社外向けメールの添付ファイル暗号化について
当社はISO27001を認証取得しているのですが、現在社外向けに送信するメールに添付ファイルを付ける場合、客先に合意を得たうえで、暗号化ソフトを利用して暗号化することをルール付けています。
(添付ファイル情報の機密性が低くてもすべて暗号化としています。)
ただ、実際添付ファイルを暗号化で送付されることを嫌がる客先も多いです。
例えば客先から要求があった場合のみ暗号化を実施するようなルールに変更した場合、管理策10.8.4の「電子的メッセージ通信」等に抵触して、審査時に指摘されたりする可能性はあるでしょうか?
JISQ27002の実施の手引きの中にも気になる部分があるため、判断に悩んでいます。
お手数をおかけしますが、よろしくお願い致します。
審査員によっても異なりますので絶対とは言えませんが、規定書やリスクアセスメントの結果(記録)に「機密性が低い場合には適用しない」、「顧客の同意が得られている場合には適用しない」などの正当な理由での例外事項を明記し、その旨を審査員にを説明すれば指摘はされないかと思います。
ちなみに、今まで弊社が支援させていただいたお客様の中で、審査においてそのような対応で指摘を受けたケースはございません。
