脆弱性開示ポリシー

スターチャージエネルギージャパン株式会社（以下「当社」）は、当社が提供する製品およびサービスのセキュリティを重要な責務と認識しています。製品の脆弱性に関する情報を歓迎し、報告いただいた方々と協力して、お客様の安全を確保するために迅速かつ誠実に対応いたします。

本ポリシーは、当社製品に関するセキュリティ脆弱性の報告方法、報告いただいた後の対応プロセス、および報告者の皆さまにお願いする事項を定めるものです。

1. 対象範囲

本ポリシーは、当社が提供する以下のインターネット接続機能を有する製品（IoT製品）を対象とします。

• 蓄電システム（蓄電池コンテナ／産業用・系統用蓄電システム等）　
• 上記製品に付随して提供される必須付随サービス

※ 対象となる具体的な製品名・型番・ファームウェアバージョンは【確定後に記載】します。

2. 報告方法

セキュリティ脆弱性を発見された場合は、以下の窓口までご連絡ください。

• 報告先メールアドレス：【security@starcharge.co.jp】
• 対応言語：日本語

3. ご報告いただきたい内容

迅速かつ正確な対応のため、可能な範囲で以下の情報をご提供ください。

• 影響を受ける製品名・型番・ファームウェアバージョン
• 脆弱性の概要および種類
• 再現手順（可能であれば実証手順・スクリーンショット等）
• 想定される影響範囲
• ご連絡先（任意。匿名でのご報告も受け付けます）

4. 対応プロセスおよび対応時間の目安

当社は、報告いただいた脆弱性に対し、以下を目安として対応します。

• 受付確認：ご報告の受領後、5営業日以内に受領した旨をご連絡します。
• 初期評価：受領確認後、10営業日以内に初期的な影響評価を行い、結果をご連絡します。
• 経過報告：対応期間中は、少なくとも30日ごとに対応状況をご報告します。
• 修正および公開：脆弱性が確認された場合、深刻度および修正の複雑さに応じて修正を進めます。原則として確認後90日以内の修正を目標とし、複雑な事案については報告者と個別に調整します。当社は、製品のセキュリティアップデートを適切に提供します。
• 協調的な公開：当社は協調的な脆弱性開示（Coordinated Disclosure）の原則に従います。修正が利用可能となる前に脆弱性の詳細を公開することはせず、公開の時期については可能な限り報告者と調整します。

※ 上記の対応時間はあくまで目安であり、脆弱性の内容や影響範囲により前後する場合があります。

5. 安全な調査に関するお願い（セーフハーバー）

本ポリシーに従い、誠実に（good faith）行われたセキュリティ調査について、当社は法的措置をとることはありません。安全な調査のため、以下の行為はお控えください。

• データの破壊・改ざん、サービスの停止・妨害
• 脆弱性の検証に必要な範囲を超えたデータへのアクセス・取得・保存
• 他のお客様の情報やプライバシーの侵害
• 脆弱性情報の修正前の第三者への開示・公表

6. 免責および本ポリシーの改定

本ポリシーは、関連する制度や当社の対応方針の変更に応じて、予告なく改定する場合があります。最新の内容は本ページにてご確認ください。

本ポリシーは、経済産業省・IPAが運営するセキュリティ要件適合評価及びラベリング制度（JC-STAR）における脆弱性報告窓口および脆弱性開示ポリシーの公開を兼ねるものです。

制定日：【2026年6月10日】
スターチャージエネルギージャパン株式会社