社外向けメールの添付ファイル暗号化について
当社はISO27001を認証取得しているのですが、現在社外向けに送信するメールに添付ファイルを付ける場合、客先に合意を得たうえで、暗号化ソフトを利用して暗号化することをルール付けています。
(添付ファイル情報の機密性が低くてもすべて暗号化としています。)
ただ、実際添付ファイルを暗号化で送付されることを嫌がる客先も多いです。
例えば客先から要求があった場合のみ暗号化を実施するようなルールに変更した場合、管理策10.8.4の「電子的メッセージ通信」等に抵触して、審査時に指摘されたりする可能性はあるでしょうか?
JISQ27002の実施の手引きの中にも気になる部分があるため、判断に悩んでいます。
お手数をおかけしますが、よろしくお願い致します。
ご質問ありがとうございます。一律の暗号化ルールが取引先様の利便性を損ねている場合、ルールの柔軟化を検討するのはISMSの「可用性」や「利害関係者の満足」の観点からも妥当な判断です。
最新規格における管理策の解釈と、審査で指摘を受けないためのポイントを整理しました。
1. 管理策「5.14 情報の転送」における考え方
ご質問にある旧管理策10.8.4(電子的メッセージ通信)は、最新のJIS Q 27001:2023では「5.14 情報の転送」に統合・整理されています。
この管理策が求めているのは「一律の暗号化」ではなく、「転送中の情報を保護するための適切なトピック別方針、手続き又は管理策」を備えることです。つまり、以下の根拠が明確であれば、ルールの変更(緩和)によって直ちに審査で指摘される可能性は低いと言えます。
- リスクアセスメントに基づく判断:
すべての情報に一律の対策を施すのではなく、情報の機密性(重要度)に応じて対策を変えることは、ISMSの本来のあり方です。 - 顧客要求事項の優先:
顧客から「暗号化をしないでほしい」という明確な要望(合意)がある場合、それは立派な運用の根拠となります。
2. 審査で指摘されないための「3つの対策」
「客先から要求があった場合のみ暗号化する」というルールへ変更する際は、以下の準備を行っておくことで、審査員へ論理的な説明が可能になります。
- 規定への明文化:
「重要資産を外部に送信するときは暗号化をする」といった、対象を限定する表現に規定を改定します。 - 例外処理の定義:
「顧客の指定する受領方法がある場合、または事前の合意がある場合は、その方法に従うことができる」といった除外規定を盛り込みます。 - リスクの受容:
暗号化せずに送付する場合のリスク(盗聴等)を組織として認識し、それでも顧客の利便性を優先するという判断を「リスク対応計画」等で明確にしておきます。
3. 弊社サンプル文書集における規定例
弊社のサンプル文書集では、運用管理規程において以下のように「情報の重要性」に応じた柔軟な運用を想定した構成をとっています。
- 情報セキュリティ運営管理規程(11.3 電子的メッセージ通信):
「重要資産を外部に送信するときは暗号化をする」と規定しています。これは、機密性が低い情報まで一律に縛るのではなく、資産価値に応じた保護を求めているものです。 - 具体的な手順の反映:
宛先確認の徹底や、必要に応じたVPN接続、電子署名の活用など、暗号化以外の保護手段も組み合わせて「適切な保護」を実現することを推奨しています。
4. 実務的なアドバイス
実際、弊社が支援させていただいたお客様の中でも、「機密性が低い場合には適用しない」「顧客の同意がある場合は例外とする」といった運用で指摘を受けたケースはございません。
ただし、「どのような基準で機密性の高低を判断するのか」という点だけは、内部監査等で答えられるようにしておく(例:社外秘以上のラベルがあるものは必須、等)と、より審査員の納得度が高まります。
まずは、規定上の「すべて暗号化」という文言を、弊社のサンプル文書にあるような「重要資産(または特定の機密区分)を送信するとき」という表現に調整し、実態に合わせた運用へシフトされることをお勧めいたします。
