• （ア）脆弱性関連情報（脆弱性情報、検証方法、攻撃方法）
• （イ）脆弱性の概要
• （ウ）対策方法（回避方法、修正方法）
• （エ）対応状況（脆弱性に関する対策の策定に要する期間や公表日時の情報等）
• （オ）脆弱性情報の統計情報
• （カ）脆弱性を有するウェブサイトに関する情報（ウェブサイトの名称を含む）

IPAセキュリティセンターは、ソフトウエア製品およびウェブサイトの脆弱性が一般に公開され る前にソフトウエア製品開発者およびウェブサイト運営者に連絡して迅速な修正を促すことを目的として、経済産業省告示に基づき指定された業務の遂行に必要 な脆弱性関連情報等を収集します。 IPAセキュリティセンターはソフトウエア製品開発者およびウェブサイト運営者への脆弱性関連情報の通知、脆弱性の分析、対応状況および定期的な統計情報 の公表のために、脆弱性関連情報等の一部もしくは全てを利用します。これら以外の目的には利用しません。

ソフトウエア製品の脆弱性関連情報等については、以下の関係者のみが利用可能です。

• 発見者
• 調整機関である一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
• ソフトウエア製品開発者
• IPAセキュリティセンター

ウェブサイトの脆弱性関連情報については、以下の関係者のみが利用可能です。

• 発見者
• ウェブサイト運営者
• IPAセキュリティセンター

IPAセキュリティセンターは、脆弱性関連情報については、製品開発者あるいはウェブサイト運営者の書面による承諾がない場合には、第三者にこれを開示しません。 ただし、製品の脆弱性関連情報については、JPCERT/CCおよびIPAセキュリティセンターが信頼に足ると判断し守秘義務契約を結んだ外部委託先に開示することがあります。
また、すでに公表されていることが客観的に立証できる情報については開示することがあります。

なお、上記「（ア）脆弱性関連情報」のうち、検証方法、攻撃方法については、公開せず機密として取扱います。脆弱性情報については基本的に機密として取扱いますが、普及啓発のために、脆弱性の詳細が特定されない形式で利用することがあります。

「（イ）脆弱性の概要」、「（ウ）対策情報（回避方法、修正方法）」、「（エ）対応状況（脆弱性に関する対策の策定に要する期間や公表日時の情報等）」については、対策情報が公開された時点より、公開情報として取扱います。

「（オ）脆弱性情報の統計情報」については、公表した時点より公開情報として取扱います。

「（カ）脆弱性を有するウェブサイトに関する情報（ウェブサイトの名称を含む）」については、公開せず機密として取扱い、統計情報の作成のために用います。統計情報の作成のために使用する場合は個々のウェブサイトが特定されない形式で使用します。

IPAセキュリティセンターは、その管理下にある脆弱性関連情報等の紛失、誤用、改変を防止するために、厳重なセキュリティ対策を実施します。 IPAセキュリティセンターにおいては担当職員以外による参照を禁じます。

脆弱性関連情報は、IPAセキュリティセンターが管理する区画の外に持ち出されることはありません。電子データについては、IPAセキュリティセンターの担当職員以外は参照できないような処置を講じます。FAX等の印刷物については施錠可能な収納庫に保管し利用記録等による管理を行います。

情報処理推進機構（IPA）セキュリティセンター　センター長
〒113-6591　東京都文京区本駒込2-28-8

脆弱性関連情報等の取扱い方針については、下記メールアドレスまでお問合せ下さい。

電子メールアドレス：