セッション管理をCookieStoreと呼ばれる方式にすると、まさにそういう状況になります。CookieStoreはセッションの中身を暗号化してクッキーそのものに保存する方式であり、たとえばRuby on RailsだとデフォルトのセッションストアがCookieStoreとなります。この状態で、セッション変数にメールアドレスを保存すると、結果としてクッキーにメールアドレスを暗号化して保存したことになります。

CookieStore方式の問題点は、中身が暗号化されていても、クッキーが盗まれたらそれをブラウザに゙セットすることでセッションが再開でき、保存されているメールアドレス等が画面表示されることですが、有効期間が10分ならば許容される範囲だと思います。

問題は、暗号化による保護には実装上の脆弱性が入りやすいことで、可能であればRuby on RailsのCooiteStoreなど実績のある実装を使いたいところです。

しかし、元々のご質問が「クッキーにメールアドレスを保存してよいか」という局所的なニーズであるのに対して、フレームワークとしてRailsを採用することは大きな選択であって、まさか、クッキーにメールアドレスを保存したいのでRuby on Railsを採用する、というのはありえないように思います。

それに対しては、そもそもなぜクッキーにメールアドレスを保存したいのかという詳細を伺わないと、適切な回答は難しい気がします。