脆弱性取扱要件

デジタル要素を備えた製品の製造業者は、次のことを行わなければならない。
1. デジタル要素を備えた製品に含まれる脆弱性及び構成要素を特定し、文書化すること。これには、少なくとも当該製品の最上位の依存関係を対象とする、一般的に使用され、かつ機械可読な形式によるソフトウェア部品表（SBOM）を作成することを含む。

2. デジタル要素を備えた製品にもたらされるリスクに関連して、セキュリティアップデートの提供を含め、脆弱性に遅滞なく対処し、これを是正すること。技術的に実行可能な場合には、新たなセキュリティアップデートは、機能アップデートとは別個に提供しなければならない。

3. デジタル要素を備えた製品の安全性について、有効かつ定期的な試験及び見直しを実施すること。

4. セキュリティアップデートが利用可能となった時点で、修正済みの脆弱性に関する情報を共有し、公に開示すること。これには、脆弱性の説明、影響を受けるデジタル要素を備えた製品を利用者が特定できる情報、脆弱性の影響、その重大性、並びに利用者が当該脆弱性を是正するのに資する明確かつアクセスしやすい情報を含む。正当な理由がある場合であって、製造業者が、公表によるセキュリティ上のリスクがそのセキュリティ上の便益を上回ると判断するときは、利用者に関連するパッチを適用する機会が与えられるまで、修正済みの脆弱性に関する情報の公表を遅らせることができる。

5. 協調的脆弱性開示に関する方針を策定し、実施すること。

6. デジタル要素を備えた自社製品及び当該製品に含まれる第三者構成要素における潜在的脆弱性に関する情報共有を容易にするための措置を講ずること。これには、デジタル要素を備えた製品において発見された脆弱性の報告のための連絡先アドレスを提供することを含む。

7. デジタル要素を備えた製品に対するアップデートを安全に配布する仕組みを設け、脆弱性が適時に修正又は軽減されること、及び、セキュリティアップデートについて該当する場合には、自動的な方法で行われることを確保すること。

8. 特定されたセキュリティ上の問題に対処するためのセキュリティアップデートが利用可能である場合には、それが遅滞なく配布されること、及び、デジタル要素を備えた特注製品に関して製造業者と事業利用者との間で別段の合意がない限り、無償で提供されることを確保すること。この場合、利用者に対して関連情報（とり得る対応措置に関する情報を含む。）を提供する助言メッセージを添付しなければならない。