だからこの方法で送る」ではなく、送信方法、送信先、保存期間、削除方法まで記録できる運用が必要です。

代替サービスを選ぶ時のチェック項目

大容量ファイル転送サービスの代替を選ぶ時は、機能の多さよりも、次の項目を確認してください。

  • 会社として契約または承認しているサービスか
  • 個人アカウントではなく、会社管理のアカウントで利用できるか
  • 多要素認証を利用できるか
  • 送信先や閲覧者を限定できるか
  • URLを知っている人なら誰でも見られる設定になっていないか
  • ダウンロード期限を設定できるか
  • 送信後に共有を停止できるか
  • 誰が、いつ、アップロード・閲覧・ダウンロードしたかを確認できるか
  • 退職者や異動者のアカウントを停止できるか
  • ファイルの保存場所や削除ルールを確認できるか
  • 障害や不正アクセス時の連絡方法が明確か
  • 利用規約上、業務データや個人情報の保存に問題がないか

IPAは、中小企業向けに「中小企業の情報セキュリティ対策ガイドライン」を公開しており、その付録として「中小企業のためのクラウドサービス安全利用の手引き」や「中小企業のためのセキュリティインシデント対応の手引き」を用意しています。クラウドストレージやファイル転送サービスを代替手段として使う場合も、こうした中小企業向けの手引きを参考に、自社ルールへ落とし込むことが重要です。

送信前に確認する4つのこと

代替サービスを決めた後も、送信前の確認は欠かせません。
特に中小企業では、専任の情報システム部門がないまま、営業担当者、経理担当者、総務担当者が個別にファイルを送っていることがあります。

最低限、送信前に次の4点を確認してください。

1. そのファイルを本当に送る必要があるか

ファイル全体を送る必要があるのか、必要なページや項目だけに絞れるのかを確認します。
顧客一覧や従業員一覧を送る場合、不要な列、不要なシート、過去データが残っていないかを確認してください。

Excelファイルでは、非表示シート、コメント、変更履歴、別シートの個人情報が残っていることがあります。PDF化したつもりでも、元ファイルや別資料を一緒に送ってしまうことがあります。

2. 宛先は正しいか

メールアドレスの自動補完は便利ですが、誤送信の原因にもなります。
同姓の取引先、過去の担当者、退職済みの担当者、似たドメインの会社に送っていないか確認します。

重要なファイルを送る場合は、宛先を1人で確認せず、可能であれば第三者確認を入れます。

3. 共有範囲は限定されているか

クラウドストレージやファイル転送サービスでは、「リンクを知っている全員が閲覧可能」という設定が選べる場合があります。
便利ですが、重要情報や個人情報を送る場合には適しません。

可能な限り、受信者のメールアドレスを指定し、閲覧者を限定します。
共有リンクを使う場合でも、有効期限、ダウンロード回数、パスワード、アクセスログを確認します。

4. 送信後に取り消せるか

送信後に誤りに気づいた場合、共有を停止できるか、URLを無効化できるか、受信者の権限を削除できるかを確認します。

メール添付では、送信後にファイル自体を取り戻すことは困難です。
この点でも、重要ファイルの送信では、送信後の共有停止やログ確認ができる方法を優先するべきです。

パスワードは「別メール」ではなく「別経路」を考える

ファイルにパスワードを設定する場合、パスワードの伝え方にも注意が必要です。

同じメールの本文にパスワードを書く、または直後のメールでパスワードを送る方法は、同じメール経路が見られている場合には効果が限定的です。内閣府の記者会見でも、個人情報等の機密性の高い情報を含むファイルを送信する際には、ファイルにパスワードをかけるとともに、全く別の経路でパスワードを知らせることが適切な対応として言及されています。

中小企業の実務では、次のような方法を検討します。

  • 電話でパスワードを伝える
  • 既に合意済みのチャットツールで伝える
  • 取引先ポータル上で共有する
  • 事前に取り決めた共通ルールに従う
  • パスワードではなく、受信者のアカウント認証で保護する

ただし、パスワードを別経路で送れば必ず安全、というわけではありません。
重要なのは、パスワードの有無だけで安心せず、送信先の限定、有効期限、ログ、削除、誤送信時の停止手段を含めて考えることです。

受信側のルールも決めておく

ファイル送信ルールというと、自社から送る場合ばかりを考えがちです。
しかし、取引先から送られてくるファイルにも注意が必要です。

受信側では、次のルールを決めておくと安全です。

  • 見慣れないファイル転送サービスのURLは、送信者に確認してから開く
  • メール本文の日本語や送信元に違和感がある場合は、添付ファイルやURLを開かない
  • パスワード入力画面が表示された場合、会社のID・パスワードを安易に入力しない
  • 個人のクラウドストレージに業務ファイルを保存しない
  • 受信したファイルは、会社が決めた保管場所に保存する
  • ダウンロードフォルダやデスクトップに放置しない
  • 不要になった一時ファイルは削除する
  • マクロ付きOfficeファイルや実行ファイルが届いた場合は、開く前に確認する

IPAは、テレワーク時に気をつけるべき事項として、セキュリティ機能を積極的に活用すること、公共の場所での画面のぞき見や公衆Wi-Fi利用時の注意、業務ファイルの受け渡し方法や削除方法について所属先の規程やルールに従うことなどを示しています。ファイルを受け取る側でも、個人判断ではなく、会社のルールに従う運用が必要です。

社内ルールのひな形

大容量ファイル転送サービスが停止した時のために、次のような簡単なルールを用意しておくと実務で使いやすくなります。


大容量ファイル送信の暫定ルール

  1. 業務ファイルの送信には、会社が承認したサービスのみを使用する。
  2. 個人契約のクラウドストレージ、無料ファイル転送サービス、私用メールでの送信は禁止する。
  3. 個人情報、契約書、見積書、図面、未公開資料を送る場合は、送信前に上長または管理担当者の確認を受ける。
  4. 共有リンクを使う場合は、受信者を限定し、有効期限を設定する。
  5. URLを知っている全員が閲覧できる設定は、重要情報や個人情報では使用しない。
  6. パスワードを設定する場合は、メールとは別の経路で伝える。
  7. 送信後、送信日時、送信者、宛先、ファイル名、利用サービス、有効期限を記録する。
  8. 誤送信または不審なアクセスに気づいた場合は、直ちに共有を停止し、管理担当者へ連絡する。
  9. サービス障害や不正アクセスの公表があった場合は、対象期間中に送信したファイルを確認する。
  10. 個人データの漏えいまたはそのおそれがある場合は、個人情報保護委員会への報告要否を確認する。

ポイントは、細かすぎるルールにしないことです。
担当者が迷った時に、「何を使ってよいか」「誰に確認すればよいか」「記録を残すべきか」が分かる内容にすることが大切です。

もし利用中のサービスで事故が公表されたら

自社が利用しているファイル転送サービスやクラウドストレージで不正アクセスや障害が公表された場合は、次の順番で確認します。

  1. 自社が対象サービスを利用しているか
  2. 対象期間中にファイルをアップロードしたか
  3. アップロードしたファイルに何が含まれていたか
  4. 個人情報、取引先秘密情報、契約情報、認証情報が含まれていないか
  5. 送信先、ダウンロード状況、共有期限を確認できるか
  6. 共有リンクやパスワードを無効化できるか
  7. 取引先への連絡が必要か
  8. 個人情報保護委員会等への報告が必要か
  9. 代替手段を利用する場合、社内承認を得ているか
  10. 対応内容を時系列で記録しているか

NTTPCのWebARENA事案では、同社が対象顧客へ個別に連絡すること、また個別連絡には契約IDを記載し、フィッシング等の不審なメールとの見間違い防止のため送信元や内容を確認するよう案内されています。
このような連絡を受けた場合は、メールの内容だけで判断せず、公式サイトやサポート窓口でも確認することが重要です。

まとめ

大容量ファイル転送サービスが止まった時に、最も避けたいのは、社員ごとに別々の方法でファイルを送り始めることです。

中小企業が最低限決めておきたいのは、次の5つです。

  1. 会社として使ってよい代替サービスを決める
  2. 個人アカウントや未承認サービスでの送信を禁止する
  3. 重要情報や個人情報を送る時の確認手順を決める
  4. 共有リンクの有効期限、閲覧者、パスワード連絡方法を決める
  5. 送信記録と誤送信時の連絡ルールを残す

ファイル転送サービスは便利ですが、止まった時の代替ルールがなければ、現場はメール添付、私用ストレージ、無料サービスに流れがちです。

業務を止めないことは大切です。
しかし、急ぎの対応ほど、情報漏えいを起こしやすくなります。

今回のような事案をきっかけに、自社で使っているファイル送信方法を一覧にし、**「止まった時に何を使うか」「誰が判断するか」「何を送ってはいけないか」**を決めておくことをおすすめします。

ライトハウスコンサルタントでは、中小企業向けに、ファイル送信ルール、クラウドストレージ利用ルール、個人情報ファイルの取扱い、委託先・取引先とのデータ授受ルールの整備を支援しています。まずは、自社で使っているファイル転送サービスとクラウドストレージを一覧化するところから始めてください。