連載 [第4回] :
  月刊Linux Foundationウォッチ

オープンソースライセンスコンプライアンスのためのプロセスマネジメント標準「OpenChain」が国際規格として承認

2021年1月29日(金)
吉田 行男

こんにちは、吉田です。今回は、2020年12月16日に国際規格として承認された「OpenChain」のトピックスを紹介したいと思います。

2020年12月16日、オープンソース ライセンス コンプライアンスのためのシンプルで明確かつ効果的なプロセス マネジメントの標準である「OpenChain 2.1」がISO/IEC 5230:2020で国際規格として承認されました。また、トヨタ自動車から、このISO/IEC 5230:2020への適合認証の発表がありました。なお、これまでの「OpenChain 2.0」に準拠したコンプライアンス認証を取得している企業は、自動的にISO/IEC 5230:2020の要求事項に自動的に適合することになります。

【参照リリース】OpenChain 2.1 is ISO/IEC 5230:2020, the International Standard for open source compliance. (英語)
https://www.openchainproject.org/featured/2020/12/15/openchain-2-1-is-iso5230

OpenChainプロジェクトとは

OpenChainは、2013年にARM, Qualcomm, Samsung, SanDiskおよびWind Riverが設立したThe Linux Foundation傘下のプロジェクトで、OSSが信頼性と一貫性のあるコンプライアンス情報とともに提供される、ソフトウェアサプライチェーンの実現を目的としています。会員資格にはThe Linux Foundationの会員企業が参加できるプラチナ会員とコミュニティ会員があります。プラチナ会員はARM、BMW、BOSCHや日本のトヨタ自動車、富士通、日立など21社です。コミュニティ会員は誰でも参加できます。

このプロジェクトの活動の成果として、2016年にOpenChain1.0の仕様書が完成しましたが、あくまでも議論のたたき台という位置づけで、この仕様書をベースにさまざまな企業から意見を募り、2018年4月に事実上の正式バージョンとなるOpenChain 1.2を発表しました。2019年1月時点では、この1.2に基づいて約20の企業が認証されていました。その後、ISO規格としての認証を受けるべく準備を始めました。

また、プラチナ会員に複数の日本企業が参加したことをきっかけに、日本語で情報交換できる場を創るため、2017年12月にソニー、トヨタ、日立の3社が中心となり「OpenChain Japan WG」を設立しました。Japan WGの活動として、サブワーキングを作成し活動しています。

OpenChainの仕様は

このプロジェクトでは、OSSライセンス遵守に関する仕様「仕様(Specification)」、教育「カリキュラム(Curriculum)」、自己認証プログラム「適合(Conformance)」を提供しています。以降では、この中から仕様(Specification)について詳細を解説します。

仕様は、大きく6項目の要求事項で構成されており、内容も広範囲にわたります。

「プログラムの基盤」
まず、OSSに対するその組織のポリシーを作成し文書化すること、また、その文書化したポリシーがその組織内で周知徹底されることが求められます。これは、組織全体でOSSにどのように対応するのかを全員が理解していないと、このOSSのコンプライアンスは成立しないということを表しています。OSSポリシーについては、Linux Foundationのサイトで「企業のためのオープンソース ガイド」が公開されています。

次に、そのポリシーに従って推進するための組織を作り、それぞれの役割に対応したメンバーを特定し、責任の所在を明確にすることを求めます。また、このプログラムの参加者がそれぞれの役割に必要なスキルを有しているかを確認する必要があり、そのための教育やトレーニングの記録なども求められます。

このプログラムでは適用範囲を規定できます。会社全体でも、それぞれのプロジェクト単位でも構いません。もちろん、会社全体としての方針が優先されるべきだとは思いますが、それぞれのプロジェクト独自のルールを作成し、運用することが可能になっているので、柔軟に対応できるでしょう。

次に、組織はユースケースに応じてOSSライセンスの義務、制約、および権利についてレビューし、文書として記録するプロセスを定める必要があります。このOSSライセンスのレビューは組織にとって非常に重要な業務ですが、慣れていない組織にとっては難易度が高い業務なので、注意が必要です。

「関連業務の定義と支援」
外部からの問い合わせに効果的に対応するプロセスの保持や手段の公開が求められます。また、それぞれのタスクに十分な人材が配置されていることを求められています。

「オープンソースコンテンツの見直しと承認」
ソフトウェアの部品表である「BOM(Bill of Materials)」の作成を求められます。BOMはソフトウェアの配布や管理用に使用され、義務や制限を理解するために必要な情報が含まれています。このOSSの情報交換用フォーマットとしてSPDX(Software Package Data Exchange)が存在します。また、このSPDXを簡易化したSPDXLiteというフォーマットもあります。

次に、それぞれのユースケースに対応するライセンスに関する手続きが規定されています。共通的なユースケースとしてバイナリ形式での頒布、ソースコード形式での頒布など6種類が列挙されていますが、「リストはすべてを網羅しているわけではなく、またすべての使用事例が適用されるわけでもない」ことが記述されており、個別のケースについては、必要に応じて検討しなければなりません。

「コンプライアンス関連資料の作成と配布」
ソースコードや帰属告知、著作権表示等の必要なすべての情報・ドキュメントが、供給ソフトウェアと共に頒布されるためのプロセスについて定義されていることを求めています。ただし「商業的に妥当な努力」という表現もあり、合理的な範囲で手段を講じていれば良いと思われますが、安易に妥協せず、最大限の努力をする必要があります。また、保存期間についても「供給ソフトウェアの最終提供以降、適切な期間、あるいは確認ライセンスの要求事項により定められた期間(どちらか長い方)」を求められています。

「オープンソースコミュニティ活動への理解」
コミュニティへのコントリビューションについて定義されています。組織としてコントリビューションを許可している場合は、そのコントリビューションポリシーも文書化する必要があり、そのプロセスも明確にしておく必要があります。気をつけるべきは、当然ながら自らの組織にとって不利益にならないこと、知的財産権を侵害しないことが前提となります。

「仕様要求事項の遵守」
OpenChain仕様の適合について定義されており、この仕様すべての要求事項に適合して初めて「適合」であり、その一部では意味がないということが記述されています。また、この要求事項への適合の有効期限は18か月と定義されています。したがって、18か月以内に適合認証を再び取得する必要があります。

OpenChainの適合は

OpenChainプロジェクトでは、仕様の適合認証は「自己認証」と「第三者認証」のいずれかの方法で実施できます。自己認証についてはWebページから認証が可能です。また、第三者認証を行う認証機関はOpenChainプロジェクトのWebページにある案内を参照ください。また、認証は会社全体でなくても、チーム単位でも可能です。

ISO化の意味

国際標準(国際規格;International Standard)とは、国際標準化団体により制定される標準(規格)のことで、WTOに加盟する各国は、国内規格を国際標準(国際規格)に整合させることが求められており、仕様や規格を国際標準(国際規格)とすることにより、各国の国内規格に展開し、普及を進めることが可能となります。

情報技術(IT)分野では、ISO/IEC JTC 1(ISOとIECの第一合同技術委員会)という、ISOおよびIECとは別個の国際標準化団体で標準化が行われています。今回、OpenChain仕様は、このISO/IEC JTC1における国際標準化の手続きを経て、国際標準として発行されました。

今後への期待

今回国際標準化されたことにより、OpenChainプロジェクトが目指す「OSSが信頼性と一貫性のあるコンプライアンス情報とともに提供される、ソフトウェアサプライチェーンの実現」に近づいたことになります。今後ますますOSSの活用が増えていく中で、このような取り組みを通じて「正しく使う」という意識が広がることを期待したいと思います。

2000年頃からメーカー系SIerにて、Linux/OSSのビジネス推進、技術検証を実施、OSS全般の活用を目指したビジネスの立ち上げに従事。また、社内のみならず、講演執筆活動を社外でも積極的にOSSの普及活動を実施してきた。2019年より独立し、オープンソースの活用支援やコンプライアンス管理の社内フローの構築支援を実施している。

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています