THE LINUX FOUNDATION PROJECTS

News

OSSに関するコンプライアンス体制構築の際の留意点

本日は弁護士の野中さん に登場頂きます!(諸事情により遠藤が投稿してます) はじめに はじめまして。弁護士の野中高広です。最近は、バッティングセンターにはまっています。空振りが約2割ですが(笑)。ところで皆さんの会社では、OSSのリスクの問題について、どの程度のかたが認識しておられるでしょうか?コンプライアンス体制についても最低限整っているといえますでしょうか?本日は、OSSに関してコンプライアンス体制の構築をするうえでの留意事項について、すでに皆さんご存知のことがほとんどであるとは思いますが、簡単に検討してみたいと思います。 どうして体制を構築する必要があるのか? これまでにOSSに関して問題となってきたいろいろな事例を見てみますと、第三者によるリバースエンジニアリングなどによって、OSSの利用が発覚し、OSSライセンス違反を指摘されるような場合があります。OSSのライセンス違反の指摘を受けた場合、謝罪やソフトウェアの差し替えを行なったり、ソースコードの公開などについて迅速かつ適切な対応をとることが重要と言われています。しかも、すばやく適切な対応を行なえば、すぐに訴訟に発展するわけではありませんし、欧米の事例を検討していますと、こうした対応の遅れが係争へと発展しているケースが多いともいえます。 留意すべき事項は? そのため、いろいろな事態あるいはリスクに事前に備えておくことが必要になるといえそうですが、実際にコンプライアンス体制を構築する際には、どのような点について特に留意する必要があるのでしょうか。会社によって進捗状況は様々だと思いますが、以下で、いくつか基本的な事項について触れてみたいと思います。 · まず、OSSライセンスの利用にあたってのコンプライアンス強化を図るために、OSS利用についての内部規程の作成や、内部規程遵守のための社内体制と仕組みの構築が求められるといえます。その際に、社員の方への内部規程の周知・教育に加えて、社内・社外向けにOSS利用についての問い合わせ窓口を設置することなどもセットで検討しておくことが有効といえるでしょう。 · その前提として、例えばGPLのソースコードの公開範囲についてなど、様々な解釈があり得るケースについては、この分野の有識者や専門家を交えて十分に検討を重ねて、自社の見解を統一しておくことが必要となります。その過程で社内で議論を積み重ねて、各種事例や先例についての知識や理解を深めつつ、多くの人が問題意識を共有することこそが有益ともいえるでしょう。 · また、最近では様々な有用なソフトもありますが、ソフトウェアの検査を行なうことも肝といえます。ソフトウェア開発の初期段階、委託先からソフトウェアが納入される時、あるいは製品の出荷前などに、OSS検出ツールなどを利用して、意図しないOSSが混入していないかを十分に検査する必要があります。特に、ソフトウェア開発の委託をする際には、利用するOSSとその利用条件の開示を求めたり、あるいはOSSライセンス違反をした場合の責任分担やソースコードの調査義務などについても念のため盛り込んでおくことも検討するとよいでしょう。ここらあたりの話については、個人情報の取扱いが第三者に委託される場合の留意事項とパラレルに考えることができるかもしれません。 · さらに最近では、法務デューデリジェンスによる確認も重要となってきております。例えば、M&Aにおいて、買収した会社がOSSライセンス違反をしている場合もあり得るため、法務デューデリジェンスで、OSSに関する問題をレビューしていくことも、今後は一般的になっていくものと思われます。 おわりに 以上、ごくごく簡単に見てきましたが、実際にいろいろな措置を導入していくに当たっては様々なハードルも考えられます。なかなか理解が難しい分野でもあり、問題意識を共有すること自体に苦労することも多々あるかと思います。本日のテーマが、皆さんの会社のコンプライアンス体制構築がさらに進むうえで少しでもお役に立てれば幸いです。 明日のテーマは… 明日は、Japan WGの設立当初から中心的な活躍をされているパナソニックの加藤さんから「OpenChain Japan WGの活動で集まった事例」についてご紹介いただく予定です。自社の体制を構築する上で一番気になる「他社はどうしているのか」がわかる貴重な情報ですので、ぜひご期待ください。

News

SW360/SPDX Liteを利用して、AGLリリースソフトを簡単に確認出来るようにする

この記事はOpenChain Advent Calenderの19日目の記事です はじめに 車載向けOSSコミュニティのAGL(AutomotiveGradeLinux)で使用しているソフトウェアについて、OpenChainにて議論が進められているSW360とSPDX Liteを利用して、AGLで使用しているソフトウェアを誰でも簡単に確認出来る方法を紹介します尚今回の内容については2020CESのAGLデモブース内のOpenChainブースでも紹介予定ですOpenChain and AGL Collaborate to Facilitate Open Source Compliance in Automotive Production AGLのリリースソフトウェアについて AGLでは年2回ソフトウェアをリリースしており、現状の最新ソフトはIcefish RC3 (v8.99.3)が年明けの正式リリースに向けて、リリースの準備が進められています。AGLリリースノートについて、このページを参照して下さい。ビルド済みのソフトについても公開されており、Yoctoビルド時に出力されるlicense.manifestを確認すれば、AGLでどのようなソフトウェアが使用されているか、下記のように確認する事が出来ます PACKAGE NAME: af-binderPACKAGE VERSION: master+gitAUTOINC+82a9d79621RECIPE NAME: af-binderLICENSE: Apache-2.0このように・パッケージ名・バージョン・ライセンスを確認する事が出来ますが、AGLでは1,500~1,600位のソフトウェアが使用されており、license.manifestを確認するのはそれなりに苦労するため、SW360/SPDX Liteを利用して誰でも簡単にAGLのリリースソフトウェアを確認出来るようにしたいと思います...

News

富士通のオープンソースへの取り組み

はじめに こんにちは。富士通の青木です。富士通で唯一”オープンソースソフトウェア(OSS)”という名前が付く組織「OSS技術センター」に所属しています。私のプロジェクトでは、社内でのOSS利活用推進全般を実施しています。今日は、OpenChainプロジェクトの活動に至るまでの富士通のOSS専門組織や社内の関連部門とスクラムを組んで歩んできた取り組みについてご紹介します。 富士通のオープンソース専門組織「OSS技術センター」 富士通とOSSとの関わりは、1999年に富士通サーバーのLinuxサポートをスタートし、現在のOSS技術センターの前進組織として2000年1月設立の富士通Linuxセンターが発足しました。 OSS技術センターの発足 ミッションクリティカルな領域でOSSがどんどん使われるようになり、富士通社内でもOSSの重要性が認知されて、お客様の要件や用途に合わせた適材適所なオープン技術の選択によってお客様の新たな価値を創造していくことを目指して2005年11月に専門組織「OSS技術センター」が組織化されました。 OSSの選定や技術支援など富士通のフィールドと一体となった活動には多くの実績がありますが、ここ3年ほどはOSSのライセンスリスクや技術リスクなどをお客様自身が課題ととらえて、様々な相談が寄せられるようになってきています。 社内でのOSSコンプライアンス活動 社内では、ツールを利用したOSSの混入チェックや、ライセンスポリシーを自動判定、さらにBOM管理を実施して、脆弱性を通知するサービスを開発部門へ提供し、OSSのライフサイクルマネージメントを実現しています。 主に実施していること・利用しているOSSの見える化。・製品で利用しているOSSコンポーネントとライセンス情報や脆弱性情報との紐付け。・会社として問題ないと判断したソフトウェア/バージョン/ライセンスのリスト化と判定。・工程ごとの承認の仕組みとエビデンスを導入。(ワークフロー機能) 社内プロセスの整備 上記の仕組みを確立するまでは、長い時間をかけ、知財部門、品証部門、もちろん開発部門も巻き込んで、社内でライセンスを正しく守りつつOSSを利用するための枠組みを整理しました。知財部門が中心となって、OSS利活用ガイドを作成しルールとプロセスを定め、全社規格や部門規格にOSSの規定を盛り込んでいます。 富士通では、適用領域が多岐にわたることもあり、複数の部門横断の体制を組み総合力を活かしてOSSの活用を推進しています。 OSSの利用拡大と全社教育 OSSがOSの模倣や商用製品の代替と呼ばれていた時代から変化し、AIなどをはじめとするデファクト技術がOSSから生まれるようになり、我々の業務もかなり変化をしていると感じます。少し前までは開発に携わるキーマンがOSSのライセンスについて熟知していればよかったところ、今や調達部門や営業部門などもOSSに対する知識を身に着けていく必要があると感じています。そこで従来は、開発部門に向けた集合教育やe-learningをメインに実施していましたが、2年前に全社員を対象にしたリテラシー教育を新規に作成し、e-learningでいつでもだれでも受講できるようにしています。どちらかというと、OSSのライセンスの話や義務履行の話が多いため、今はOSSのコントリビューションの教育を整備しているところです。 OpenChainプロジェクトとの関わり 2017年12月のJapan WG発足時に、トヨタさん、日立さん、SONYさん達と富士通の知財部門や組込みLinuxの開発部門がOpenChainの日本の活動を盛り上げようと参加しています。サブWGのFAQ, ライセンス情報, Planning, Promotionなどなどで10名ほどが活動しています。富士通では、グループ会社を含む全社活動のOSS利活用WGにてその活動報告を共有し、仲間づくりを進めつつ、もっともっと参加していくべきということで、2019年2月にplatinumメンバーになりました。今年度は、社内でも全社員に向けたメールマガジンで、OpenChainの紹介をしたり、Japan WGの本会合を社内で開いたりして、今まで興味をもっていなかった営業部門ほか関係部門の方々にも活動をアピールしています。 SPEC2.0 認証 2019年11月に富士通は自己認証を取得しました。もともと整備してきたOSSの全社規格や部門規格をあらためて見直し、OpenChain仕様にそって改善を加え、知財部門、OSS技術センター、開発部門(組み込みLinux開発部門・ソフトウェア事業部門)と大きな組織で教育展開を一斉に実施し、認証を取得しました。これは、従来のプロセスやルールを振り返るとても有意義な取り組みで、教育の再実施により、デファクトスタンダードとなる仕様と自分たちの実践活動を紐づけができた、とてもいい機会となりました。今後も継続して仕様に準拠して取り組んでいきたいと思います。 OSPOとして OSS技術センターが富士通のOpen Source Program Officeとして社内外から認知されて相談に乗れるように、今後も専門組織として取り組んでいきます。また、富士通はグローバルカンパニーとして、富士通の北米、欧州、アジア部門とも連携してOpenChainの取り組みをはじめ、連携しながら活動していきます。...

News