http://opentechpress.jp/security/06/10/04/0037216.shtml
日本にはIPAとJPCERTによるコントローラブルな情報流通制度があるけど、アメリカはもっと殺伐としてるんですね。制度があると少なくとも報告者に直接脅迫が行くことはなくなるので、その点はメリットなのかなあ。
ただ、制度があっても、「仕様ですサボタージュ」したり、「放置プレイ」したりすることが改まるわけではないんだよね。日本の中に閉じている業界なら役所の指導とかが一定のインパクトを与えるんだけど、本社が外国っていう場合はそのインパクトもいまいちなんだよなー。本気で業務停止とか、そういうところまで行かないと動かないだろうし、業務停止という伝家の宝刀はそう簡単には抜けないだろうしね。