繁體中文 English 日本語
中文 EN 日本語

セキュリティ通報ポリシー

最終更新日:2026-06-09

メガパワーアジア有限会社(以下「当社」といいます)は、情報セキュリティを事業運営上の重要な課題の一つと位置づけております。当社が運営するドメイン「megapower.asia」および各種オンラインサービスに関する脆弱性につきまして、外部のセキュリティ研究者の皆様、お客様、その他の利用者の皆様からのご報告を受け付けております。本ポリシーでは、報告方法、当社からの対応方針および目安となる回答時間、ならびに善意に基づく脆弱性報告に対する当社の基本的な考え方について定めます。

1. 報告方法

脆弱性の可能性がある事象を発見された場合は、下記の窓口まで詳細をご連絡ください。

security@megapower.asia

ご連絡の際は、可能な範囲で以下の情報をご提供ください。

  • 脆弱性のある URL またはシステムの場所
  • 再現手順(ブラウザ、OS、使用したツールを含む)
  • 想定される影響範囲と報告者側の初期評価
  • スクリーンショット、HTTP リクエスト/レスポンス、その他の補強資料

PGP による暗号化メールでのご報告も受け付けておりますが、必須ではありません。PGP 鍵をお持ちでない場合でも、通常の電子メールにて同様に受け付けおよび対応いたします。 当社の PGP 公開鍵の開示をご希望の場合は、その旨を報告内容にご記載ください。別途ご案内いたします。

2. 対応目安

  • 通常の脆弱性報告:3 営業日以内に受領確認のご連絡を差し上げる予定です
  • 重大な脆弱性(顧客データの漏洩、システムの完全性、または広範囲への影響が想定されるもの):24 時間以内に初期回答を差し上げる予定です
  • 修正までのスケジュールは深刻度に応じて変動します。問題が解決するまで、報告者の方へ進捗を継続的にご報告いたします

上記の期間内に当社からの返信がない場合、迷惑メールフォルダに振り分けられている可能性がございますので、ご確認のうえ、お手数ですが再送いただきますようお願いいたします。

3. 開示の原則

当社が合理的な期間内に修正を行い、他の利用者を保護するため、脆弱性の公開前に当社へご連絡いただくとともに、以下の原則へのご協力をお願いいたします。

  • 協調的な脆弱性開示:公開による開示の前に、当社に少なくとも 90 日間の修正期間をご提供ください。第三者ベンダーが関与する場合には、それ以上の期間を要する場合があり、その際は当社よりご説明いたします
  • 破壊的な試験の禁止:当社または他のお客様に属するデータの削除・改ざんその他の損害を生じさせる行為は行わないでください。また、サービス拒否(DoS)攻撃に類する試験は実施しないでください
  • 不要なアクセス拡大の禁止:脆弱性の再現が確認できた時点で、速やかに検証を終了してください。他のアカウント、他のお客様のデータ、関連性のないシステムへのアクセスを試みないでください
  • ソーシャルエンジニアリングの禁止:当社の従業員、お客様、または取引先に対するフィッシング、なりすまし、または物理的な侵入は行わないでください
  • 対象範囲:本ポリシーの対象は *.megapower.asia および当社が直接運営する SaaS ツールおよび顧客向けシステムです。お客様自身の社内環境で発見された問題については、別途当社カスタマーサポート窓口までご連絡ください

4. 善意の報告に対する不追及

上記の原則に従い、善意(good faith)に基づいて検証および報告を行っていただいたセキュリティ研究者等の方に対しては、当社が悪意または不正な目的があると合理的に判断した場合を除き、当該検証および報告行為のみを理由として、法的措置を講じたり、捜査機関その他の関係機関への通報を行ったり、民事上の損害賠償を請求したりすることはありません。

ここでいう「善意」とは、当社のセキュリティ向上を目的として、データ漏えいを発生させず、発見した脆弱性を悪用せず、修正が完了する前に脆弱性の詳細を第三者へ開示しないことを意味します。

5. 謝辞および報奨

ご報告いただいた問題の修正完了後、当社は報告者を公に謝辞として掲載いたします(匿名をご希望の場合を除きます)。具体的な謝辞の方法は、ご報告時にご相談ください。

**現時点では、金銭による報奨や正式なバグバウンティプログラムは実施しておりません。**将来的に変更がある場合は、本ページにてお知らせいたします。

再現性が確認でき、内容が有用であると当社が判断したご報告については、当社の裁量により、当社サービスの優待や記念品等、金銭以外の形で謝意をお伝えする場合があります。

本ポリシーは、善意に基づく脆弱性報告に対する当社の基本的な考え方を示すものであり、当社または報告者に対して新たな法的権利・義務を付与するものではありません。

本ポリシーに関するご質問がございましたら、security@megapower.asia までお問い合わせください。