2025年9月9日、経済産業省・IPA・JPCERT/CC・国家サイバー統括室は2025年9月9日、国内で脆弱性関連情報を取り扱うすべての関係者(発見者、製品開発者・Web運営者、報道機関、産業界)に対し、「情報セキュリティ早期警戒パートナーシップガイドライン」に沿った責任ある取り扱いを改めて要請しました。
概要
具体的には、脆弱性を発見した場合はIPAへの届出を行い、正当な理由なく第三者に開示しないこと、開示が必要な場合も事前にIPAへ相談すること、開発者側は検証・対策を整えた上での公表に協調すること、報道・SNS発信においては公表前情報の慎重な扱いを求めています。
併せて、今後は研究会で制度見直しを検討し、2025年5月16日に成立したサイバー対処能力強化法の施行に伴い、脆弱性対応の一層の強化を進めるとしています。
背景:FeliCa(フェリカ)脆弱性報道をめぐる先行公開が影響か
今回の要請は、「昨今の国内報道での脆弱性情報の扱い」を踏まえたものです。8月下旬には、2017年以前に出荷された一部のFeliCa ICチップに関する脆弱性が報じられ、ソニーが指摘を認める形で公表しました。
一方で、共同通信の報道が正式な調整公表に先立って出たこと、第三者のセキュリティ企業が検証・公開に関与したと報じられたことが、情報の出し方をめぐる議論を呼びました。本件は、パートナーシップ枠組みに基づく協調公表(IPA/JPCERT/CCと製品開発者の調整、一般的に45日目安)との整合や、報道・SNSでの扱いの在り方など議論を呼びました。







