こんにちは、日立ソリューションズの吉田です。
OSSを活用することが一般的になってきていますが、OSS活用に二の足を踏んでいる企業も多くあります。そのような企業が課題と考えているものとして、「緊急時のサポートが迅速に受けられない」「OSSを管理できる社内のエンジニアがいない」が挙げられますが、その他にも、「OSSのライセンスを理解するのが難しい」とか「セキュリティの脆弱性に対するコミュニティの対応が迅速に行われない」というものがあります。さらに、「使用しているOSSとそのコミュニティが特許侵害などで訴訟を起こされてしまわないか不安である」とまで考える企業の担当者もいるようです。
特にコンプライアンス関連でのリスクについては、慎重に対応しなければいけません。ライセンスの理解が不十分なために、適切なライセンスへの対応を怠ったり、自社開発や外部へ発注したソフトウェアに意図しないOSSが混入していたりという事例が数多く報告されています。
このようなライセンス違反を起こさないためにはどのようなことが必要なのでしょうか――。この問題は、単に技術的な問題にとどまらず、訴訟問題に発展する可能性もあり、影響範囲が非常に大きくなります。
問題を起こさないためには、OSSを活用するためのガイドラインが必要になります。もちろん、ガイドラインを作成すればそれで終わりということではなく、どのように運用していくかまで考えなければいけません。
ということで、今回はガイドラインの作成と運用について、ご説明したいと思います。しかし、ガイドラインを作成する前にしなければいけないことがいくつかあるので、まずはそこから話を始めたいと思います。
1.OSSビジネス戦略の策定
まず、ガイドラインを策定する前に、「OSSビジネス戦略の策定」をしなければいけません。経営層が自社のビジネスにおいて、OSSに取り組む目的を明確にすることが必要です。OSSを活用するかどうかに関わらず、取組み方針を具体化し、明文化する必要があります。また、従業員が「すべきこと」と「してはいけないこと」の判断基準とするためにその明文化された内容を全従業員に周知徹底しなければいけません。
2.推進体制の構築
ビジネス戦略を策定しても、このビジネス戦略を具体的な実行プランに落とし込むための推進体制が必要になります。コンプライアンスの観点から、法務部門や知財関連の部門もこの推進体制に入ってもらうことが重要になりますが、あくまでも技術的な側面が強いので、技術担当部門が取りまとめを行うことをお勧めします。また、この推進体制でのガイドライン作成に際しては、単にガイドラインとして規約をまとめるだけではなく、ガイドラインを運用管理するための仕組み作りも併せて検討する必要があります。
3.ガイドラインの策定
ガイドラインの内容については、以下のような内容を検討する必要があります。
- 基本方針
- 活用形態
- ライセンスについて
- 対コミュニティについて
もちろん、これだけで良いというわけではありませんが、最低限これぐらいの内容をまとめておく必要があります。以下にもう少し詳しく説明したいと思います。
