メールに請求書を添付して送ってもセキュリティ的に大丈夫でしょうか

取引先とメールで書類をやり取する際に、メールでパスワード付きのZipファイルを送ったり、別メールでパスワードを送るという方式（PPAP）が一般的に行われていますが最近ではその問題について指摘がされています。
日本政府もPPAPの廃止を表明するなど、世の中的にも廃止の流れにあります。

invox受取請求書で利用している受信メールサーバは暗号化に対応しているため、送信側のメールサーバが暗号化に対応している場合はメールサーバ間の通信は暗号化されます。
また、送信メールサーバの90%以上は暗号化に対応しているという調査レポートもあり、一般的なセキュリティの対策を行っている事業者とのやりとりであればメールサーバ間の通信については安心できる状態と言えます。

残るメールクライアントとメールサーバ間においてもSTARTTLSなどの暗号化対策が行われていればメールの経路について安心できます。
現在メールクライアントとメールサーバ間でSMTPを利用されている場合はSTARTTLS等の暗号化に対応した仕組みの利用をお勧めします。

参考：STARTTLSとは？ メール暗号化の仕組みやメリットについて解説

PPAPの課題や問題点については下記をご覧ください。

PPAP形式の問題点

メールが盗み見される可能性

ファイルが添付された1通目のメールと、パスワードの記載された2通目のメールが同じ経路で送られる場合、1通目が盗み見された場合は2通目も盗み見できる状態にある可能性が高く、分けて送る事によるセキュリティ効果はほとんど期待できません。

ウイルスチェックができない

セキュリティ製品の多くはメールの添付ファイルをスキャンしますが、パスワード付きのZipファイルの中身はスキャンができないため、セキュリティリスクが高まります。

ZIPパスワードの脆弱性

ZIPファイルの暗号は何度でも入力可能なため、専用のツールと時間さえかければ突破可能です。

業務効率の低下

送信側はサービスによって自動化されている場合もありますが、受信側ではメールを2通確認してパスワードを入力して解凍する手間が発生するため業務効率が低下します。

PPAP形式に変わる対策

2段階認証

いくつかのサービスでは受信側にリンク付きのメールが送られ、リンクから二段階認証を経て請求書等がダウンロードできる仕組みを導入しています。
セキュリティは高まりますが受信側の手間が多く自動化も難しくなります。

PDFにパスワードを付ける

PDFに直接パスワードをかける方式では、パスワードの受け渡しというPPAPの課題を解決できておらず、参照の都度パスワードを求められるなどより多くの手間が発生します。
またパスワードを共有可能な状態で残しておかないと担当者が変わると参照できなくなってしまうなどの問題があります。