責任ある開示に関するポリシー

レゴ社のウェブサイトまたはアプリで、セキュリティの脆弱性を見つけられた場合には、直ちにご連絡ください。適正な報告については全て調査を行い、迅速な問題解決に努めます。但し、ご報告の前に、このページの内容をよくご確認の上、このチャネルを通じてご報告いただくべきではない事項についてご注意ください。

その他の問題についてのご報告は、下のリンクをご参照ください。

– レゴ®アカウントセルフサービス [https://identity.lego.com] 1
– Shop@home、 VIP 、その他の問題 [https://www.lego.com/ja-jp/service][2]
– コンシューマーサービス [https://www.lego.com/ja-jp/service][3]
– プライバシーの問題[https://www.lego.com/ja-jp/legal/notices-and-policies/privacy-policy]に記載のプライバシー担当者までご連絡ください。[4]

以下のポリシーを順守してセキュリティの問題を報告された場合には、お客様のご報告に対して当社が訴訟を起こしたり、法執行機関の調査を求めたりすることはありません。ご報告の際のお願い:

– 当社にてご報告内容に対する調査と軽減措置を行えるよう、当該の問題について何らかの情報を公開したり、他者と共有したりする前に、合理的な時間的猶予をとっていただくこと。
– アカウント所有者の同意を得ることなく、個人アカウントと関わらないこと(個人アカウントからのデータの変更や、データへのアクセスを含む)。
– データの破壊、当社サービスの中断・質の低下など(但し、これに限定されません)、プライバシー侵害や他者への迷惑行為を避けるために誠意をもって努力いただくこと。
– 理由を問わず、発見されたセキュリティの問題を悪用しないこと。(この悪用には、企業の機密データの侵害を試みることや、付加的な問題を探るなど、その他のリスクを明らかにすることを含みます)
– その他、適用される法規制に違反しないこと。

当社では、脆弱性報奨金制度(バグバウンティ プログラム)は実施しておりません。

適用範囲外

– スパムまたはソーシャルエンジニアリング技術。
– サービス拒否(DoS)攻撃。
– コンテンツインジェクション攻撃。LEGO.comへのコンテンツ投稿は、コア機能のひとつであり、コンテンツインジェクション(「コンテンツ・スプーフィング」や「HTMLインジェクション」とも呼ばれる)は、重大なリスクを明確に示すことができない限り、適用範囲外です。
– レゴ ブランドを冠したサードパーティのアプリやウェブサイトであっても、提携企業からライセンスを受けているもののセキュリティ問題。これに該当するアプリやウェブサイトは、当社の管理下になく、また当社のセキュリティテストのガイドラインに適合するものではありません。

ご連絡先
——————–

– メールアドレス [whitehat@lego.com][5]

次の情報をご記入ください:
– 問題の説明
– 問題を発見した日時
– 問題の再現方法
– 問題の軽減措置についてのご意見
– スクリプトやネットワーク経路がわかる場合には自由にご記入ください。

担当者の取り扱いの便宜上、可能であれば、英語でのメールをお願いいたします。

[2]: https://www.lego.com/service(英語) https://www.lego.com/ja-jp/service(日本語)
[3]: https://www.lego.com/service(英語) https://www.lego.com/ja-jp/service(日本語)
[4]: https://www.lego.com/en-gb/legal/notices-and-policies/privacy-policy(英語) https://www.lego.com/ja-jp/legal/notices-and-policies/privacy-policy(日本語)
[5]: mailto:whitehat@lego.com