問題

暗号化zipを添付したメールを送り、そのパスワードを別のメールで送る手法の問題点。
・暗号化zipを同じ経路で送っているので盗聴されるとパスワードも盗聴される。
※マルウェアの危険性や、操作に手間がかかることについては、改善した手段でもあまり変わらない。
※暗号化zipを総当たり攻撃で解析される危険もあるが、そもそもzipを入手されるときパスワードも入手される可能性が大きい。

ベストプラクティス

改善するベストな方法は「添付をWebストレージに配置して送付先ユーザに読取権限を設定し、その公開URLを同じメールで送る」こと。
現実的にはアカウントをを持たない人がほぼ居ないMicrosoftOneDriveを利用するのがよいと思う。
以下のパターンを考えてみて、この手法がよいと判断した。

                          別メールでパスワード通知    電話やチャットでパスワード通知      Webストレージ権限設定
------------------------- --------------------------- ----------------------------------- ----------------------
メール添付                × PPAP                     △ ※1                              × 不可能
ストレージ配置            × PPAPと変わらない         △ ※1                              ○ ※2

※1 電話やチャットで通知するのは自動化困難。将来伝えたパスワードを忘れると、添付ファイルを参照できなくなる。
※2 相手がWebストレージサービスのアカウントを持っている必要あり。※1よりは危険性が少ないがストレージ側のファイルを消すと参照できなくなる。