オープンソースソフトウェア(Open Source Software: OSS)は、ほとんどのソフトに使われえているほど普及していて、ソフト開発には欠かせないツールです。しかし、適切に使用されない場合、会社に経済的・経営的に大きな打撃を受ける可能性があります。そこで、OSSプログラムを立ち上げるときの企業内弁護士のための5つのアドバイスを紹介します。
以前にOpen Source Softwareについて知っておきたい基本をまとめたので、それと合わせて見てもらえるといいと思います。
OSSのメリットとそのリスク
OSSを用いることで、特定の機能を行うコードを1から書く必要がなくなるため、うまく使うとソフトの開発時間やコストを節約することができます。また、他社のソフトとの連携を可能にするようなOSSも多いので、製品プラットフォームの相互運用を可能にすることもできます。
そのため、多くのソフト開発でOSSは用いられていますが、OSSの利用に関するリクスも無視できるものではありません。
例えば、OSSの著作権表示を適切に守らなかった場合の法定損害賠償額は、侵害行為1件につき最高15万ドルになりこともあります。17 U.S. Code § 504.これらの損害賠償は、会社の売却や合併を妨げたり、影響を受けた製品の価値を大きく下げるきっかけになる可能性があり、OSSの取り扱いが深刻な事態に発展する可能性があります。
もう一つの深刻なリスクは、OSSがコードベースで使用され、配布された製品に展開された後、技術チームが監視とバグフィックスを適切に行わなければ、既知の脆弱性が悪用され、システム障害や情報漏えい、ハッキングの被害に合うこともあります。
このようなリスクから自社を守ることは、とても重要なため、今回はリスク軽減するために、企業内弁護士がビジネス関係者と協力して行うべき主なステップとプロセスを紹介します。
1. ポリシーを持つ
まずは、法務、技術、コンプライアンスの各チームが検証し、合意したポリシーを文書化しましょう。このようなポリシーは、製品やサービス全体におけるOSSの使用に関して、企業や開発者の基本的なルールになります。さらに重要なことは、ポリシーを作成し展開することで、異なる機能グループ間で生産的な議論と検討を行い、会社の懸念事項、目標、ベストプラクティスについて一致させることです。
2. プロアクティブであること
会社がどこで、どのようにOSSを使用しているかを常に把握する必要があります。そのためには、OSSを利用する前に積極的にガイダンスを行い、問題が発生する前に、適切なIT管理とコンプライアンスの一環として定期的に監査を行うことが有効です。
M&Aや顧客・パートナーとの商取引の直前は、コンプライアンス違反の問題を知るタイミングではありません。このような取引において、通常、特定された問題を修正する時間はほとんどありません。また、第三者との取引で、このような突発的な問題が発生してしまうと、準備不足を示唆してしまい、その結果、会社や製品への信頼を損ない、取引収入の減少につながる可能性があります。
3. 製品開発サイクルに反復的なOSSプロセスを組み込む
多くの場合、OSSコンプライアンスを他の法的承認やコンプライアンス承認と同様に扱い、知的財産(IP)製品の承認、安全性、品質など他の分野の承認に使用している製品開発のゲートレビューやチェックに組み込むことで、OSS問題の先手を打つことが容易になります。これは、製品開発プロセスの早い段階で議論を行うのに役立ち、製品管理チームとエンジニアリングチームは、適切な OSS の使用とコンプライアンスについて説明責任を果たすことができます。
4. ベンダー/コンポーネント選定プロセスへのOSSディリジェンスの組み込み
社内弁護士は、製品開発サイクルの上流に目を向け、自社製品への搭載が検討されているハードウェアやソフトウェア部品に使用されているOSSを特定することも必要です。特に、製品にとって重要なソフトウェアやコンポーネントを調達する場合、その製品の統合や商品化に先立って、OSSの露出度を十分に把握することが重要です。また、競合する技術やプロバイダを検討する際には、それらがどの程度OSSに依存しているのか、また、自社独自のコードにコピーレフトの要件を課している場合、自社独自のコードの公開や同様の無償ライセンスの付与を求められるなど、そのOSS利用にどのような影響を与える可能性があるのかを検討します。こうしたライセンスの影響は、そうした技術やプロバイダのコストと価値を評価する際に考慮すべきです。また、請負契約、コンサルティング契約、共同開発契約、ソフトウェアライセンス契約など、第三者との商取引上の合意事項や期待事項を正式なものにすることも検討すべきです。
5. 導入をできるだけ容易にする
最後に、効果的な OSS プログラムを展開する際に社内弁護士が直面する可能性のある主な問題は、問題のあるライセンスの回避、ライセンス承認レポートの作成と公開など、OSS の使用と関連ライセンスの遵守を追跡するために、企業のエンジニアリングチームにプログラムが課すかもしれない膨大な管理努力にあります。ビジネス上の利害関係者が優先順位をつけ、技術/製品チームが法務チームと協力して強固な OSS プログラムを採用する可能性を高めるには、いくつかの方法があります。
まず、IT部門や情報セキュリティ部門と連携することです。場合によっては、知的財産権に基づくリスクだけに焦点を当てるのではなく、既知の脆弱性を持つ古いOSSコンポーネントを使用した場合の影響など、コンプライアンス違反による潜在的な情報セキュリティ・リスクの方が、ビジネス利害関係者にとってより説得力があるかもしれません。そのため、情報セキュリティ・チームは、既知の脆弱性と利用可能なパッチを常に最新の状態に保つ手段として、積極的なOSSプログラムを強く支持することができます。
第二に、OSSポリシーやスキャンによって最も直接的な影響を受けるエンジニアやソフトウェア開発者の負担をできる限り軽減することです。この点は、ポリシーを課す法務チームによって見過ごされがちです。しかし、(ライセンス制限のため)開発者が利用できるソフトウェアを制限したり、ビルド後に大規模なスキャンとその結果の修正を要求したりすると、多くの作業が発生し、開発チームが製品の開発作業に集中できなくなってしまいます。これは、エンジニアリング/開発者グループとの間に摩擦を生じさせ、ポリシーの一致やプログラムの採用に対する抵抗や遅延につながる可能性があります。可能であれば、ソフトウェア開発サイクル(ビルド時など)に自動OSSチェックを組み込んで、作業中にフラグを立て、意思決定者に話をさせるようにすることが望ましいでしょう。開発者のビルドツールと統合し、確立したポリシー決定を製品ごとに管理し(ポリシー策定後)、エンジニアリングプロジェクト管理の発券システムで懸念事項を提起し、コンプライアンスと是正措置を推進するためのソフトウェアパッケージはいくつか市販されています。
まとめ
現在、市販されているソフトウェアの大半は、オープンソースソフトウェアを含むか、またはそれをベースにしており、開発者やエンジニアがより迅速かつ効率的に新しい製品を生み出すのに役立っています。しかし、社内弁護士やコンプライアンス組織は、そのようなOSSの使用による重大なリスクや望ましくない結果を避けるために、自社の監視と保守に慎重かつ測定的であるべきです。
参考文献:Five Tips For Every In-House Counsel Launching an Open Source Software Program
