OSSライセンスコンプライアンス確立の 傾向と対策

OSSライセンスコンプライアンス確立の傾向と対策

はじめに

OSSライセンスコンプライアンス確立の傾向と対策について会社組織の中で頻繁に見られる障害を取り上げ、傾向と対策を分かりやすくご紹介します。
OSSライセンスのコンプライアンスのための体制を確立することは簡単ではありません。組織の中では、周囲の理解と協力を得ないと物事が前に進まないのは常ですが、そこに加えてOSS特有のわかりにくさ、共感の得にくさがあるように思います。
そこで、筆者とその周囲の経験・知見を元に、会社組織の中で頻繁に見られる障害を取り上げ、今まさに、またはこれからOSSライセンスコンプライアンス確立を託された読者の方々に向けて、傾向と対策を解きほぐして解説します。

 

OSSライセンスコンプライアンスの確立とは︖

---------------------------------------

コンプライアンスを確立すると言っても、あなたがよほどの権限を持っていない限り、協力者と問題意識を共有できていないと前に進めることはできません。しかし、権限を持った協力者を作ることは、意外と難しいものです。
そこで、OSSライセンスのコンプライアンス確立問題に気が付いて、社内に警鐘を鳴らそうとする主唱者の方が遭遇する難題を次のように大きく4期に分けて見て行きます。

  1. 問題意識が共有できない
  2. 提案したルールが受け入れられない
  3. ルールが守られない
  4. ルールが足りない

 

第1章 問題意識が共有できない

---------------------------------------

【傾向と対策】リスクは何ですか︖

例えば、「業務で使用するパッケージソフトの、社内PCおよび在宅ワーク用個人PCへの違法インストールの撲滅」と謳えばわかりやすい課題になります。ライセンス契約により使用本数に応じた課金がされ、無断での複製禁止が謳われ、これに違反すると通常の使用料の何倍かの課徴金が発生する、あるいはベンダーから訴えられるリスクがあります。OSSはそもそも無償で利用できる点で、このリスクはありません。
そこで、数ある特徴の中から、あなたの組織の運営・経営において、何がOSS利用上のリスクとなるかを定義できないことには、課題に落とすこともできません。

まず世間でよく耳にするのは次の2点でしょう

OSSセミナーなどで語られるこれら2つの問題を引用する方は多いと思います(そのためのセミナーですが) しかし、受け売りや的外れな脅し文句にならないよう、自分なりに消化してから提案に備えることが対策の第一歩です。 そうでないと、次のやり取りのように迷走してしまいます。

 

 

 

 

Q&A(1)

経営者:だったらOSS、少なくともGPLは全社的に使用禁止にしよう。 「OSSを排除した安心のソフトウェアをお届けします」と打ち出して他社と差別化できる。
あなた:OSSの排除は、顧客価値ではないですし、そもそも無理です。
経営者:なぜだ?

Q&A(2)

特許管理責任者:ソースコードは勝手にユーザーに提供されると困る。 開発区に周知してください。
あなた:わかりました。

Q&A(3)

法務責任者:GPL違反で訴えられた場合、訴訟額はいくらくらいなの?
あなた:和解で終わるため公知ではありませんが、ネット上で一部の情報が見つかります。
法務責任者:特許訴訟などに比べると額は小さそうだけど、金銭以外にもリスクはあるの?

ここから先に話を進めるためには、事前にあなたの会社自身の実状を把握しておく必要があります。
ここでは大きく3つのポイントを紹介します。

そして、関連部門の機能も加味して、他人事ではない、自分たち固有の問題と感じてもらえるよう「●●●に刺さりそうな切り口で言うと、こういう問題です。」、と提案ができて、はじめて関連部門からの協力が得られることに繋がります。

第2章 提案したルールが受け入れられない

---------------------------------------

【傾向と対策2】利用者の立場でシミュレーションし、考えたルールになっていますか?

責任者の関門を突破したら、次は現場です。前章の傾向と対策でピックアップされた全ての問題を解決するため、網羅的なルールをいきなり提案したとします。すると大抵は「言いたい事はわかるけど、厳し過ぎて守られないのが見えている。」や、「既に様々なルールで縛られていて、その全てを守ることは困難なのに、更に馴染みのない新しいルールを持ち込まれても、浸透させることはできないし、実務が回らない。」と反発を買いかねません。
提案の前に危機意識を共有することと、そのために現場の実状に寄り添う姿勢を大切にしましょう。また、最初から全社展開を目指すことは無理があると自覚しておきましょう。

第3章 ルールが守られない

---------------------------------------

【傾向と対策3】:説明責任を果たしていますか?

新しいルールが浸透するのは、一定の時間が掛かります。まず、焦らないことです。その上で、ルールが守られないとしたら、その大きな理由の一つは前章でトライした「利用者の立場で考えたか」で、もう一つが「単純に知らなかった」や「得体が知れないから当面は無視」系の理由です。
従って、新しくOSSライセンスコンプライアンスルールを制定する以上は、あなたには対象部門への説明責任があります。既に第1章で、「自分たちの問題として感じてもらう」説明方法を身に着けていますから、自信を持って説明をしてください。そして、ルールを実践してみた経過・結果には常に気を使い、ルールに対するPDCAを忘れず業務改善に努めてください。

【傾向と対策4】:ルールに権威を持たせていますか?

ルールを制定する上では、必ずチェックのためのゲートを持たせてください。これは、単純な努力目標ではなく、「これを満たさないと次に進めない」という関所ですから、ルールを守らないと製品がリリースできないことを表します。(一般的には付表の「品質保証部」の監査項目。)

 

第4章 ルールが足りない

---------------------------------------

【傾向と対策5】:常にPDCAを意識

第2章でスモールスタートを切った手前、その他のOSS流入経路で問題が起きる可能性があります。(付表の「開発部B」がAndroid搭載部品の採用を決定して、何をすれば良いかわからない、等)
この点は、既に一度ルールを作った経験が生きるところです。単純に既存のルールを準用できるか、既存のルールに想定外ケースを追加するルール改訂を行うか、既存のルールを元にした派生ルールを作るか。いずれのケースを選んでも、はじめてのルール作りと比べれば格段に迅速な対応が可能でしょう。

【傾向と対策6】:上流の取引先が協力してくれないケースに備える

あなたが作ったルールは、適用範囲をいくら広げても自社の社員にしか届きません。従って、取引先など社外を基点とする経路からOSSが流入する場合で、その直接の相手方からコンプライアンス遵守に協力していただけないケースが起きても、社内ルールを適用する手段は取れないわけです。
これは相手方と自社との2者間問題です。そこで第一段階として、業務委託や仕入れ、購買に関する契約条件として、「事前の合意なしにOSSを使用しない」という条項をあらかじめテンプレート化することを法務部などと進めましょう。

最後に

OSSライセンスのコンプライアンス体制を構築し、改善活動を回して行く上では、上位の基本方針も見直しの対象となることを忘れないでください。

実は「遵法利用」という基本方針は浸透させやすい反面、単に前提条件を示しているだけで、本質的にOSSを利用する目的であったり、自社が目指す姿を表していないため、求心力が弱いと筆者は考えています。

また、「遵法利用」を提示しやすい背景として、「OSSとは、ソースコード形式で公開され、無償で製品に組み込んで利用し、再頒布できるソフトウェア。但し一定の利用条件を守る必要がある。」という一般定義の普及が一因とも考えています。なぜなら、この定義から導き出される「目指す自社の姿」は、「製品開発の人件費(開発工数)と経費(使用料)の2大コストを合法的に抑制して、利益率を向上する企業」となるからです。

それでも、この姿のまま次の一歩を踏み出すことは可能です。例えば自社の要求仕様を満たすOSSをランキングして、自社と相性の良いOSSを機能別に絞り込んでみるとします。そのとき、1)絞り込んだOSSを優先利用するための活用ノウハウを全社で共有して利用機会を増やし、2)利用頻度の高いOSSに対する社内でのバグフィクスや小改良を一元管理して更に使いやすくし、3)改良成果を各開発コミュニティに還元して社内でのメンテナンスを不要にする、というサイクルを作ることができれば、OSS利用による合法的なコスト抑制が更に徹底できることでしょう。その上、知らない間にOSSが自社の技術戦略と絡んで活用されていたり、OSSコミュニティや業界他社から感謝されることもあるでしょう。

これが「遵法利用」の前提条件を卒業するときです。その日まで、ポジティブに、辛抱強く課題と向き合って行きたいものです。
さて、あなたがOSSライセンスコンプライアンス体制を確立する上で目指す姿は、決まりましたか︖

 

 

 (*1)本文中記載の会社名、商品名、ロゴは各社の商標、または登録商標です。

 

Tips集のご案内

テクマトリックスでは企業としてOSSと上手につきあうための注意点など、OSSを利用したソフトウェア開発活動の価値を根付かせるためのTIPS集を全6回にわたりご提供してきました。
総集編として、過去全6回に渡り配布したホワイトペーパーを一括でダウンロードできるようにしました。

  第1弾!「OSSガバナンスを社内構築するためのヒント」
  第2弾!「組み込みソフトウェアにおけるOSSを活用する方法」
  第3弾!「CASE時代のオープンソース(前編)」
  第4弾!「CASE時代のオープンソース(後編)」
  第5弾!「ロボットを動かすオープンソース」
  第6弾!「OSSライセンスコンプライアンス確立の傾向と対策」

ソニーグループ様が語る!組織的なOSS管理を担うOSPOとは~サイバーセキュリティ対策の強化とSBOMの最新動向~

2023年10月12日に実施したOSSコンプライアンスセミナーの講演動画+講演資料を提供中です。

OSSコンプライアンスセミナー