正当な理由ない限り脆弱性関連情報を第三者に開示せず ～「情報セキュリティ早期警戒パートナーシップガイドライン」に則した対応を呼びかけ

　経済産業省、独立行政法人情報処理推進機構（IPA）、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）、国家サイバー統括室は9月9日、国内の脆弱性関連情報を取り扱う全ての人に向けて、「情報セキュリティ早期警戒パートナーシップガイドライン」に則した対応をするよう呼びかけている。

　IPA、JPCERT/CC、一般社団法人電子情報技術産業協会（JEITA）、一般社団法人ソフトウェア協会（SAJ）、一般社団法人情報サービス産業協会（JISA）、特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）では経済産業省が制定した「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」（平成29年経済産業省告示第19号）を踏まえ、「情報セキュリティ早期警戒パートナーシップガイドライン」を策定している。

　同ガイドラインでは、発見された脆弱性関連情報が無関係な第三者に漏れないよう、発見者、IPA、JPCERT/CC、製品開発者やウェブサイト運営者等の関係者間で適切に管理され、製品開発者やウェブサイト運営者による検証・対策実施が済んだうえで公表されることで、不特定多数の人々に被害を及ぼす脆弱性が悪用される可能性を低減できるよう、関係者に推奨する行為がとりまとめられている。

　経済産業省、IPA、JPCERT/CC、国家サイバー統括室では、脆弱性を発見した場合、受付機関であるIPAに届出を行い、正当な理由がない限り脆弱性関連情報を第三者に開示せず、正当な理由により開示が必要である場合も事前にIPAに相談するよう、呼びかけている。また、製品開発者やウェブサイト運営者も同様に、責任ある情報開示とそれに向けた必要な関係者との協調・協力を呼びかけている。

　さらに報道機関やその他産業界に対し、同ガイドラインの趣旨を理解した上で、公表前の脆弱性関連情報は慎重な取扱いが必要であることを認識し、報道やSNSでの発信等を通じてむやみに第三者に開示することは控えるよう依頼している。