結論としては入退室記録がマストというわけではありません。A.7.2のリスク対応は複数の候補があり、状況に応じて取捨選択することもあります。SecureNaviのプリセットでは以下を用意しています。

• 管理策：A.7.2 物理的入退
• 管理策詳細：セキュリティを保つべき領域は、適切な入退管理策及びアクセス場所（受付など）によって保護しなければならない。
• リスク：不正侵入による情報漏えい
• リスク対応1：無人状態になる場合は、時間帯に限らず、必ず出入口の施錠を行う。
• リスク対応2：入退室管理システムや電子錠を利用し、オフィスへの入退室ログを取得する。
• リスク対応3：執務エリアは、来客を含めた従業者以外の入室は原則禁止する。入室の必要がある場合は、従業者が必ず帯同する。
• リスク対応4：サーバエリアに入室する場合は、入退室の記録を取得する。
• リスク対応5：荷物の受け取りは来客エリアで行い、宅配スタッフが執務室に入室しないようする。やむを得ず入室する場合は、必ず従業者が帯同する。

上記のように、一般的に実施されている5つのリスク対応を用意しています。「情報漏洩」のリスクを防ぎたいので、「セキュリティを保つべき領域」がどれほどの機密性を求められるかを勘案して、取捨選択いただいて構いません。

審査員からはオフィスレイアウト図やサイトツアー（サイトレビュー）を踏まえて「記録をとることが望ましい」などのアドバイスはあるかもしれませんが、リスクの大きさに対して適切な対応ができている、もしくは対応時期やコストの調整計画などが説明可能であれば、その対応だけをもって認証取得には影響しないことがほとんどです。