ソフトウエア等脆弱性関連情報取扱基準が経済産業省から発表されています。その「主旨」として、以下が述べられています。 
本基準は、ソフトウエア等に係る脆弱性関連情報等の取扱いにおいて関係者に推奨する行為を定めることにより、脆弱性関連情報の適切な流通及び対策の促進を図り、コンピュータウイルス、コンピュータ不正アクセス等によって不特定多数の者に対して引き起こされる被害を予防し、もって高度情報通信ネットワークの安全性の確保に資することを目的とする。

また、この基準では、いくつかの関係者が登場します。その関係者の定義もこの基準に記載されています。 
1.発見者
  脆弱性関連情報を発見又は取得した者。
2.受付機関
  発見者が脆弱性関連情報を届け出るための機関。
3.調整機関
  脆弱性関連情報に関して、製品開発者への連絡及び公表等に係る調整を行う機関。
4.製品開発者
  ソフトウエア製品の開発等を行う者であって、以下のいずれかに該当する者。
 (1)ソフトウエア製品を開発した者。
 (2)(1)に掲げる者のほか、ソフトウエア製品の開発、加工、輸入又は販売に関する形態その他の事情からみて、当該ソフトウエア製品の実質的な開発者と認められる者。
5.ウェブサイト運営者
  ウェブサイトを運営する者。
この基準では、関係者ごとに、脆弱性関連情報の取扱い関係者に推奨する行為を定めています。

では、過去問を解いてみましょう。
問7 経済産業省告示の“ソフトウェア等脆弱性関連情報取扱基準”におけるWebアプリケーションに関する脆弱性関連情報の適切な取扱いはどれか。
ア Webアプリケーションの脆弱性についての情報を受けた受付機関は、発見者の氏名・連絡先をWebサイト運営者に通知する。
イ Webアプリケーションの脆弱性についての通知を受けたWebサイト運営者は、当該脆弱性に起因する個人情報の漏えいなどが発生した場合、事実関係を公表しない。
ウ 受付機関は、Webサイト運営者からWebアプリケーションの脆弱性が修正されたという通知を受けたら、それを速やかに発見者に通知する。
エ 受付機関は、一般利用者に不安を与えないために、Webアプリケーションの脆弱性関連情報の届出状況は、受付機関の中で管理し、公表しない。
(H22SC春午前Ⅱ問7)
 本基準を知らなかったとしても,常識で考えれば分かると思います。消去法で,おかしいと思うものを消してきましょう。例えばアですが,発見者の個人情報を通知してはいけませんよね。正解はウです。