オープンソースの開発者が製造責任や賠償責任を負う可能性があるとして、EUのサイバーレジリエンス法案にPython Software FoundationとEclipse Foundationらが異議を表明


欧州連合(EU)の政策執行機関である欧州委員会は、サイバー攻撃による社会的な被害が大きくなってきていることを背景に、現在広く普及しているさまざまなデジタル製品やサービスのセキュリティをより高める目的で、サイバーレジリエンス法案(CRA:Cyber Resilience Act)を検討しています。




しかしこれらの法案ではオープンソースの開発者が製造責任や賠償責任を負う可能性があり、それがオープンソースの開発と革新を阻害することになるとして、Python Software FoundationやEclipse Foundationらが相次いで異議を表明しています。



Pyton Software Foundationは4月11日付けで「The EU's Proposed CRA Law May Have Unintended Consequences for the Python Ecosystem」(EUのCRA法案は、Pythonのエコシステムに意図しない結果をもたらす可能性がある)という文書を公開しました。



After reviewing the proposed Cyber Resilience Act and Product Liability Act, the PSF has found issues that put the mission of our organization and the health of the open-source software community at risk. While we support the stated goals of these policies of increasing security and accountability for European software consumers, we are concerned that overly broad policies will unintentionally harm the users they are intended to protect.

PSF(訳注:Python Software Foundation)は、サイバーレジリエンス法案および製造者責任法改定案を検討した結果、私たちの組織の使命とオープンソースソフトウェアコミュニティの健全性を危険にさらす問題があることを発見しました。私たちは、欧州のソフトウェア消費者のセキュリティと説明責任を高めるという、これらの政策が掲げる目標を支持しますが、過度に広範な政策であるために、保護しようとするユーザーに意図せず損害を与えることを懸念しています。

そしてPython Software Foundation自身が金銭的な責任を負う可能性があると指摘します。

Under the current language, the PSF could potentially be financially liable for any product that includes Python code, while never having received any monetary gain from any of these products. The risk of huge potential costs would make it impossible in practice for us to continue to provide Python and PyPI to the European public.



In Article 16, “A natural or legal person, other than the manufacturer, the importer or the distributor, that carries out a substantial modification of the product with digital elements shall be considered a manufacturer for the purposes of this Regulation.” is too broad. Open source is full of people who make a substantial modification to a piece of public code but do not have any contractual or financial relationship with the entity or entities that might eventually use that code in a commercial product.



Secondly, in Recital 10, the phrase “…by providing a software platform through which the manufacturer monetises other services.” is not specific enough. Public code repositories and their hosts may offer paid classes or sell tickets to conferences about shared open source code while still having no control over the way commercial entities use that code in their products. Disincentivizing educational activities or curtailing public patches from third parties will not make European software consumers safer.



We need it to be crystal clear who is on the hook for both the assurances and the accountability that software consumers deserve. Language that specifically exempts public software repositories that are offered as a public good for the purpose of facilitating collaboration would make things much clearer. We'd also like to see our community, especially the hobbyists, individuals and other under-resourced entities who host packages on free public repositories like PyPI be exempt. We believe these exemptions would help both consumers and the open source ecosystem, as well as the economic actors who depend on it.



続いてEclipse Foundationが4月17日付で公開した文書「Open Letter to the European Commission on the Cyber Resilience Act」を見ていきましょう。


Eclipse Foundationもサイバーレジリエンス法案の主旨には賛同しつつも、以下のように強い懸念を表明しています。

We deeply share the CRA’s aim to improve the cybersecurity of digital products and services in the EU and embrace the urgent need to protect citizens and economies by improving software security.


However, our voices and expertise should be heard and have an opportunity to inform public authorities' decisions. If the CRA is, in fact, implemented as written, it will have a chilling effect on open source software development as a global endeavour, with the net effect of undermining the EU’s own expressed goals for innovation, digital sovereignty, and future prosperity.



Moving forward, we urge you to engage with the open source community and take our concerns into account as you consider the implementation of the Cyber Resilience Act. Specifically, moving forward, we urge you to:

  1. Recognise the unique characteristics of open source software and ensure that the Cyber Resilience Act does not unintentionally harm the open source ecosystem.
  2. Consult with the open source community during the co-legislative process.
  3. Ensure that any development under the CRA takes into account the diversity of open and transparent open source software development practices.
  4. Establish a mechanism for ongoing dialogue and collaboration between the European institutions and the open source community, to ensure that future legislation and policy decisions are informed.


  1. オープンソースソフトウェアの特性を認識し、サイバーレジリエンス法が意図せずオープンソースエコシステムを害することがないようにすること。
  2. 共同立法プロセスにおいて、オープンソースコミュニティと協議すること。
  3. CRAの下での開発が、オープンで透明性の高いオープンソースソフトウェアの開発のプラクティスの多様性を考慮したものであることを保証すること。
  4. 欧州機関とオープンソースコミュニティの間で継続的な対話と協力のための機構を確立し、将来の立法と政策決定において情報提供を行えるようにすること。

サイバーレジリエンス法案については、ここで紹介したPython Software FoundationとEclipse Foundation以外にも、昨年(2022年)10月にはInternet Societyが「The EU’s Proposed Cyber Resilience Act Will Damage the Open Source Ecosystem」と異議を表明し、今年(2023年)1月にはOpen Source Initiativeが欧州委員会への直接フィードバックで異議を表明しています



業界動向 オープンソース


AWS / Azure / Google Cloud
クラウドネイティブ / サーバレス
クラウドのシェア / クラウドの障害


JavaScript / Java / .NET
WebAssembly / Web標準
開発ツール / テスト・品質

アジャイル開発 / スクラム / DevOps

データベース / 機械学習・AI

ネットワーク / セキュリティ

OS / Windows / Linux / 仮想化
サーバ / ストレージ / ハードウェア

ITエンジニアの給与・年収 / 働き方

殿堂入り / おもしろ / 編集後記


Blogger in Chief

photo of jniino

Junichi Niino(jniino)

Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed


<!- script for simple analytics events -->