脆弱性開示ポリシー

当社は当社製品の情報セキュリティ品質向上のために、当社製品の脆弱性に関する情報を社内外から収集しております。また、当社製品を利用いただいているお客様からの情報も受け付けています。当社製品の脆弱性を発見された場合は、以下に記載の方法でご報告ください。

経済産業省の告示(https://www.meti.go.jp/policy/netsecurity/)に基づき、独立行政法人情報処理推進機構（IPA）を通じてご報告をされる場合は、以下のリンク先に従ってください。

当社へ直接ご報告いただく場合は、以下の窓口までお知らせください。なお、公開済みの脆弱性については報告を受け付けておりません。

ご報告いただく際には、以下情報のご提供にご協力をお願いいたします。

当社窓口にご報告いただく場合、ご報告者様の情報や製品の脆弱性情報といった機微な情報を安全に授受するため、PGPによる暗号化をお願いしております。

PGP公開鍵は、こちらから入手してください。

当社窓口へご報告いただいた場合には、受信日から5営業日以内（夏季や年末年始等の長期休暇等は除きます）にご報告を受領した旨をメールでご連絡いたします。当社ドメイン名（ml.toa.co.jp）からのメールを受信できるように設定をお願いします。
当社窓口にご報告いただいた後のご報告者様との情報交換は電子メールにて行います。情報交換の際も、第三者への意図せぬ開示を防ぐため、PGP公開鍵をご利用いただき、メールの暗号化にご協力いただけますようお願いいたします。

ご報告者様との情報交換は、以下のいずれかの時期で行います。

当社からご報告者様にご連絡いたしましたメールおよびその記載内容は、ご報告者様に宛てたものです。当社からのメールおよびその記載内容の一部または全部を転用したり、二次利用することは、ご遠慮ください。

なお、当社では脆弱性報奨金（バグバウンティ）の支給を実施しておりません。

ご報告者様の個人情報の取扱いに関する方針については、当社ホームページの「プライバシーポリシー」をご覧ください。

ご報告いただいた製品の脆弱性については、当該製品の設計・開発部門にて速やかに調査を実施し、必要に応じて調整機関と連携しながら適切な対策を行います。
また、当社が調査のために必要と認めたときは、脆弱性検証または脆弱性に起因する影響、その他の脆弱性に関する情報確認のため、専門的な能力を有する第三者(脆弱性情報を適切に管理できるものに限る)に対し、ご報告いただいた脆弱性情報を提供しその分析を行う場合がございます。

生産完了品についても脆弱性情報のご報告は受け付けております。ただし、調査や対策ができない場合がございますので予めご了承ください。
生産完了品については、以下のリンクをご参照ください。

当社製品の脆弱性への対策ができ次第、必要に応じて調整機関とも日程を調整のうえ、当社ウェブサイトにて当該脆弱性の内容と対策情報を公開いたします。

ご報告者様におかれましては、当社製品の脆弱性に関する情報を、当社による公開前に、当社の許可なく第三者へ開示しないようお願いいたします。

本ポリシーは、事前の通知なしに変更することがあります。変更後のポリシーは、本ページに表示した時点より効力を生じるものとします。