「OSSライセンスに関する教育をやろう！ でもどうすればいい？」：解決！OSSコンプライアンス（12）

OSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する連載「解決！ OSSコンプライアンス」も今回が最終回。社内などにおいて、OSSライセンスに関する社内教育で使える資料などを紹介します。

[渡邊歩，OpenChain Japan Work Group]

　本連載では、オープンソースソフトウェア（OSS）の利活用に伴う「ライセンスリスク」と、それをマネジメントするための活動である「OSSコンプライアンス」について取り上げ、エンジニアの方がOSSをスムーズに利用するための実務上の勘所や、これから戦略的にOSSを活用していきたいと考えている企業の方へのヒントとなる情報を紹介しています。

　今回も前回に引き続き、ソフトウェア開発企業X社の開発者である新城くんや、X社からの委託先であるＹ社の神田さんが直面する、OSSのコンプライアンス問題とその解決策を解説していきます。思わぬ落とし穴や難しい問題に直面しながらOSSコンプライアンスに対応していく新城くんのエピソードを通して、皆さんも理解を深めていってください。

　なお、本連載では、特に記載がない限り日本国内でOSSを活用する場合を前提としており、本連載の執筆チームの経験に基づいて説明を記載しています。厳密な法解釈や海外での利用など、判断に迷う場合は専門家にご相談ください。

■今回の登場人物

新城くん　日本のソフトウェア開発会社X社で働く入社3年目の開発者。 佳美先輩のもとでOSS活用に関する経験を積み、大規模プロジェクトのメンバーに抜擢（ばってき）された。

因幡PM　新城くんが参加している大規模なソフトウェア開発プロジェクトのマネジャー。

神田さん　新城くんがモジュールの開発を委託しているY社のSBOM管理の担当者。Y社は開発の一部をZ社に再委託している。

前回までのあらすじ

　Ｘ社の新城くんは、自社開発のAモジュールと、協力会社Y社が開発したBモジュールおよびY社の再委託先であるZ社が開発したCモジュールとを組み合わせた製品を開発中だ。前回、Y社からBモジュールとCモジュールのSBOMが納入されたが、管理項目名やフォーマットが異なっていた。そこで、新城くんはSBOMのフォーマットと策定手順を添え、あらためてY社にBモジュールとCモジュールのSBOMの再作成を依頼した。

エピソード18　OSSライセンスに関する教育をやろう！

　ある日のプロジェクト全体進捗会議において、Y社の神田さんから作業遅延の報告がありました。どうやら、新城くんから依頼したSBOMの作成作業について、作業上の問題があるようで……。

先日ご依頼があったBモジュールとCモジュールのSBOMの再作成に着手していますが、少し問題が……。

具体的にどのような問題でしょうか？

まず、弊社開発分のBモジュールについてです。今回のご依頼を受けてあらためて確認したところ、デュアルライセンスの場合を考慮していなかったことが判明し、再調査しています。このため、予定の期限を超過しそうです。

（僕も最初はデュアルライセンスってよくわからなかったよなぁ……）

次に、Z社さん開発分のCモジュールのSBOM作成についてですが、新しいメンバーが対応することになったそうで、ライセンスクリアランスのやり方を習得するのに苦労しているそうです。

（うん、うん、僕も最初はそうだった）

そうですか……。今後のこともありますし、皆さんがきちんと理解して作業していただけるようにしないといけませんね。新城くん、協力会社さん向けにレクチャーすることはできるかな？

はい！　やってみます！！

解説：OSSに関する知識と理解のレベルをチームの中で合わせよう