IPA・経済産業省ら、脆弱性情報取扱いに関するお願い

脆弱性情報取扱いに関する呼びかけ

経済産業省、独立行政法人情報処理推進機構（IPA）、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）、国家サイバー統括室は、国内における脆弱性関連情報を取り扱うすべての関係者に向けて、「情報セキュリティ早期警戒パートナーシップガイドライン」に則した対応を求める旨を発表した。
今回の呼びかけは、近年の報道やSNSにおける脆弱性情報の取扱いを踏まえたものであり、情報の適切な管理と責任ある開示を徹底するよう要請している。

脆弱性関連情報と取扱規程

経済産業省は、ソフトウェア等の脆弱性を悪用した不正アクセスやウイルス被害を防止するため、平成29年に「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」（経済産業省告示第19号）を制定している。
この規程では、脆弱性やその検証・攻撃方法などに関する情報を「脆弱性関連情報」と定義し、適切に取り扱うことを求めている。

ガイドラインの策定と目的

同規程を踏まえ、IPA、JPCERT/CC、JEITA、SAJ、JISA、JNSAが共同で「情報セキュリティ早期警戒パートナーシップガイドライン」を策定している。
このガイドラインは、脆弱性関連情報が無関係な第三者に漏れないよう、関係者間での適切な管理と調整を推奨している。製品開発者やウェブサイト運営者が対策を実施した後に情報を公表する仕組みにより、被害拡大のリスクを低減することを狙いとしている。

発見者への呼びかけ

脆弱性を発見した場合は、受付機関であるIPAへ届け出を行い、正当な理由がない限り第三者に開示しないことが求められている。
もし正当な理由により開示が必要となる場合も、事前にIPAに相談するよう要請されている。調査や報告は社会的に有用とされる一方、その管理や開示態度において誠実さが求められるとしている。

製品開発者・報道機関への要請

製品開発者やウェブサイト運営者には、責任ある情報開示の実践と、関係者との協調・協力が求められている。
さらに、報道機関や産業界に対しても、公表前の脆弱性情報の取扱いには慎重さが必要であると強調。SNSや報道を通じて第三者に不用意に開示することを控えるよう呼びかけている。

今後の対応と制度改正

IPAは従来から「情報システム等の脆弱性情報の取扱いに関する研究会」を開催し、課題や改善事項を議論してきた。今後も同研究会を通じて、最近の報道等の事例を踏まえた議論を継続する予定である。
加えて、令和7年5月16日に成立した「サイバー対処能力強化法」により、制度施行後は内閣総理大臣および所管大臣の下で脆弱性対応の強化が進められる。この改正を受け、情報取扱いの仕組みについても必要な見直しが検討される見通しだ。

出典：国内における脆弱性関連情報を取り扱う全ての皆様へ – 情報セキュリティ早期警戒パートナーシップガイドラインに則した対応に関するお願い –
IPA 情報セキュリティ早期警戒パートナーシップガイドラインに則した対応に関するお願い