A. 倫理的指針 診断で発見した脆弱性については基本的に秘密保持の義務があります。顧客以外の利用者の安全安心のためにも早期に報告したほうが良いとも考えられますが、顧客との合意をしない状態での脆弱性情報のOSSコミュニティや製品開発元への連絡は、秘密保持の義務に反することになります。
対策、修正に向けた活動がしやすくなるよう、OSSの脆弱性を発見した際にどのような対応をとるべきかについて、予め顧客と相談する、必要に応じて契約条件に盛り込んでおくなどの対応が望ましいでしょう。

A. 倫理的指針 診断サービスの提案過程で、顧客から参考情報として顧客の同業他社の診断事例や実績の紹介を求められる機会は多いと思います。しかし、脆弱性診断結果は機密性が求められる情報に当たるため、第三者に「どこの会社にどのような脆弱性があった」というような情報を共有することは望ましくありません。契約内容によっては、その企業に診断を実施したこと自体を第三者に伝えることが禁止されていることもあります。
また、秘密保持契約は、診断ベンダだけではなく、顧客も秘密を守ることが求められる契約となっている場合があります。そのため、顧客の立場でも診断事例や報告書の取り扱いに留意する必要があります。

A. 倫理的指針 非公開のSNS等、閲覧者か限られる場であっても、脆弱性情報を相談（共有）することで悪用等につながる恐れがあります。個人の研究活動や偶然発見した脆弱性であっても、情報公開のタイミングや方法を誤ると、専門家としての信頼を損なうだけでなく、法的・倫理的な問題に発展する可能性もあります。発見した脆弱性については、まずは開発元や調整機関へ報告しましょう。
脆弱性情報の公開については、「脆弱性情報開示のためのチートシート」、「JPCERT/CC 解説：脆弱性関連情報取扱制度の運用と今後の課題について（前編）～公益性のある脆弱性情報開示とは何か～」も参考にし、慎重に検討した上で行ってください。

A. 倫理的指針 外部サービスによっては、入力されたデータ（情報）の学習や解析での利用、調査履歴として公開する場合があり、機密情報の漏洩リスクがあります。サービス利用前には「データの取り扱い」や「学習への利用有無」、「データ保持ポリシー」を必ず確認し、問題がないかを確認してから利用することが望ましいでしょう。
なお、利用するサービスによっては利用プランや設定により、入力データの学習が有効となっている場合があります。そのため、学習が無効なプランや設定になっているか十分に確認してから利用を開始してください。その他にも、事前に自社の担当部門の確認を得てから利用することも重要です。

A. 倫理的指針 生成AIに入力したデータ（情報）は学習や解析で利用される場合があります。そのため、報告書を作成するために診断結果を生成AIに入力すると機密情報の漏洩リスクに繋がります。
生成AIを利用して文面を作成すること自体は問題ありませんが、サービス利用前には「データの取り扱い」や「学習への利用有無」、「データ保持ポリシー」を必ず確認し、問題がないかを確認してから利用することが望ましいでしょう。加えて、生成AIを利用する上では、生成された文面をそのまま利用するのではなく、内容の正確性や信頼性を確認した上で利用することが重要です。
また、生成AIに入力するデータ（情報）に機密性高い情報が含まれている場合、ローカルLLMの利用も検討してみてください。データ（情報）を自社のローカルLLMやサービスの学習に用いる場合は、その旨について事前に顧客から承諾を得るようにしてください。