ブラック・ダック・ソフトウェア、OSSの損害リスクと著作権侵害リスクを解説

企業内におけるオープンソースソフトウェアのロジスティックス管理サービスを提供するブラック・ダック・ソフトウェア株式会社（以下、ブラック・ダック）はOSSコンプライアンスセミナーと称して、企業におけるオープンソースソフトウェアの利用に関するリスクを題材としたセミナーを開催した。今回はその中で紹介された2つの講演について紹介しよう。

ブラック・ダック代表取締役の金氏

今回のセミナーではブラック・ダックの代表取締役金承顕氏が同社の最新のサービスについて紹介した後、まず最初に日比谷パーク法律事務所の上山浩弁護士が「OSSのセキュリティ問題に関する法的リスクと法的対策」と題された講演を行った。この講演では、企業がシステム開発会社に委託したE-コマースサイト構築において、システムが稼働した後にOSSを利用して構築したシステムの脆弱性が悪用され、個人情報が流出した事案を題材にOSSを利用する際に企業側が考慮しなくてはならない要件に関しての解説を行った。

この事案に関してはセキュリティの専門家である徳丸浩氏のブログに詳しい。徳丸氏は主にこの情報漏えいの原因と対策、判決において評価すべきポイントに関しての考察を行っているが、上山氏が行った講演では別の側面が大きく取り上げられていた。それは「OSSを使用し瑕疵（つまりバグ）によって損害が出た際の責任の所在と対策」である。

システム開発に関する契約問題に詳しい日比谷パーク法律事務所の上山浩弁護士

ここで上山氏はGPLv3における「16条 責任の限定（Limitation of Liability）」を例に挙げ、OSSをシステム開発に利用する際の実務上の問題点として、OSSのライセンスには通常「いかなる損害に対しても責任を負わない」という規定があることなどから、OSSを利用してシステムを構築した会社は、OSSの開発者だけでなく、システム開発会社に対しても損害賠償を請求できないというリスクを負っているということを、企業の法務部門はまず理解するべきだと説明した。

その上で、システム開発会社やパッケージソフトの開発ベンダーが契約書に書き加える「損害が出たとしても賠償の金額は顧客が支払った金額以上にはなり得ない」というような損害賠償の上限を定める条項に関しては特に注意が必要だと語った。上山氏の論点は、今回の判決においても上記のような条項が加えられていたにもかかわらず、3000万円以上の損害に対してごく僅かの損害賠償で済まそうというのは社会通念上有り得ないという判決が下ったという部分だ。

もう少し詳しく説明すると、今回はシステム開発後のシステム運用保守の期間に発生した損害だという。つまり顧客がシステム開発のために支払った金額（900万円弱）ではなく年間30万円程度の保守費用を損害賠償の上限とする旨の契約を結んでいたのだから、その30万円のみを返せば開発会社側の責任は終わるはずだという被告＝システム開発会社側の発想は、社会常識に照らして考えてみると受け入れられない、という部分だろう。常に契約書が全ての責任を回避する盾になってくれると思い込んでいるITベンダーにおいては衝撃的かもしれないが、少なくとも裁判官はITベンダーの思うようには判断してくれないと思うべきだ。更に「この条項があるせいで、本来であれば二者の話し合いで和解できるトラブルも、かえってこじれる原因になりかねない」のだという。だからこそ「企業の法務担当者はOSSライセンスの責任限定規定がどのような場合に問題となり得るかということと、OSSの障害よる損害賠償問題についてのベンダーとの契約のリスクを理解しておくべき」と指摘し、契約を結ぶ時は「顧客が支払った金額以上は賠償しない」といった条件を定める条項は外したほうがお互いのためだと力説した。そのための努力を企業の法務担当者は惜しむべきではないと訴えて、講演を終えた。講演後も参加者からは質問が相次ぐほど、今回の講演は参加者のスイートスポットに的中したということだろうか。

問題点をまとめたスライド

次に登壇したのは、Free Software Foundation Europeのプレジデント、Karsten Gerloff氏だ。Gerloff氏はFSFの立場からヨーロッパにおいて起こった著作権関連の裁判を事例に挙げ、著作権侵害の実態を解説した。ここで大事なのは主にプロプライエタリ―なソフトウェアを開発しているベンダーがGPLで著作権を保持しているソフトウェアを使うことがソースコード開示の義務を果たしておらず、結果的にGPLの違反になっている、ということだ。つまりクローズドなソフトの中にオープンなソフトが混ざることで、ソースコードをオープンにするべきかどうか？という争いが起きているのだ。その中で特に注目していたのはつい最近発表されたVMwareとChristoph Hellwigの裁判だ。

来日したFree Software Foundation EuropeのKarsten Gerloff氏

VMwareの言い分：http://www.vmware.com/company/news/vmware-update-to-mr-hellwigs-legal-proceedings

FSCの言い分：https://sfconservancy.org/news/2015/mar/05/vmware-lawsuit/

これは告訴を支援しているFree Software ConservancyによればHellwigが著作権を持つGPLであるLinux KernelモジュールがVMwareのESXiに使われており、GPLに沿えばソースコードを開示しなければいけないが、VMwareはそれを拒否している、というものだ。2011年から両者が協議を重ねていたもので、結局、折り合いがつかずにドイツの法廷に持ち込まれることになった。これは今年の3月に起こったものなので最終的にどういうところに着地するのかは不明だが、FSFはこの例のようにGPLなソフトが商用ソフトに含まれてしまい、結果としてソースコードを開示しなければいけない事案になった際にあくまでもフリーアンドオープンソースソフトウェアの立場からそれを支援するという立場にあるということだ。また裁判に持ち込むことでソースコードを開示させるのではなく金銭的な見返りを期待する裁判も起こっていることを説明した。このような場合、企業はもはや脅迫と受け取っても良いのではないだろうかと思われる。

つまり企業においてクローズドなシステムを開発した際にそれがGPLのコードを含むのであれば、ソースコードの開示や金銭的な損害が発生しうることを解説した。ここにブラック・ダックがGerloff氏を招聘した意味があると思われる。つまり自社が利用するOSSの中身、構成についてシステム管理者法務担当は十分に理解をするべきだし、そのためのサービスをブラック・ダックが提供しているという落としどころだろう。

上山氏の講演に関連して「OSSで損害が発生した際にヨーロッパではどういう裁判例があるのか？」という筆者の質問に対しては「我々はGPL著作権侵害の裁判の支援は行うが、企業同士の損害賠償などについては関心が無い。またヨーロッパではOSSは単にギフト、贈呈品とみなされており、それを使って損害が生じても開発者が責められることは無い」と回答し、FSFとしてはその部分については関係を持たないという姿勢であることを明らかにした。

GPL汚染と言うスラングさえ生まれてしまうGPLの精神は企業としてOSSを活用する際に法務担当者だけではなく、システム開発を行う責任者は十分に検討すべきであると思わされる講演であった。

※2015/4/6 22:00　上山氏の講演内容に関する表記を一部修正しました（編集部）