解説1: ここで言うネガティヴな影響とは、新たな脆弱性や攻撃手法の発表、あるいは既存の脆弱性・対策の検証など、実験の実施や論文の公開による製品・サービスの関係者(利用者・提供者など)が被るであろうことであり、例えば関係するサービスやサービス提供者への負荷の増加・危害などが挙げられます。
解説2:製品・サービスは商用・非商用に限りません。具体名を記載する場合は、それによってベンダ・組織・個人などの利害関係者に与える不利益を最小化することが、倫理的配慮として期待されます。 このためには、基本的には事前に提供元に確認を取り、協調的に対応を進めていくことが求められると同時に、具体名を記載することの妥当性を文中に明記することが期待されます。
解説3:製品やサービス等の脆弱性を公表することは、場合によっては結果としてベンダのみならず利用者にも危害を及ぼす可能性があります。利害関係者への事前情報開示に努め、危害を最小化することが倫理的配慮として期待されます。 脆弱性の公表に関して、提供元に確認する行為が著者らにも不利益となり得る場合は、例えば脆弱性情報届出制度等を活用するなどが考えられます。 こうした既存の枠組みでは不適切・不十分な場合や、やむを得ない事情で事前の確認が困難な場合などは、先行事例などを参考にしつつ独自の取組みを試みることが必要になるかも知れません。また、その合理性を示すとともに、確認を取らないことによって生じ得る提供元などの危害を最小化するための工夫を示すことが期待されます。
参考事例: IPA, "情報セキュリティ早期警戒パートナーシップガイドライン" , <
https://www.ipa.go.jp/security/ciadr/partnership_guide.html>
解説4:論文で取り上げた対象以外に他の製品・サービス等にも影響する可能性がある場合、特定の利害関係者のみに不利益が集中しないよう、その影響についても公正に論文中で論じることが期待されます。 例えばAndroidの脆弱性について言及しているが、iOSにも共通する可能性が高いなどであれば、特定の製品・サービスに限った問題ではないことを、(確認済事実や未確認ながら容易に推定可能など)その確度含めて明らかにしておくことが、倫理的配慮として期待されます。
