「OSSはただの無料ソフト」「うちの会社に関係ない」？ 企業におけるオープンソースの戦略的活用と法的リスク：解決！ OSSコンプライアンス（1）

「OSSなんて、うちの会社に関係ない」「無料なんだから、使い倒せばいいだけでしょ？」。まだ、こうした考えを持っている企業も多い。だが、ソフトウェアをビジネスの武器にしようとしている企業は、OSSの利用を避けることはできない。利用を適切に管理しないと、思わぬ法的トラブルを引き起こす可能性がある。 この連載ではOSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する。

[遠藤雅人，OpenChain Japan Work Group]

　いまやソフト開発には欠かせない存在となったオープンソースソフトウェア（OSS）。しかし、適切に使用しないと法的トラブルを引き起こしてしまうことも。本連載では、ソニー、日立製作所、トヨタ自動車といった日本企業やGoogle、Microsoftなどのプラットフォーマーが推進するOpenChain Projectのメンバーが、適切にOSSを活用していくためのノウハウをお届けします。

企業活動におけるOSSの活用の拡大と戦略的活用の重要性

　早速ですが、一般企業で、「OSSなんか、うちの会社には未来永劫（えいごう）関係ない」「使うことがあったとしても、無料のソフトウェアというだけでしょ？」と考える方も多いと思います。

　しかし、OSSは現在のソフトウェア開発に欠かせない存在になっています。それは、企業活動においても同様であり、デジタルトランスフォーメーション（DX）やオープンイノベーションを推進していくうえで、OSSの利活用は最重要課題であると言えます。

　OSSを利用するメリットはさまざまありますが、なんといっても世界中のエンジニアが集まるコミュニティーが開発している最新のソフトウェアを無償で使うことができる点が大きいです。AIやブロックチェーンなどの最新技術は、基本的にオープンソースベースで開発されていますし、Linuxなど人気のOSSについては、長期サポート（LTS）版なども用意され、企業が製品に組み込みやすくする環境も整っています。ソフトウェアの大規模化や、製品ライフサイクルの短縮化が進む昨今では、OSSをフル活用し、自社の付加価値となる部分のみを開発してソフトウェアを完成させるのがトレンドとなっています。

　また、これまでソフトウェアとは無縁だった企業でも、DXにより「いつのまにかOSSを使っている」ということが増えてきています。

　実際に、2021年5月のシノプシス社の調査によれば、調査対象となったソフトウェア開発プロジェクトの実に98%がOSSを活用しており、各プロジェクトのコードベースの中にOSSの占める割合も75%に達していることが報告されています。

　つまり、OSSはソフトウェア開発において名実ともに欠かせない存在になっており、コロナ禍においてコスト削減や開発・保守効率向上が求められる昨今、このような傾向はさらに加速していくと考えられます。もはや「オープンソース？ うちには関係ない」と言える会社はなくなってきているのです。

　また、ソフトウェアがビジネス上の競争力の源泉にもなってきている現在では、OSSを利用するだけでなく、既存のOSSへの機能の追加や自社ソフトのOSS化などのコントリビューション（貢献）で、コミュニティーの中心にいることが、とても重要になってきています。

　昨今では、ソフトウェアの規模の拡大により、自らソフトウェアを作っても、1社で機能拡張やメンテナンスを続けるのは容易ではありません。そこで、コントリビューションを行うことで、競合他社も含めたコミュニティーを巻き込み、自社の競争力の向上とコスト削減を両立できます。

　例えば、OSSのブロックチェーン・プラットフォームである「Hyperledger」では、日立製作所や富士通といった日本企業がプラチナメンバーとしてプロジェクトを推進しています。また、デンソー、マツダ、パナソニック、ルネサス エレクトロニクス、スズキ、トヨタ自動車といった日本企業が中心となっているOSSのコネクテッドカー・プラットフォーム「Automotive Grade Linux」の開発は、グローバルなコミュニティーと共に進められています。

　さらに、企業にとって優秀なソフトウェア開発人材の獲得という側面からも「OSSを適切に利活用できる企業であること」が重要になってきています。

　高度な技術を持つソフトウェアエンジニアの国際的な獲得競争が過熱しています。優秀なエンジニアが、自分の技術力を客観的に提示する方法として重要視しているのは、「自分自身が作成したソースコードが主要なOSSプロジェクトに採用されたか」という点になってきており、採用後も業務として主要なOSSコミュニティーに参画できる環境が用意されているか否かが、企業を選ぶ指針の一つとなっているのです。

OSSを使いこなすための課題「OSSコンプライアンス」とは？

　と、ここまで大風呂敷を広げてしまいましたが、要はフリーランスのエンジニアであろうと、大企業であろうと、OSSを使いこなすことが非常に重要な世の中になってきているということです。ただし当然ながら、OSSを利用すればバラ色の世界が広がっているというわけではありません。セキュリティリスクや品質リスクなど、ビジネス上のさまざまなリスクが存在していますので、これをうまくマネジメントしながらOSSの利活用を進めていくことが必要です。

OSS利用に伴うさまざまなリスクと、対応するLinux Foundationのプロジェクト

　本連載では、そういったリスクの一つである「ライセンスリスク」と、これをマネジメントするための活動である「OSSコンプライアンス」について取り上げ、エンジニアの方がOSSをスムーズに利用するための実務上の勘所や、これから戦略的にOSSを活用していきたいと考えている企業の方へのヒントとなる情報を紹介していきたいと思います。

OSSのライセンスリスクって？

　まず、「ライセンスリスク」とはどういうことなのでしょうか？ OSSは無償で利用することのできるソフトウェアではありますが、完全に自由に使えるわけではありません。それぞれのOSSに設定されているライセンスを順守して使用する必要があります。これらのライセンスは、OSSを開発したエンジニアやコミュニティーが、そのOSSをどのように取り扱ってほしいかという意思であるため、ライセンスを順守することは「無償で利用させてもらう代わりにその意思を尊重する」ということです。

　代表的なライセンスとして「GPL」「BSD」「MIT」「Apache」などがありますが、それ以外にも著名なライセンスだけで数百存在します。同じライセンスのように見えても厳密には違うものもたくさんあり、数えきれないほどの種類になっています。

　ライセンスで規定されている使用条件については、利用したソフトウェアを他者に配布する場合の著作権表示やソースコードの開示、特許権の無償許諾など、こちらもさまざまな条件が存在します。

　「ライセンスリスク」とは、ライセンスを適切に順守しないことによるリスクのことをいいます。適切に対処しないと、SNS上での炎上や著作権者からの提訴によるレピュテーション（評判）の低下、訴訟による差し止め、自己判断でのOSS利用の中止などによるビジネスの中断、といった問題につながる可能性があります。

　ライセンスの順守は、1つのOSSを使うだけであれば、ソースコード内に含まれるライセンス文を読んで、そこに書いてあることを実行すればいいので、比較的簡単な作業になります。しかし、最近は1つのソフトウェアを完成させるのに数百や数千のOSSを利用するケースも少なくありません。そのような場合は、非常に煩雑な仕事になります。このような煩雑な仕事を、適切かつ効率的に行うための活動が「OSSコンプライアンス」なのです。

　「ライセンスリスク」の具体的な事例として有名なものに、BusyBox事件があります。この事件では、GPLv2ライセンスで提供されているOSSの人気ユーティリティーツール「BusyBox」を利用していた企業が、適切にライセンスを順守していないとして次々と訴えられたものです。

　裁判の結果はそれぞれの企業によって異なりますが、この一連の訴訟での和解条件として、「OSSライセンス順守に関する責任者を社内に設置すること」があった点が、各社がOSSコンプライアンス活動を強化していくことのきっかけになったと言われています。

　最近では、米国のトランプ前大統領が立ち上げたSNS「TRUTH Social」が、Mastodonプラットフォームを、そのソフトのライセンスであるAGPLv3を順守せずに利用しているとの指摘を受けたことが話題となりました。2021年12月現在、本件が実際の係争にまで拡大したという情報はありませんが、今後の動向が注目されています。

　このように実際の係争や訴訟に発展するケースもあり、OSSの利活用が拡大している中、「OSSコンプライアンス」の重要性は増す一方であると言えます。

企業でありがちなOSSコンプライアンスのトラブル

　前述の通り、OSSを使う際はライセンスを順守する必要があるのですが、日本企業においても、残念ながら「タダで使えるソフト」という認識しかなく、トラブルを起こしてしまうケースがあります。

　例えば、ライセンスへの理解が不十分なまま、ソースコードの開示が必要なライセンスのOSSに自社の機密情報を含むソースコードを組み合わせていた場合、後になってソースコードの開示を求められてしまうリスクがあります。このような場合、機密情報を開示する、あるいは製品やサービスの提供を止めなくてはいけない事態に発展してしまう可能性があります。

　また、逆にこのようなリスクを恐れるあまり、不用意にOSSの利用を禁止してしまうケースもあります。そうすると最新技術にアクセスできなくなり、技術的な競争力を失ってしまうリスクがあります。

　さらに、ソフトウェアのサプライチェーンの規模はますます拡大傾向にあり、委託先が使ったOSSの中身を知らずに、後からライセンス違反を指摘されてしまうリスクも増大しています。これらのトラブルを避けるために、OSSコンプライアンス活動を適切に行うには、ソフトウェアを社内で開発するにしても、外部から調達するにしても、「自社のソフトウェアの中身を正確に把握すること」が重要なのです。このような「Software Component Transparency（ソフトウェアコンポーネントの透明性）」は、コンプライアンスだけでなく脆弱（ぜいじゃく）性対応の管理という観点からも注目されており、米国のNITAや日本の経済産業省も企業におけるSoftware Component Transparencyの向上に注力しています。

OSSコンプライアンスに関する標準化コミュニティー「OpenChain」

　ここで、今回の連載を担当するOpenChain Japan Work Groupの紹介をさせてください。

　OpenChain ProjectはThe Linux Foundationのプロジェクトの一つで、企業がＯSSコンプライアンス活動を適切に実施できるようにするための社内プロセスについての標準の策定や普及を行っています。

　OpenChainが策定した標準は、2020年12月に「ISO/IEC 5230:2020」という国際規格となっています。

　OpenChainはGoogle、Facebook（Meta）、Microsoftといったプラットフォーマーや、富士通、日立製作所、NEC、パナソニック、ソニー、東芝、トヨタ自動車といった日本企業がプラチナメンバーとしてサポートしていますが、OSSコミュニティーですので誰もが自由に参加することができます。OpenChainの標準に基づいて各社はOSSコンプライアンスの社内プロセスを整備し、自己認証や第三者認証によって標準に適合していることを宣言できます。

　OpenChain Japan Work Groupは、OSSコンプライアンスに関する情報共有や困りごとの相談をするために2017年に日立製作所、ソニー、トヨタ自動車の呼びかけではじまった初めての国別コミュニティーです。定期的に全体会合を行っている他、教育・啓発資料の作成や情報共有フォーマットの標準策定など、7つのサブグループがさまざまな活動を行っています。

　本連載も、サブグループの一つであるプロモーションSGが企画したものです。OpenChain Japan Work Groupのメンバーの皆さんがリレー方式で、OSSコンプライアンスに関するさまざまな悩みごとを解決するヒントを共有させていただきます。お楽しみに！