脆弱性開示ポリシー

1. 目的

ビリオン電機株式会社（以下「当社」）は、製品のセキュリティを継続的に改善するため、脆弱性に関する情報の受付および対応に関する方針を本ポリシーに定めます。

2. 適用範囲

本ポリシーは、当社が販売するIoT製品のうち、 JC-STAR適合ラベルを取得した製品 に適用します。

3. セキュリティ問題の報告窓口

当社製品の脆弱性に関する情報は、下記窓口までEメールにてご連絡ください。

本窓口は脆弱性報告専用です。製品の一般的なお問い合わせ（修理、購入、使用方法等）は、通常のお問い合わせ窓口をご利用ください。

4. 報告に含めていただきたい情報

報告内容を効率的に確認するため、可能な範囲で以下の情報をご提供ください。下記ボタンから、定型フォーマットのメールを作成できます。

📧 メールテンプレートを開く（Start Reporting）

5. 報告受領後の対応手続き

報告受領後、以下の手順で対応します。

1. 受領確認 ：報告受領後、 10営業日以内 に受領確認の連絡をします。
2. 内容分析 ：報告内容を確認・分析します。必要に応じて製造元（NoonSpare Energy Technology Co., Ltd.）と連携し、再現性および影響範囲を検証します。
3. 対応方針の決定 ：検証結果に基づき、修正の優先度および対応スケジュールを決定します。
4. 修正の開発 ：修正プログラムまたは緩和策を開発・検証します。
5. 公告の発行 ：修正完了後、当社ウェブサイトのセキュリティ公告ページにて、影響範囲・対応方法・修正版の入手方法を公開します。
6. 報告者への通知 ：連絡先のご提供がある場合、修正対応の完了を通知します。

解決までの標準的な期間は、報告受領から 90日以内 です。脆弱性の重大性、影響範囲、技術的な検討の複雑さによっては、この期間を超えることがあります。その場合は、対応状況を適宜報告者にお知らせします。

6. 脆弱性が解決されるまでの状況更新

解決までの期間中、報告者には対応状況を適宜お知らせします。解決後は、当社ウェブサイトのセキュリティ公告ページにて、影響範囲、対応内容、修正版情報を公開します。

7. 善意の報告者に対する法的免責

本ポリシーに従い、誠実な意図で脆弱性を報告された方に対し、当社は法的措置を取りません。ただし、以下の行為は本免責の対象外とします。

• サービスの中断または性能低下を意図した攻撃行為
• 個人情報・機密情報の不正取得、保存、または公開
• 第三者への危害を伴う行為
• 法令に違反する行為
• 脆弱性情報を脅迫または金銭的要求に利用する行為

8. 製造元の脆弱性開示ポリシー

本製品の製造元である NoonSpare Energy Technology Co., Ltd. （晟瑞科技股份有限公司、台湾）も、独自の脆弱性開示ポリシー（中国語・英語）をウェブサイトで公開しています。

製造元のポリシーを確認する →

日本市場における本製品の販売およびサポートは当社が担当します。日本のお客様からの脆弱性報告は、本ページの窓口（psirt@billion.com）にて日本語で受け付け、必要に応じて製造元と連携して対応します。

9. 改訂履歴