社外向けメールの添付ファイル暗号化について
当社はISO27001を認証取得しているのですが、現在社外向けに送信するメールに添付ファイルを付ける場合、客先に合意を得たうえで、暗号化ソフトを利用して暗号化することをルール付けています。
(添付ファイル情報の機密性が低くてもすべて暗号化としています。)
ただ、実際添付ファイルを暗号化で送付されることを嫌がる客先も多いです。
例えば客先から要求があった場合のみ暗号化を実施するようなルールに変更した場合、管理策10.8.4の「電子的メッセージ通信」等に抵触して、審査時に指摘されたりする可能性はあるでしょうか?
JISQ27002の実施の手引きの中にも気になる部分があるため、判断に悩んでいます。
お手数をおかけしますが、よろしくお願い致します。
審査員によっても異なりますので絶対とは言えませんが、規定書やリスクアセスメントの結果(記録)に「機密性が低い場合には適用しない」、「顧客の同意が得られている場合には適用しない」などの正当な理由での例外事項を明記し、その旨を審査員にを説明すれば指摘はされないかと思います。
ちなみに、今まで弊社が支援させていただいたお客様の中で、審査においてそのような対応で指摘を受けたケースはございません。
最新規格に対応したISMSやPマーク、ISO9001のマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売。取得及び構築支援として、無料にてメールサポートの実施。
経歴
- 提供年数:2000年から現在までの25年間
- 利用者数:5,000件以上
- 提供先業種:各種企業及び団体、ISOコンサルタント、審査員、審査員研修機関など
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
