FacebookやGoogleも参加するOSSコンプライアンスのプロジェクト、「OpenChain」とは：日本企業も活発に活動（2/2 ページ）

[三木泉，＠IT]

　自己認証を基本とすると、派生的にさまざまな審査形態が考えられる。

　まずはシンプルな自己認証で、社内のOSSコンプライアンス体制を、OpenChain仕様に基づき整備、いずれかの部署が審査担当として機能し、認証作業を行う。

　次に、複数企業で構成される企業グループで、例えば本社が審査役となり、グループ企業におけるコンプライアンスを認定プログラムに基づいてチェックするという形態が考えられる。

　さらに、日本のメンバーからは「相互認証」という案が出ており、検討中という。文字通り、ユーザー企業同士で審査し合う（ダブルチェックする）というもので、自己認証のコスト効率を維持したまま、より客観的な結果が受けられるメリットがある。

　とはいえ、OpenChainプロジェクトはベンダーを完全に排除しようとしているわけではない。「第三者によるコンサルティングやアドバイスを受けたい企業はある。このため、OpenChainプロジェクトとしてパートナーを選定している」という。

　「だが、急いではいない。特に現時点では、OpenChainプロジェクトの趣旨をよく理解し、共に普及を進められるパートナーが必要であるため、個別に面談するなどして、丁寧に選定作業を行っている」（コックラン氏）

OpenChain仕様は、ISO規格を目指す

　OpenChainプロジェクトにおける活動の中核となっているOpenChain仕様書は、2016年にバージョン1.0が登場。「ただし、これは『RFC（Request for Comment）』、つまり意見を募るためのたたき台だった」とコックラン氏は話す。続いて同プロジェクトは、2018年4月にOpenChain 1.2を発表した。これが事実上の正式バージョンとなり、現在はこれに基づく認証が進んでいる。2019年1月15日時点では、認定済みのユーザー組織として、約20の企業がOpenChainのWeb上で公開されている。OpenChainのWeb上での公開は、認証の要件ではないため、より多くの企業が認証を受けていることが想定できる。

　現在OpenChainプロジェクトが目指しているのは、国際標準化機構（ISO）規格としての認定を受けることだ。あるべき姿に向けての体制づくりや標準手順などを定めた仕様には、ISO規格として推進されているものが多い。例えば品質マネジメントシステムではISO9001、クラウドセキュリティではISO/IEC 27017などがある。こうした規格に加わることで、さらなる普及を進めたいという。

　「OpenChainは業界標準を生み出すことだけを目的として活動している。今後も活動の幅を広げることなく、標準のことだけを考えていく」（コックラン氏）