殿様のところに反応（長いのでこちらに書いちゃった）。
サポートポリシーにしろセキュリティポリシーにしろ、公開してここまでやります、と言ったことは守らなきゃなりません。訴訟になったらどちらにしてもきっと「あんたこういう要件を宣言してるじゃん」と言われるわけで。別途契約書があったとしてもそりゃ言われるだろうし。逆に契約書の内容と齟齬があったりするとそちらも問題だろうし。
モノがセキュリティだといろんな意味で「被害」というのに結びつきやすいとは言えるかも知れませんが、期待したサポートをしてもらえず結果被害につながって訴訟というのも十分ありそうな気がします。まそういうものすべてひっくるめてサービスレベルアグリーメントですからねー。それ守れなかったら責任を問われると考える方が無難でしょうねえ。きっと。
っていうか、セキュリティポリシーというのは、今後法務マターでもありえるってことですなあ。まそりゃそうか。