脆弱性関連情報の非開示依頼の取下げ申請の結果が返ってきた

SECURITY

2008年8月5日に届け出た脆弱性というか仕様というか問題ある挙動について、いつまで経っても修正されず、むしろ問題を公にしてユーザーが自衛するほうが社会的公益性が高いと思い、2012年10月21日に脆弱性関連情報の非開示依頼の取下げ申請をIPAに送ってみたら以下のような返事が返ってきた。
ドキュメント検査だけでは不十分なので、とりあえず、自分の名前や所属、使用しているコンピュータ名等が公に知られたくないという人は、Microsoft Officeで作成されたファイル(PDFに変換したのを含む)を他人に配布するのを避けるとよいと思います。

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -----------------------------------------------------------------
     このメールは、取扱い番号 IPA#20459920 に関する連絡です。
- -----------------------------------------------------------------

IPA セキュリティセンターです。

Microsoft Office の件につきまして、非開示依頼の取下げ申請に伴い、
製品開発者へ対応状況および見解を確認したところ、製品開発者から下
記の通り報告を頂いております。

【製品開発者からの報告】
 ---------------------------------------------------------------
  当問題の未修正箇所の対応は、現時点では詳細を検討中であるため、
  明確にお伝えすることはできませんが、次期バージョンでの対応が検
  討されることになるかと思われます。なお、当問題の情報公開ですが、
  ユーザーの混乱を招く恐れもありますので、控えていただけば助かり
  ます。
 ---------------------------------------------------------------
 補足:Office 2010 について、既に修正済みとご報告しておりましたが、
       未修正と思われる個所が発見されたため、JPCERT/CC から製品開
       発者へ確認をお願いしていました。未修正個所の修正が完了した
       際には、製品開発者へ JVN 公表の交渉を行う予定です。

非開示依頼の取下げにつきましては、起算日(2011 年 4 月 1 日以前の
届出は一律 2011 年 4 月 1 日となります)から本日までに 1 年以上経
過しているため、末尾のガイドラインの通り、情報非開示依頼を取下げ
させて頂きますが、上記の状況をご勘案頂ければ幸いです。

なお、脆弱性関連情報の公表に関しましては、末尾のガイドライン「発
見者が心得ておくべき法的な論点」をご参照の上、発見者様自身の責任
においてご判断下さい。


□情報セキュリティ早期警戒パートナーシップガイドライン
  http://www.ipa.go.jp/security/ciadr/partnership_guide.html
- ------------------------------------------------------------------
  IV.ソフトウエア製品に係る脆弱性関連情報取扱
  3.IPAおよびJPCERT/CCの対応
    (1)IPA
       11)情報非開示依頼の取下げ
       IPAは、起算日から1年間以上経過した届出について、発見者から
       情報非開示依頼の取下げが求められた場合、これを取り下げます。
       そのとき、製品開発者が正当な理由により対応に時間を要する場
       合、IPAはその状況を取下げを求めた発見者に適切に説明し、発見
       者が情報開示の必要性を客観的に判断できるようにします。


  付録1 発見者が心得ておくべき法的な論点
  2.脆弱性関連情報の管理に際しての法的な問題
  
  発見者の脆弱性関連情報の管理に際しては、以下の法的な問題への注意
  が必要です。

  (1)脆弱性についての調査・報告は、その率直な交換により、ソフトウ
     エアやウェブアプリケーションシステムのセキュリティが結果とし
     て強化され・向上するという側面があります
  (2)しかしながら、その情報については、悪用というデメリットがある
     ので、その点についての十分な配慮がなされるべきであり、その一
     つの方向性を提唱するのが、このガイドラインといえます。
  (3)また、情報自体そのような性格をもつので、発見者についても脆弱
     性関連情報の管理について真摯な態度が必要とされます。
  (4)そのような真摯な態度を保つ限り脆弱性関連情報についての調査・
     報告は、社会的に有用なものと考えられます
     しかしながら、管理について真摯な態度を欠く場合については、上
     述の限りではありません。そのような真摯な態度を欠く場合の具体
     的な例として以下があります。

     a) 脆弱性関連情報の公表は、その情報の内容が真実と異なること
        を知っていた場合、あるいは,真実である場合であっても、特
        定人の名誉を毀損する意図で公表がなされ、かつ、公共の利益
        と無関係である場合には、刑法の名誉毀損罪に触れる可能性が
        あります。
     b) 特定人の信用を毀損する意図で事実と異なる脆弱性関連情報を、
        事実と異なると認識して公表がなされる場合には、刑法の信用
        毀損罪に触れる可能性があります。
     c) 通常人に求められる程度の相当の注意をもって調査・検証した
        りしたのではなしに脆弱性関連情報であるとして公表し、かつ、
        脆弱性関連情報の開示に起因して損害が発生した場合、損害賠
        償責任などの民事責任を追及される可能性があります。
- ------------------------------------------------------------------

以上、よろしくお願い致します。
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
  脆弱性関連情報に関する連絡を行う際に、IPA では PGP 公開鍵
  による暗号化を推奨しています。
  https://www.ipa.go.jp/security/pgp/index.html
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
  独立行政法人 情報処理推進機構 (IPA)  
  技術本部 セキュリティセンター
  Mail  vuln-info@ipa.go.jp
  Web   https://www.ipa.go.jp/security/
  PGP   D15C 94BE D56D 15A4 E426 029F 826C 542B FE3B 710A
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (MingW32)

iD8DBQFQl4UkgmxUK/47cQoRAufOAJ9i+9SGtyRrVi1HrmPzf5k6UkOrsACgk/C1
AOtDOjilnaqduNdOEA0+3LM=
=q9d2
-----END PGP SIGNATURE-----