経済産業省、脆弱性情報の報道制御を要請　情報漏洩防止でサイバーセキュリティ強化

2025年9月9日、経済産業省は国内の報道機関などに対し、未公開の脆弱性（ぜいじゃくせい）情報をむやみに公表しないよう要請した。
情報漏洩が被害拡大につながる懸念があるためで、今後は仕組みの見直しも進める方針だ。

経産省、未公開の脆弱性情報は慎重に扱うよう要請

経済産業省は9日、脆弱性（※）関連情報を取り扱う関係者に対し、適切な対応を求める要請を発表した。
対象は、脆弱性を発見した研究者や製品開発者、ウェブサイト運営者、さらに報道機関や産業界に及ぶ。
背景には、国内報道などで未公表の脆弱性情報が不用意に扱われ、被害拡大のリスクが懸念されている現状がある。

同省は2017年に「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」を制定した。
これを踏まえ、IPA（情報処理推進機構）やJPCERT/CC、JEITA（電子情報技術産業協会）と連携して「情報セキュリティ早期警戒パートナーシップガイドライン」を策定。
これに基づき、脆弱性情報は対策の見通しが立った段階で、関係者と調整のうえ公表することを推奨している。

要請では、脆弱性を発見した人は、正当な理由がない限り第三者へ開示せず、まずIPAに届け出るよう求めた。
開発者や運営者には責任ある情報開示を徹底し、報道機関と産業界には「公表前の脆弱性関連情報は慎重な取扱いが必要であることをご認識のうえ、報道やSNSでの発信等を通じてむやみに第三者に開示することは控えていただくようお願いします」と呼びかけた。

今後は、IPAが主催する研究会で脆弱性情報の取扱いについて議論を深め、課題や改善策を整理する予定だ。
今年5月に成立したサイバー対処能力強化法も踏まえ、制度や手順の再構築が検討されている。

※脆弱性：ソフトウエアやシステムに存在する欠陥や弱点。悪用されると不正アクセスや情報漏洩の原因となる。

透明性と統制のせめぎ合い　信頼構築へ基準作りが焦点に

経産省が未公開の脆弱性情報の安易な報道を控えるよう要請した背景には、今後のサイバーセキュリティ体制を左右する課題があるとみられる。
短期的には、攻撃者に悪用される前に修正の猶予が確保され、被害抑止の効果が高まると予測できる。
IPAやJPCERT/CCの調整機能が強化されれば、秩序ある情報流通の枠組みが整う可能性もある。

一方、中期的には報道の自由や公益性との緊張が続くとみられる。
重大な脆弱性の公開が遅れれば「隠蔽ではないか」との不信感が広がる恐れがあり、SNSによる拡散速度を踏まえれば、統制よりも透明性を確保した基準作りが重要になるだろう。
サイバー対処能力強化法を基盤に法制度やガイドラインが再構築されれば、段階的な公表手続きが標準化される展望もあると考えられる。

長期的には、報道機関・産業界・専門機関が役割を分担し、公益性とリスク低減を両立させる体制が構築されるかが焦点となりそうだ。
メディアが独自基準を磨き、企業や行政が「脆弱性対応プロセス」を開示すれば信頼性は高まると推測できる。
逆に、過度な統制が続けば透明性を損ない、環境の成熟が停滞する懸念も残るだろう。

経済産業省「国内における脆弱性関連情報を取り扱う全ての皆様へ – 情報セキュリティ早期警戒パートナーシップガイドラインに則した対応に関するお願い –」：https://www.meti.go.jp/policy/netsecurity/vul_request.html

関連記事：経済産業省「AIの利用・開発に関する契約チェックリスト」を公開　契約締結のリスクを軽減
https://plus-web3.com/media/ainoriyoukaihatukeiyakuchecklist20250220/