OSSライセンスの「クリアランス」ってどういうこと？ 具体的にどうやればいい？：解決！OSSコンプライアンス（6）

OSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する連載「解決！ OSSコンプライアンス」。6回目は、OSSコンプライアンスのために不可欠な「ライセンスクリアランス」について説明し、具体的な手順を紹介する。

[福地弘行，OpenChain Japan Work Group]

　本連載では、オープンソースソフトウェア（OSS）の利活用に伴う「ライセンスリスク」と、それをマネジメントするための活動である「OSSコンプライアンス」について取り上げ、エンジニアの方がOSSをスムーズに利用するための実務上の勘所や、これから戦略的にOSSを活用していきたいと考えている企業の方へのヒントとなる情報を紹介しています。

　今回も前回に引き続き、ソフトウェア開発企業X社の開発者である新城くんが経験した、OSSコンプライアンス問題とその解決策を解説していきます。思わぬ落とし穴や難しい問題に直面しながらOSSコンプライアンスに対応していく新城くんのエピソードを通して、皆さんも理解を深めていってください。

　なお、本連載では、特に記載がない限り日本国内でOSSを活用する場合を前提としており、本連載の執筆チームの経験に基づいて説明を記載しています。厳密な法解釈や海外での利用など、判断に迷う場合は専門家にご相談ください。

■今回の登場人物

新城くん　日本のソフトウェア開発企業X社で働く入社2年目の開発者。OSSは指示を受けながらソフトウェア製品やクラウドサービスで利用した経験あり。

佳美先輩　X社の先輩エンジニアで、新城くんの指導担当。OSSを活用した開発の経験が豊富。

エピソード9　OSSコンプライアンスって、時間がかかりすぎ！？

　後輩がついた新城くんは、チーム全体のOSSコンプライアンスのリーダーを任されることになった。リーダーとして、チーム全体の担当範囲を調査したところ、開発中のソフトウェア製品にOSSが数多く使われていることに気が付いた新城くん。

新城くん、OSSコンプライアンスについて聞きたいことって？

チームの担当範囲で数多くのOSSを使っていますよね？

そうね、新城くんのチームで30個くらいのOSSかな。

初めてだったとはいえ、自分の担当分だけでOSSライセンスの確認に数日かかったんですけど、30個もOSSがあったら単純計算で確認に30日以上かかりますよね？

新城くん、そう、OSSコンプライアンスは時間がかかるのよ。

どうやって間に合わせればいいですか？

ライセンスを守れなければ出荷できないんだから、ライセンス確認できていないのはソフトウェアバグと一緒。間に合うように計画するのよ。

解説：OSSライセンスクリアランスの具体的なやり方

　本稿では、出荷までに製品全体のOSSライセンス順守を確認する作業を「OSSライセンスクリアランス」（以下、クリアランスと記載）と呼びます。

　クリアランスは、製品に含まれている全てのOSSに関してライセンス条件を満足できることを確認し、配布の際に実施しなければならない事項（以下、「クリアランス関連情報」と記載）を準備することです。クリアランス関連情報には、例えばライセンス表記、著作権表記、ソースコード提供などがあります（ライセンスにより異なります）。

　ライセンス確認にはライセンスに関する知識と経験が必要である一方、製品に使用されるOSSは多数ありますから、クリアランスには時間がかかります。製品出荷までに終わらせるためには計画的にクリアランスを進める必要があります。クリアランスを計画的かつ効率的に進めるために、組織内にクリアランス担当者あるいはクリアランスチームを作るのは良い方法かもしれません。クリアランス担当者やクリアランスチームに知識や経験を蓄積していくことで、クリアランスを効率的かつ確実に実行できるようになります。

　計画の話をする前に、クリアランス全体の説明をします。

ライセンスクリアランスの全体像

　クリアランスへのインプットはOSSリスト、クリアランスのアウトプットはクリアランス関連情報です。

　クリアランスはOSSリストを作成することから始まります。OSSリストに含めた方がいい項目には次のようなものがありますが、会社や組織、取引先によって決められている場合がありますので、確認してください。作業を分担するためにも、他の人がOSSライセンスを確認できるように、OSSリストはクリアランスに必要な情報を含んでいる必要があります。