脆弱性開示ポリシー

1.目的

本ポリシーは、当社が提供する製品およびサービスにおける潜在的なセキュリティ脆弱性を、独立したセキュリティ研究者、お客様、パートナー、およびその他の利害関係者（以下「報告者」といいます。）から適切に受け付け、評価し、対応するための手順と原則を定めるものです。これにより、当社の製品・サービスのセキュリティ品質を向上させ、お客様に安心してご利用いただける環境を維持することを目的とします。

2.本ポリシーの適用範囲

本ポリシーは、以下の当社の製品およびサービスに適用されます。

1. 当社が開発・提供するソフトウェア（アプリケーション、ファームウェアなど）
2. 当社が開発・提供するハードウェア
3. 当社が運営・管理するウェブサイトおよびウェブサービス
4. 当社が提供するクラウドサービス
5. その他、当社が責任を負う情報システム

3.脆弱性報告の遵守事項

脆弱性報告者は、以下の事項を遵守して報告してください。

1. 非開示の原則
   脆弱性を発見した場合、速やかに当社に報告をお願いします。当社から脆弱性に対する方針を公開する前に、当該脆弱性を第三者に開示しないでください。
2. 非侵害の原則
   脆弱性の検証や特定のために、当社のシステムやデータに損害を与える行為、不正アクセスまたはサービスを妨害する行為、脆弱性の悪用による情報の窃取や改ざん等を行わないでください。
3. プライバシーの尊重
   他のお客様やユーザーのデータ、個人情報、機密情報へのアクセスや開示は行わないでください。
4. 法令の遵守
   脆弱性の調査および報告において、適用されるすべての法令を遵守してください。
5. 明確な情報提供
   脆弱性の再現手順、影響範囲、および発見した環境（OS、ブラウザ、バージョン等）を具体的に記述してください。

4.脆弱性報告の手順

脆弱性の報告は、脆弱性報告専用フォームから下記の情報をご提供ください。

1. 報告者の氏名
2. 所属する団体・企業名
3. 所属する部署・役職
4. 連絡先メールアドレス
5. 発見日時
6. 対象となる製品・サービス名およびバージョン
7. 脆弱性の内容
8. 脆弱性再現性の有無
9. 脆弱性再現手順
10. その他関連情報

※ご提供いただいた情報は、当社プライバシーポリシーに基づき取り扱います。
※情報が不足している場合は、追加情報の提供をお願いする場合があります。

5.当社の脆弱性への対応手順

当社にご提供いただいた脆弱性情報は、製品・サービスのセキュリティ向上を図るため、当社開発部門のセキュリティアップデート優先度決定方針に基づき対応いたします。脆弱性の深刻度は、既存の共通フレームワーク等を用いて評価し、お客様への影響や攻撃の可能性、対応の実現可能性などを総合的に考慮して、対応方針の決定・および施行をします。

6.脆弱性情報の公開

脆弱性に関する情報は、関連する各方面と慎重に調整を行った上で、当社の公式ホームページを通じて公開いたします。

7.報告者への免責事項

製品・サービスのセキュリティ向上に貢献する善意に基づいた脆弱性報告を受領した際は、当社は報告者に法的責任を問わないことを原則といたします。但し、本ポリシーに則らない脆弱性報告、または当社のシステムに損害を与える意図を持った行為に対しては、関連法規に基づき対応する場合があります。

8.ポリシーの改定

本ポリシーの内容は、予告なく変更、修正、削除する場合がございます。