(ソフトウエア製品等の脆弱性関連情報に関する取扱規程)一 / 一五
○しろまるソフトウエア製品等の脆弱性関連情報に関する取扱規程(平成二十九年二月八日制定(平成二十九年経済産業省告示第十九号))(令和六年六月十八日一部改正(令和六年経済産業省告示第九十三号))(ソフトウエア製品等の脆弱性関連情報に関する取扱規程) 二 / 一五
ソフトウエア製品等の脆弱性関連情報に関する取扱規程
第1 総則
1 目的
本規程は、
サイバーセキュリティの確保のため、
ソフトウエア製品等の脆弱性関連情報を取り扱う者に推奨する行為を定めることにより、
コンピュータウイルス、コンピュータ不正アクセス等によって不特定又は多数の者に対して引き起こされる被害を予防し、これらへの対策
を講じ、もって情報の適切な流通の促進を図り、経済社会の活力の向上及び持続的発展並びに国民が安全で安心して暮らせる社会の実現に
資することを目的とする。
2 趣旨
本規程は、ソフトウエア製品及びウェブアプリケーションに係る脆弱性関連情報等の取扱いに必要な事項を定めるものとする。
3 定義
本規程における用語の意義は、次に定めるところによる。
(1) ソフトウエア製品
ソフトウエア又はそれを組み込んだハードウエアであって、汎用性を有する製品をいう。
(2) ウェブアプリケーション
インターネット上のウェブサイトで稼働する固有のシステムをいう。
(3) 脆弱性
コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所(ウェ
ブアプリケーションにあっては、アクセス制御機能により保護すべき情報等に不特定又は多数の者がアクセスできる状態を含む。)をい
う。
(4) 脆弱性情報
脆弱性の性質及び特徴を示す情報をいう。
(5) 脆弱性関連情報
次に掲げるものをいう。
(ソフトウエア製品等の脆弱性関連情報に関する取扱規程) 三 / 一五
1 脆弱性情報
2 脆弱性が存在することを検証する方法
3 脆弱性を悪用するプログラム、指令又はデータ及びそれらの使用方法
(6) コンピュータウイルス
コンピュータウイルス対策基準(平成7年通商産業省告示第429号)2.(1)に規定する「コンピュータウイルス」をいう。
(7) コンピュータ不正アクセス
不正アクセス行為の禁止等に関する法律(平成11年法律第128号)第2条第4項に規定する「不正アクセス行為」をいう。
(8) 発見者
脆弱性関連情報を発見又は取得した者をいう。
(9) 受付機関
脆弱性関連情報の届出を取り扱う機関(ソフトウエア製品に係る届出を取り扱う場合にあっては、調整機関と製品開発者との間の公表
に係る調整が不可能な脆弱性情報について、公表の可否の判定を行うものに限る。)として、経済産業大臣の定めるものをいう。
(10) 公表判定委員会
法律又はサイバーセキュリティに関する専門的な知識経験を有する者(判定を行う脆弱性情報に関し利害関係を有しない者に限る。)
により構成される機関として、受付機関が設置するものをいう。
(11) 調整機関
ソフトウエア製品の脆弱性関連情報について、製品開発者への連絡及び公表に係る調整を行う機関として、経済産業大臣の定めるもの
をいう。
(12) 製品開発者
次のいずれかに該当する者をいう。
1 ソフトウエア製品を開発した者
2 ソフトウエア製品の加工、輸入、販売又は頒布する者であって、当該者の性質及び態様その他の事情に照らして、当該ソフトウエア
製品を実質的に開発した者と認められる者
(ソフトウエア製品等の脆弱性関連情報に関する取扱規程) 四 / 一五
(13) ウェブサイト運営者
ウェブサイトを運営する者をいう。
(14) 届出
発見者が行うソフトウエア製品又はウェブアプリケーションの脆弱性関連情報に係る届出をいう。
(15) 対策方法
脆弱性に起因して生じる影響を回避し、又は脆弱性を修正する方法をいう。
(16) 脆弱性検証
脆弱性の有無及び新規性を検証することをいう。
4 本規程の適用範囲
本規程は、
日本国内で利用されているソフトウエア製品又は主に日本国内からのアクセスが想定されているウェブサイトで稼働するウェ
ブアプリケーションに係る脆弱性であって、その脆弱性に起因する影響が不特定又は多数の者に及ぶおそれのあるものに適用する。
第2 ソフトウエア製品に係る脆弱性関連情報に関する取扱い
1 手続の概要
ソフトウエア製品に係る脆弱性関連情報の取扱いについての手続の概要は次のとおりとする。
1 発見者(自ら開発等を行ったソフトウエア製品に係る脆弱性関連情報(脆弱性に起因する影響が自ら開発等を行ったソフトウエア製品
にとどまるものに限る。)を発見又は取得した製品開発者を除く。
以下本章において同じ。)は、
受付機関に脆弱性関連情報を届け出る。
2 受付機関は、届出を受理したときは、調整機関に脆弱性関連情報を速やかに通知する。
3 調整機関は、製品開発者に受付機関から通知された脆弱性関連情報を速やかに通知するとともに、当該製品開発者に脆弱性検証の結果
の報告を求める。
4 調整機関は、脆弱性情報を公表する日(以下「脆弱性情報公表日」という。)を定める。
5 製品開発者は、脆弱性情報公表日までに、対策方法を作成する。
6 受付機関及び調整機関は、脆弱性情報公表日に、脆弱性情報、脆弱性検証の結果、対策方法及び対応状況(以下「脆弱性情報等」とい
う。)について、インターネット等を通じて公表する。
(ソフトウエア製品等の脆弱性関連情報に関する取扱規程) 五 / 一五
7 前号の規定にかかわらず、受付機関又は調整機関は、製品開発者から自ら開発等を行ったソフトウエア製品に係る脆弱性関連情報(脆
弱性に起因する影響が自ら開発等を行ったソフトウエア製品にとどまるものに限る。)及び対策方法の通知を受けたときは、脆弱性情報
公表日を定め、脆弱性情報及び当該対策方法について、インターネット等を通じて公表する。公表に先立って、調整機関は、製品開発者
から脆弱性情報公表日に係る意見を聴取する。
2 具体的な手続及び行動指針
発見者、受付機関、調整機関及び製品開発者における具体的手続及び行動指針は次のとおりとする。
(1) 発見者
ア 発見者は、
受付機関に発見又は取得した脆弱性関連情報を届け出ること。
その際、
製品開発者に同じ内容を通知することを妨げない。
イ 届出書には、次に掲げる事項(以下本章において「届出事項」という。)を記載すること。
1 氏名等の発見者を識別するための情報
2 電子メールアドレス等の発見者の連絡先
3 1及び2の製品開発者への通知の許否
4 製品開発者から直接連絡を受けることの許否
5 1の公表の許否
6 脆弱性関連情報に係るソフトウエア製品の名称
7 脆弱性関連情報の内容
ウ 発見者は、違法な方法により脆弱性関連情報を発見又は取得しないこと。
エ 発見者は、脆弱性情報公表日まで、脆弱性関連情報が第三者に漏えいしないよう適切に管理すること。
オ 発見者は、正当な理由がない限り、第三者に脆弱性関連情報を開示しないこと。正当な理由により開示するときは、あらかじめ受付
機関に問い合わせること。
(2) 受付機関
ア 届出の取扱い及び脆弱性情報の公表に係る手続及び行動指針
(ア) 受付機関は、発見者による届出が次に掲げる事項のいずれにも該当するときは、これを受理し、発見者に届出を受理した旨を通
(ソフトウエア製品等の脆弱性関連情報に関する取扱規程) 六 / 一五
知すること。また、届出を不受理としたときは、発見者にその旨及びその理由を通知すること。
1 届出事項を全て記載していること。
2 本規程の適用範囲内であること。
3 既に公表されている脆弱性情報に関する脆弱性関連情報でないこと。
(イ) 受付機関は、届出を受理したときは、調整機関に脆弱性関連情報を速やかに通知すること。
(ウ) 受付機関は、届出に係る脆弱性関連情報が次のいずれかに該当することが明らかになったときは、当該届出に係る処理を取りや
めることができる。処理を取りやめるときは、発見者にその旨及びその理由を通知すること。
1 脆弱性関連情報に該当しないこと。
2 本規程の適用範囲外であること。
3 脆弱性に起因する影響が生じるおそれが著しく低いこと。
4 脆弱性関連情報が既知であり、かつ、脆弱性情報等が既に公表されていること。
5 違法な方法により発見又は取得されたおそれがあること。
(エ) 受付機関は、発見者から問合せを受けたときは、調整機関と協議した上で、適切な情報を提供すること。その際、発見者の本人
確認に留意すること。
(オ) 受付機関は、発見者に係る情報を適切に管理し、当該発見者の同意がない限り、第三者(調整機関及び公表判定委員会を含む。)
に開示しないこと。
(カ) 受付機関は、脆弱性情報公表日まで、脆弱性関連情報が第三者に漏えいしないよう適切に管理すること。
(キ) 受付機関は、正当な理由がない限り、第三者に脆弱性関連情報を開示しないこと。ただし、脆弱性検証又は脆弱性に起因する影
響その他の脆弱性に関する情報の確認のために専門的な能力が必要であるときは、当該能力を有する第三者(脆弱性関連情報を適
切に管理できる者に限る。)に対し当該脆弱性関連情報を提供し、又はその分析を依頼することができる。
(ク) 受付機関は、対策方法が作成された日から脆弱性情報公表日までの間であって、国民の日常生活に必要不可欠なサービスを提供
するための基盤となる設備に脆弱性に起因する重大な影響が及ぶおそれがあると認められるときは、調整機関及び調整機関を経由
して製品開発者と協議をした上で、政府機関や当該設備を用いる事業者等(脆弱性情報等を適切に管理できる者に限る。)に当該
(ソフトウエア製品等の脆弱性関連情報に関する取扱規程) 七 / 一五
脆弱性情報等をあらかじめ通知することができる。ただし、調整機関が政府機関又は当該設備を用いる事業者等(脆弱性情報等を
適切に管理できる者に限る。)に通知するときは、受付機関は、当該政府機関又は当該設備を用いる事業者等に対し通知しないも
のとする。
(ケ) 受付機関は、受付機関又は調整機関が、政府機関や事業者等に脆弱性情報等をあらかじめ通知する場合には、発見者にその旨を
通知すること。
(コ) 受付機関は、脆弱性情報公表日に、脆弱性情報等について、インターネット等を通じて公表するとともに、発見者にその旨を通
知すること。
(サ) 前号の規定にかかわらず、受付機関は、製品開発者から自ら開発等を行ったソフトウエア製品に係る脆弱性関連情報(脆弱性に
起因する影響が自ら開発等を行ったソフトウエア製品にとどまるものに限る。)及び対策方法の通知を受けたときは、脆弱性情報
公表日に、脆弱性情報及び当該対策方法について、インターネット等を通じて公表すること。
(シ) 受付機関は、四半期ごとに、脆弱性関連情報の届出状況等を公表すること。
イ 公表に係る調整が不可能な脆弱性情報の公表の可否の判定に係る手続及び行動指針
(ア) 受付機関は、調整機関から、製品開発者との公表に係る調整が不可能である旨の通知を受けたときは、公表判定委員会に対し、
脆弱性情報の公表の可否の判定を求め、これを得ること。ただし、当該通知を受けた後に、製品開発者の連絡先に係る情報の提供を
受けたときその他の製品開発者との調整が可能となったときは、この限りでない。その際、調整機関に製品開発者との脆弱性情報の
公表に係る調整を再度行うよう通知すること。
(イ) 公表判定委員会は、次に掲げる事項のいずれにも該当するときに限り、脆弱性情報を公表する旨の判定をすることができる。
1 調整機関と製品開発者との間の脆弱性情報の公表に係る調整が不可能であること。
2 脆弱性の存在が認められること。
3 受付機関が公表しない限り、脆弱性情報を知り得ない製品利用者がいるおそれがあること。
4 製品開発者や製品利用者の状況等を総合的に勘案して、公表が適当でないと判断する理由及び事情がないこと。
(ウ) 公表判定委員会は、判定をするときは、製品開発者(連絡を取ることができない者を除く。(オ)、(コ)、(サ)及び(シ)において同じ。)が意見を表明する機会を確保すること。
(ソフトウエア製品等の脆弱性関連情報に関する取扱規程) 八 / 一五
(エ) 受付機関は、(イ)に掲げる事項のいずれにも該当するときに限り、公表判定委員会の判定を踏まえ、脆弱性情報を公表する旨の判
定をすることができる。
(オ) 受付機関は、判定をしたときは、調整機関及び製品開発者にその結果及びその理由を通知すること。
(カ) 受付機関は、公表しない旨の判定をした場合において、脆弱性情報の公表に係る調整が可能なときは、調整機関に製品開発者と
の脆弱性情報の公表に係る調整を再度行うよう通知すること。
(キ) 受付機関は、脆弱性情報を公表しない旨の判定をしたときは、発見者にその旨及びその理由を通知すること。ただし、脆弱性情
報の公表に係る調整が可能なときは、この限りでない。
(ク) 受付機関は、脆弱性情報を公表する旨の判定をしたときは、公表に係る手続が第2の規定に適合していることについて、あらか
じめ経済産業大臣の確認(脆弱性に起因する被害等の影響が及ぶおそれのある範囲等を総合的に勘案して行う確認をいう。)を求め
ること。ただし、製品開発者と連絡を取ることができないときは、この限りでない。
(ケ) 受付機関は、脆弱性情報を公表する旨の判定をしたときは、脆弱性情報公表日を定めること。
(コ) 受付機関は、脆弱性情報を公表する旨の判定をしたときは、公表に先立って、製品開発者から公表の内容(脆弱性情報を含む。)
に係る見解を聴取すること。
(サ) 受付機関は、脆弱性情報を公表する旨の判定をしたときは、公表に先立って、調整機関に脆弱性情報公表日及び製品開発者から
聴取した見解を通知すること。
(シ) 受付機関は、脆弱性情報を公表する旨の判定をしたときは、脆弱性情報公表日に、脆弱性情報等のほか、製品開発者から聴取し
た見解についてもインターネット等を通じて公表するとともに、発見者にその旨を通知すること。
(3) 調整機関
ア 調整機関は、受付機関から脆弱性関連情報の通知を受けたときは、製品開発者に当該脆弱性関連情報を速やかに通知すること。併せ
て、当該製品開発者に対し脆弱性検証の結果を報告するよう求めること。
イ 調整機関は、製品開発者と連絡を取ることができないときは、当該製品開発者の名称及び脆弱性関連情報に係るソフトウエア製品の
名称をインターネット等を通じて公表することにより、公衆に対し当該製品開発者の連絡先に係る情報の提供を、当該製品開発者に対
し調整機関に連絡する旨を求めること。これにより、調整機関が当該製品開発者に前項による通知を行ったものとみなす。
(ソフトウエア製品等の脆弱性関連情報に関する取扱規程) 九 / 一五
ウ 調整機関は、製品開発者から脆弱性検証の結果について報告を受けたときは、脆弱性情報公表日を定めること。ただし、その報告を
受けて処理を取りやめるときは、この限りでない。
エ 調整機関は、脆弱性情報公表日を定めるに当たっては、製品開発者からの脆弱性検証の結果の報告を踏まえ、対策方法の作成及び海
外の調整機関との調整に要する期間並びに脆弱性情報の流出するリスク等の要素を考慮すること。ただし、脆弱性関連情報を通知した
製品開発者が複数いる場合であって、一部の製品開発者から脆弱性検証の結果の報告を得られなかったときは、得られた結果の報告を
踏まえるとともに、国内外における脆弱性情報の取扱事例も併せて考慮すること。
オ 調整機関は、脆弱性情報公表日を定めたときは、受付機関及び製品開発者に当該脆弱性情報公表日を通知すること。
カ 調整機関は、製品開発者から脆弱性情報公表日を変更したい旨の申出を受けて、当該脆弱性情報公表日を変更するときは、あらかじ
め当該製品開発者から意見を聴取すること。当該脆弱性情報公表日を変更したときは、受付機関及び製品開発者に新たに定めた脆弱性
情報公表日を通知すること。
キ 調整機関は、製品開発者から脆弱性が他のソフトウエア製品(当該製品開発者が自ら開発等を行ったものを除く。)に含まれること
が推定される旨の通知を受けたときは、当該ソフトウエア製品の製品開発者にその旨を速やかに通知し、脆弱性情報の公表に係る調整
を行うこと。
ク 調整機関は、脆弱性情報公表日までに、製品開発者に対し対策方法及び対応状況を報告するよう求めること。
ケ 調整機関は、製品開発者から次のいずれかに該当する旨の脆弱性検証の結果報告を受けたことにより調整を取りやめたときは、受付
機関にその旨及びその理由を通知すること。
1 脆弱性関連情報に該当しないこと。
2 脆弱性に起因する影響が生じるおそれがない又は著しく低いこと。
3 脆弱性関連情報が既知であり、かつ、脆弱性情報等が既に公表されていること。
コ 調整機関は、発見者に係る情報を適切に管理し、当該発見者の同意がない限り、第三者に開示しないこと。
サ 調整機関は、脆弱性情報公表日まで、脆弱性関連情報が第三者に漏えいしないよう適切に管理すること。
シ 調整機関は、正当な理由がない限り、第三者に脆弱性関連情報を開示しないこと。ただし、脆弱性検証又は脆弱性に起因する影響そ
の他の脆弱性に関する情報の確認のために専門的な能力が必要であるときは、当該能力を有する第三者(脆弱性関連情報を適切に管理
(ソフトウエア製品等の脆弱性関連情報に関する取扱規程) 一〇 / 一五
できる者に限る。)に対し当該脆弱性関連情報を提供し、又はその分析を依頼することができる。
ス 調整機関は、公表に先立って、受付機関に脆弱性検証の結果、対策方法及び対応状況を通知すること。
セ 調整機関は、対策方法が作成された日から脆弱性情報公表日までの間であって、国民の日常生活に必要不可欠なサービスを提供する
ための基盤となる設備に脆弱性に起因する重大な影響が及ぶおそれがあると認められるときは、
受付機関及び製品開発者と協議をした
上で、政府機関や当該設備を用いる事業者等(脆弱性情報等を適切に管理できる者に限る。)に当該脆弱性情報等をあらかじめ通知す
ることができる。ただし、受付機関が政府機関又は当該設備を用いる事業者等(脆弱性情報等を適切に管理できる者に限る。)に通知
するときは、調整機関は、当該政府機関又は当該設備を用いる事業者等に対し通知しないものとする。
ソ 調整機関は、製品開発者との公表等に係る調整において所在不明その他の調整の進展が見込めない事情が生じたときは、調整機関と
製品開発者との調整が不可能であるとして、受付機関にその旨を通知すること。
タ 調整機関は、受付機関から製品開発者と公表に係る調整を再度行うよう通知を受けたときは、当該製品開発者にその旨を速やかに通
知し、脆弱性情報の公表に係る調整を行うこと。
チ 調整機関は、脆弱性情報公表日に、脆弱性情報等について、インターネット等を通じて公表すること。受付機関が脆弱性情報を公表
する旨の判定をしたときは、製品開発者から聴取した公表の内容(脆弱性情報を含む。)に係る見解も、併せて公表すること。
ツ 前項の規定にかかわらず、調整機関は、製品開発者から当該製品開発者が自ら開発等を行ったソフトウエア製品に係る脆弱性関連情
報(脆弱性に起因する影響が自ら開発等を行ったソフトウエア製品にとどまるものに限る。)及び対策方法の通知を受けたときは、脆
弱性情報公表日を定め、脆弱性情報及び当該対策方法について、インターネット等を通じて公表すること。公表に先立って、調整機関
は、製品開発者から当該脆弱性情報公表日に係る意見を聴取すること。
テ 調整機関は、脆弱性関連情報を製品開発者に適切に通知するため、当該製品開発者が調整機関と連絡を取るために設置した窓口の名
称及び連絡先その他必要な事項を記載した名簿を作成すること。
(4) 製品開発者
ア 製品開発者は、調整機関と連絡を取るための窓口を設置するとともに、調整機関にその連絡先を通知すること。
イ 製品開発者は、調整機関から通知された脆弱性関連情報について、脆弱性検証を行い、調整機関にその結果を報告すること。
ウ 製品開発者は、脆弱性が他のソフトウエア製品(自ら開発等を行ったものを除く。)に含まれることが推定されるときは、調整機関
(ソフトウエア製品等の脆弱性関連情報に関する取扱規程) 一一 / 一五
にその旨及びその理由を速やかに通知すること。
エ 製品開発者は、発見者に係る情報を適切に管理し、当該発見者の同意がない限り、第三者に開示しないこと。
オ 製品開発者は、脆弱性情報公表日まで、脆弱性関連情報が第三者に漏えいしないよう適切に管理すること。
カ 製品開発者は、正当な理由がない限り、第三者に脆弱性関連情報を開示しないこと。
キ 製品開発者は、脆弱性が存在することを確認したときは、脆弱性情報公表日までに、対策方法を作成するとともに、調整機関にこれ
を報告すること。
ク 製品開発者は、脆弱性情報公表日までに、調整機関に対応状況を報告すること。
ケ 製品開発者は、脆弱性情報公表日後、製品利用者に脆弱性情報及び対策方法を周知すること。
コ 製品開発者は、自ら開発等を行ったソフトウエア製品に係る脆弱性関連情報(脆弱性に起因する影響が自ら開発等を行ったソフトウ
エア製品にとどまるものに限る。)を発見又は取得したときは、対策方法を作成するとともに、当該脆弱性関連情報及び当該対策方法
を受付機関又は調整機関に通知すること。ただし、製品利用者全員への当該脆弱性情報及び当該対策方法の通知又はその公表を行った
ときは、この限りでない。
第3 ウェブアプリケーションに係る脆弱性関連情報に関する取扱い
1 手続の概要
ウェブアプリケーションに係る脆弱性関連情報に関する取扱いについての手続の概要は次のとおりとする。
1 発見者(自ら運営するウェブサイトのウェブアプリケーションに係る脆弱性関連情報を発見又は取得したウェブサイト運営者を除く。
以下本章において同じ。)は、受付機関に脆弱性関連情報を届け出る。
2 受付機関は、届出を受理したときは、ウェブサイト運営者に脆弱性関連情報を速やかに通知するとともに、当該ウェブサイト運営者に
脆弱性検証の結果の報告を求める。
3 ウェブサイト運営者は、受付機関から脆弱性関連情報の通知を受けたときは、脆弱性を修正する。
2 具体的な手続及び行動指針
発見者、受付機関及びウェブサイト運営者における具体的な手続及び行動指針は次のとおりとする。
(1) 発見者
(ソフトウエア製品等の脆弱性関連情報に関する取扱規程) 一二 / 一五
ア 発見者は、受付機関に発見又は取得した脆弱性関連情報を届け出ること。その際、ウェブサイト運営者に同じ内容を通知することを
妨げない。
イ 届出書には、次に掲げる事項(以下本章において「届出事項」という。)を記載すること。
1 氏名等の発見者を識別するための情報
2 電子メールアドレス等の発見者の連絡先
3 1及び2のウェブサイト運営者への通知の許否
4 ウェブサイト運営者から直接連絡を受けることの許否
5 脆弱性関連情報に係るウェブアプリケーションが稼働しているウェブサイトのURL
6 脆弱性関連情報の内容
ウ 発見者は、違法な方法により脆弱性関連情報を発見又は取得しないこと。
エ 発見者は、脆弱性が修正されるまで、脆弱性関連情報が第三者に漏えいしないよう適切に管理すること。
オ 発見者は、正当な理由がない限り、第三者に脆弱性関連情報を開示しないこと。正当な理由により開示するときは、あらかじめ受付
機関に問い合わせること。
(2) 受付機関
ア 受付機関は、発見者による届出が次に掲げる事項のいずれにも該当するときは、これを受理し、発見者に届出を受理した旨を通知す
ること。また、届出を不受理としたときは、当該発見者にその旨及びその理由を通知すること。
1 届出事項を全て記載していること。
2 本規程の適用範囲内であること。
3 既に修正されている脆弱性情報に関する脆弱性関連情報でないこと。
イ 受付機関は、届出を受理したときは、ウェブサイト運営者に脆弱性関連情報を速やかに通知すること。併せて、当該ウェブサイト運
営者に対し脆弱性検証の結果を報告するよう求めること。
ウ 受付機関は、届出に係る脆弱性関連情報が次のいずれかに該当することが明らかになったときは、当該届出に係る処理を取りやめる
ことができる。処理を取りやめるときは、発見者にその旨及びその理由を通知すること。
(ソフトウエア製品等の脆弱性関連情報に関する取扱規程) 一三 / 一五
1 脆弱性関連情報に該当しないこと。
2 本規程の適用範囲外であること。
3 脆弱性に起因する影響が生じるおそれが著しく低いこと。
4 脆弱性関連情報が既知であり、かつ、脆弱性が既に修正されていること。
5 違法な方法により発見又は取得されたおそれがあること。
エ 受付機関は、発見者から問合せを受けたときは、ウェブサイト運営者と協議した上で、適切な情報を提供すること。その際、発見者
の本人確認に留意すること。
オ 受付機関は、発見者に係る情報を適切に管理し、当該発見者の同意がない限り、第三者に開示しないこと。
カ 受付機関は、脆弱性が修正されるまで、脆弱性関連情報が第三者に漏えいしないよう適切に管理すること。
キ 受付機関は、正当な理由がない限り、第三者に脆弱性関連情報を開示しないこと。ただし、脆弱性検証又は脆弱性に起因する影響そ
の他の脆弱性に関する情報の確認のために専門的な能力が必要であるときは、当該能力を有する第三者(脆弱性関連情報を適切に管理
できる者に限る。)に対し当該脆弱性関連情報を提供し、又はその分析を依頼することができる。
ク 受付機関は、ウェブサイト運営者から脆弱性を修正した旨の報告があったときは、発見者にその旨を通知すること。
ケ 受付機関は、四半期ごとに、脆弱性関連情報の届出状況等を公表すること。
(3) ウェブサイト運営者
ア ウェブサイト運営者は、受付機関と連絡を取るための窓口を設置するとともに、受付機関にその連絡先を通知すること。
イ ウェブサイト運営者は、
受付機関から通知された脆弱性関連情報について、
脆弱性検証を行い、
受付機関にその結果を報告すること。
ウ ウェブサイト運営者は、発見者に係る情報を適切に管理し、当該発見者の同意がない限り、第三者に開示しないこと。
エ ウェブサイト運営者は、脆弱性が修正されるまで、脆弱性関連情報が第三者に漏えいしないよう適切に管理すること。
オ ウェブサイト運営者は、正当な理由がない限り、第三者に脆弱性関連情報を開示しないこと。
カ ウェブサイト運営者は、脆弱性が存在することを確認したときは、当該脆弱性を修正するとともに、受付機関にその旨を報告するこ
と。
キ ウェブサイト運営者は、自ら運営するウェブサイトのウェブアプリケーションに係る脆弱性関連情報を発見又は取得したときは、当
(ソフトウエア製品等の脆弱性関連情報に関する取扱規程) 一四 / 一五
該脆弱性関連情報に係る脆弱性を修正すること。(ソフトウエア製品等の脆弱性関連情報に関する取扱規程)一五/一五附則(平成二十九年二月八日)一この告示は、公布の日から施行する。二この告示の施行前に平成二十六年経済産業省告示第百十号(ソフトウエア等脆弱性関連情報取扱基準)の規定によってした手続その他の行為であって平成二十九年経済産業省告示第十九号(ソフトウエア製品等の脆弱性関連情報に関する取扱規程。以下「新告示」という。)に相当の規定があるものは、新告示の相当の規定によってした手続その他の行為とみなす。附則(令和六年六月十八日)1この告示は、公布の日から施行する。2この告示の施行前に平成二十九年経済産業省告示第十九号(ソフトウエア製品等の脆弱性関連情報に関する取扱規程)の規定によってした手続その他の行為であってこの告示による改正後の平成二十九年経済産業省告示第十九号(ソフトウエア製品等の脆弱性関連情報に関する取扱規程。以下「新告示」という。)に相当の規定があるものは、新告示の相当の規定によってした手続その他の行為とみなす。