CLOSE

どうするべきか?企業のOSSコンプライアンス業務(全2記事)

2022.03.02

Brand Topics

PR

ソフトウェア開発の9割以上がオープンソース利用 トヨタ、ユニ・チャーム、日立に学ぶ「OSSマネジメント」の先進事例

提供:株式会社日立ソリューションズ

あらゆる産業において欠かすことのできない存在となっている「オープンソース・ソフトウェア(OSS)」。無償で利用でき、プログラムのソースコードが公開されていることが特徴で、オペレーティングシステムであるLinuxやデータベース管理システムのMySQL、プログラミング言語のJava、Perl、PHP、Pythonなどが知られています。企業のOSSマネジメントの重要度が増す中で、株式会社日立ソリューションズはOSS管理を支援するソリューションを提供しており、2021年12月にOSSマネジメントフォーラム2021を開催しました。本記事では、当該イベント内で行われた「どうするべきか?企業のOSSコンプライアンス業務」と題したパネルディスカッションの模様をお届けします。OSSの利活用に際して、知財部門が果たす役割などが語られました。

一般消費財メーカーにも広がるOSS

渡邊歩氏(以下、渡邊):それではOSSマネジメントフォーラム2021のDay1ということで、パネルディスカッションを始めてまいります。

まず最初にパネラーの方々のご紹介も兼ねて、みなさまの会社のOSS(ソースコードの改変や再配布が自由に認められている無償のソフトウェア)の利活用事情と、それに対してどのように関わっていらっしゃるかといったことについて、一言ずつお話しいただければと思います。

お一方目はユニ・チャーム株式会社 知的財産本部DX Task Force Groupの伊藤淳一さまに登壇いただいております。

ユニ・チャームさんは、このパンデミックの時にみなさんも非常にお世話になったのではないでしょうか。ただ、コンシューマーとしての我々から見る御社のイメージとOSSがなかなか結びつかない方もいらっしゃる気がするので、まずユニ・チャームさんの中でOSSがどう使われているのか、それから伊藤さんご自身のミッションを教えていただけますでしょうか。

伊藤淳一氏(以下、伊藤):私は、ユニ・チャームでデジタルや新規事業関連の知的財産を担当している伊藤と申します。当社は赤ちゃんや大人用のおむつ、女性向けの生理用品、ペットフードやペットシートなどの商品を製造販売している、いわゆる一般消費財メーカーです。

日立製作所さんのようなITベンダーと大きく事業が異なるので、本日ご参加いただいている方も、「なんでユニ・チャーム?」という方も非常に多いと思います。どの企業でも言われておりますが、当社もデジタルトランスフォーメーションを進めております。

社内向けのシステムやドラッグストアのような小売店さま向け、一般消費者向けではスマホのようなクライアント端末にインストールするアプリや、LINEのミニアプリのようなWebアプリがあります。

こういったものは昨今、どのBtoC企業も一般消費者へ提供していると思いますが、当社では社内でソフトウェアをコーディングしていくのではなく、アプリを作る際には外部のベンダーさんへ委託することが多いです。

ユニ・チャームの知財部門によるOSSの活用事例

伊藤:この点、ベンダーはスクラッチでコーディングしていくことはほとんどなく、OSSを利用していくこととなります。私のいる知的財産本部は、従来のおむつに関する特許などもありますが、デジタル分野における特許出願も実施しております。その特許出願の目的の1つに、特許法で規定されている独占排他権としての位置づけのものもあります。

その際に、例えば特許の権利範囲に関する部分にOSSのApache License Version 2.0のような、権利行使制限がかかるようなライブラリが使われていた場合、何のために特許出願するかの目的が問われることとなります。

またGPL(一般公衆ライセンス)のようなソースコード開示義務が及ぶライブラリを利用する場合、ソースコードを開示することで、当社のノウハウが流出するリスクもあります。

さらに、チャットボットのような第三者ソフトウェアとのAPI連携において、静的リンクか動的リンクかによって相手先のソフトウェアが、GPLなどのOSSを利用していた場合にユニ・チャームへ影響が及ぶかもしれません。加えてライセンスポリシーがコンフリクトを起こし、ライブラリ同士をコンパイルしていくと当社が著作権侵害になるリスクもあります。

そういった部分でOSSは当社の知財戦略に大きく関わってくるので、ユニ・チャームでは知的財産本部がこのオープンソース・ソフトウェアに関わり、チャンスの最大化とリスクの低減をミッションに対応しています。例えばBlack DuckのようなOSSの解析ツールを利用して、アプリのリリース前などに、ベンダーの仕様書どおりのOSSであるかどうかや、GPLが入っていないかを知財で確認しております。

ユニ・チャームの特許担当というと、おむつなどの物に関する知財業務が多いと思われるかもしれませんが、私のようにソフトウェア周りの対応も行っております。

渡邊:どうもありがとうございます。いろいろ教えていただきました。例えば、スマホアプリといったところでたくさんOSSを使ってらっしゃるのも、なかなか外から見てはわからないところもありますので、なるほどと思ったところが非常に多くありました。この後、また詳しく聞かせていただければと思います。

100年に一度の大変革期を迎える自動車業界にも、OSSは不可欠

渡邊:それではお二方目のパネリストの方をご紹介します。トヨタ自動車株式会社 知的財産部 知財企画室 ガバナンス推進グループの田中美有さまです。よろしくお願いいたします。

田中美有氏(以下、田中):よろしくお願いいたします。

渡邊:トヨタさんといえば、やっぱり車ということで、CASE(Connected、Autonomous、Shared & Services、Electricの頭文字をとった造語)とか、コネクティッドカー(インターネットへの常時接続機能を備えた自動車)といった言葉が我々消費者にも聞こえてきている状況です。車の世界でもやはりソフトウェアの重要性は増しているんでしょうか。

田中:私は2020年1月から、OSSコンプライアンス業務に携わっておりまして、主に、トヨタの社内のOSSの管理プロセスの構築や開発部門への教育、それに伴う、OpenChain認証の取得などを担当しております。

CASE、コネクテッドカーというキーワードをいただきましたが、これらを実現していくためには、当然OSSが欠かせないものになっています。

例えばコネクテッドカーの開発ですと、車載系OS開発のAutomotive Grade Linuxが、トヨタも参画している代表的なオープンソースプロジェクトとして掲げられます。トヨタ1社だけではなくて、OEM(Original Equipment Manufacturing)の垣根を超えて、共同でオープンプラットフォームを開発している状況です。

また、「自動車業界は100年に一度の大変革期」といったことも言われている中で、カーナビや車載コンピュータ、サーバといった、あらゆる製品に多くのOSSが採用されていますので、社内でもOSSコンプライアンスに関する相談は、どんどん増えている状況です。

渡邊:なるほど。

自動車のサプライチェーン全体での適切なOSS管理を目指す

田中:自動車業界は非常に大きなサプライチェーンとなっていますので、製品もトヨタのようにOEMだけで開発しているわけではありません。ですので、OEMだけではなく、サプライチェーン全体として適切にOSS管理をしていかないと、先ほど伊藤さんがおっしゃっていたように、著作権侵害や自分たちのノウハウの流出、お客さまの個人情報の流出にもつながってしまう可能性があります。

すでにご存知の方も多いかもしれないですが、昨年OSS管理の標準になっているOpenChain認証がISO化されました。サプライチェーン全体で適切にOSSを取り扱っていくためには、トヨタのようなOEMだけではなくて、関係会社のみなさまにも、このOpenChain認証の仕様に準拠していただき、一定のレベルでOSSを取り扱う仕組みを構築していただくことが非常に重要だと感じています。

トヨタも去年、ISO化されたタイミングで認証を取得完了しているんですが、今私個人としてはグループ会社の方や関係会社、サプライヤーさんにも、まずはOpenChainの枠組みを知っていただいて、そして認証取得もしていただけるように取り組んでいます。

渡邊:車のサプライチェーンって、やっぱり日本の中でもすごく大きな領域を占めている部分だと思います。その全体に対して、OEMさんの立場として働きかけをされているところが、非常に力強い存在感を示していらっしゃるなという感じがいたします。そのあたりもまた後ほど詳しく教えていただければと思います。ありがとうございます。

オープンソースの啓発活動を推進する、各種プロジェクト

渡邊:では3人目のパネリストの方をご紹介します。同じくトヨタ自動車株式会社 先進技術カンパニー プロジェクト領域 AD-V:バリューチェーンサービス・技術開発 ドライバー状態把握グループ グループ長の遠藤雅人さま。よろしくお願いいたします。

遠藤さんは我々のセミナーの常連ということで、いろいろご協力もいただいています。例えば、トヨタさんの垣根を越えたコミュニティや、外郭団体にも参加されて活動をされてると思うんですけども。

先ほど田中さんからトヨタさんの取り組みについて教えていただきましたが、トヨタさん以外の取り組みとして、外側の動きに関して何か新しいことはあるでしょうか。

遠藤雅人氏(以下、遠藤):僕は去年まで、田中さんと一緒にトヨタの中のオープンソースを使うガバナンスの仕組みを作ったり、OpenChain認証などに取り組んでいました。ずっとそういう仕事をしていたんですが、昨年からオープンソースを使ったシステムを開発する側に異動していまして。今は使う側としてオープンソースに向き合っています。

もう一つ、個人として、The Linux FoundationのOpenChainプロジェクトというものに参画しています。Automotive Work Groupのホストをしていただいているのと、OpenChain Japan Work Groupで、オープンソースそのものを含めた啓発活動や、プロモーション活動をいろいろな方々と推進しています。

今日はひとつひとつを細かく説明する時間はないのですが、OpenChainから発展していって、今はいろいろなパブリックな活動も増えています。

1つは特許庁と内閣府の知財戦略本部ですね。これはオープンイノベーションの観点からきちんとオープンソースと向き合っていこうというもので、知財関係のプロジェクトになります。

まだまだ日本の経営層や法務、知財関係の人たちにオープンソースの重要性や、知財的にどう取り扱っていくといいのかというところをお伝えできていない部分があります。そのため、啓発するための資料を作ったり、イベントを開催しています。

OSS普及に伴い、サイバーセキュリティと知財が協力

遠藤:もう1つおもしろい動きが、経済産業省のサイバーセキュリティ課で進めているタスクフォースです。世の中のソフトウェアの97パーセントぐらいがオープンソースを活用していると言われています。つまり、ソフトウェアの脆弱性を取り扱うことは、オープンソースの脆弱性を取り扱うことにかなり近いと言えます。

また、先ほど田中さんからもお話があったように、ソフトウェアは非常に大きくなってきていて、1社で作れるものはだいぶ少なくなってきています。サプライチェーンが非常に大きくなってきているので、自分がサプライヤーさんやベンダーさんにもらったソフトウェアの中に何が入っているのかがわからないことが大きな問題になってきています。

それは、ライセンスを取り扱う人たちも、品質を取り扱う人もそうです。あとはセキュリティを取り扱う人たちも、中身がわからないと脆弱性があるのかどうかもわからないという問題があります。

ソフトウェアのコンポーネントトランスペアレンシー(構成要素の透明性)と言うんですが、米国政府などもかなり注目していて、大統領令などできちんと「こうやりなさい」というところを出したりしています。

OpenChainは、もともとはライセンス起因でできたThe Linux Foundationのプロジェクトなんですが、このソフトウェアトランスペアレンシーとまったく同じ課題なので、かなりホットなテーマになってきています。ライセンス・知財関係の人とセキュリティ関係の人が手を組んで、そのあたりをしっかりやっていこうというところがあります。

リンクを張ったんですけれど、その中で各社がどんな活動をしているのかをまとめたケーススタディ集のような資料があります。100ページを越える15社以上の取り組み内容を書いたものが、経産省からリリースされていて、英語版もあるので、これは非常に参考になるドキュメントなのかなと思っています。

全国の自治体にオープンソースの理念を広める、東京都の取り組み

遠藤:もう1つ、オープンソースには「利用と貢献」の両面があると思うんですが、貢献に関する活動もだいぶ日本でも進んできていて、例えば、東京都ではオープンソース公開ガイドラインを公開しています。

東京都はもともと、COVID-19の情報共有のページをオープンソース化して、GitHubにあげていて、台湾のオードリー・タンさんもそこにコントリビューションしてくれて、それが日本中の自治体に広がっていきました。まさに、オープンソースの理念を体現している自治体であると言えます。

東京都さんもこのムーブメントをどんどん大きくしていきたいところがあって、都が開発したソフトウェアをどうやってオープンにしていくのかというルール作りをしっかりやっています。これは本当に普通の企業にとってもすごく参考になります。

こういった活動があって、パブリックなセクターでもオープンソースの活用の手を広げていこうという動きが見られます。

渡邊:どうもありがとうございます。本当にいろいろな活動をされていて、遠藤さんの発信している情報を追っていると、日本のオープンソースコンプライアンスの状況がわかるような感じの方かなと思います。みなさんもぜひ遠藤さんの活動に注目していただければと思います。

国内大手企業で活発化する、OSSのコミュニティ

渡邊:では、4人目のパネリストの方をご紹介します。株式会社日立製作所 知的財産本部知財企画部技術情報・報奨管理グループ グループリーダー部長代理の岩切美和さまです。よろしくお願いいたします。

日立製作所は社会インフラ、それからDXを推進していく立場ですが、OSSの活用も欠かせないと思います。実際日立の中でもOSSの活用は増えているのでしょうか。

岩切美和氏(以下、岩切):活用は増えてますというのが正直なところなんですが、どれくらい増えているのかを数字で示すのは難しいので、それは別の機会に委ねさせていただければと思います。

私自身は2000年代の初頭に、法務部にいたんですが、そこからOSSに関わっていますので、ここ15年ぐらいのトレンドも含めてお話ししたいと思います。当社は、2000年代の初めの頃は研究や家電の分野、そしてITセクターでのOSSの活用が主な活用の事業領域だったと思います。

今は本当に日立グループワイドということで広がっていると思いますし、日立製作所ということでも、今5セクターということを対外的には発信していますが、そこでもおしなべてOSSを使っている状況です。

実際にどのような活用の仕方をしているかというと、やはり研究の領域の分野だけでなく、社内での利用、それから事業の製品やサービスのコンポーネントとして使わせていただいているところが、大きな特徴になってきているかと思います。

遠藤さんからもコミュニティのお話があったんですが、日立もOSSのコミュニティ活動を積極的に進めています。例えばLinux Foundationなどの「Hyperledgerプロジェクト」ですとか、Node-RED。いろいろなところで日立のエンジニア、あるいはコンプライアンスに関係する人が活動しています。

そういった中で、私自身はあまり、前面に出たコミュニティ活動をしていないんですが、日立製作所・日立グループのOSSコンプライアンスのマネジメントの制度設計や各種ガイドラインの作成、普及啓発活動に携わっています。

メインの仕事は技術管理なんですが、そういったところを通じて日立グループのみなさんに活動の重要性をお伝えしています。簡単ではありますが、以上です。

オープンソースを使いたい開発者・エンジニアの悩み

渡邊:ありがとうございます。本日はこの4名のパネリストの方とお送りしていきます。今回は、知財または知財担当でいらっしゃる方、それからかつて知財だった方ということでパネリストのみなさんに共通する部分が知的財産に関するお仕事をされている、またはしていたというところになります。

オープンソースの管理のお話になると、オープンソースを使うのはやっぱりエンジニアさんや開発をされている方というところで、知財の人に相談に乗ってもらいたいんだけど、なかなか乗ってもらえないなとか。我々のお客様からも、「うちの会社の中でもあまり知見がなくって」というお悩みを聞くこともあるんですが。

今日ご参加いただいている3社4名の方々は、どちらかと言うと知財部門の方が本当に旗振り役としてOSSコンプライアンスを先導していらっしゃると思います。そうした中で、例えばエンジニアさんから多くいただく質問や、逆に知財の観点でこういうことを気にしてほしいといったお話はございますでしょうか。

まずはユニ・チャームの伊藤さんに聞いてみたいと思います。先ほどOSS管理についてお話をされてましたが、エンジニアさんから何か問い合わせや要望をいただくことはありますか。

伊藤:はい。当社では社内でエンジニアがコーディングすることはほとんどないので、基本的には外部のベンダーさんにお願いすることが多いのですが、中でもOSSの脆弱性については知財部門の担当ではないんですが、特許に関して特に権利行使制限がかかったり、著作権侵害になる恐れがあるなど、知的財産に関する部分は我々知財部門が主導で業務を行っています。

数年前は「OSSって何?」というところからのスタート

伊藤:一方で、数年前にOSSのことを知財からユニ・チャームのアプリなどを作る担当者に伝えた時に「OSS? はぁ!?」みたいな反応でした。

ものづくりメーカーの方も聴講されているかもしれないですが、ものづくりメーカーにおいてソフトウェアのことを理解してくれる人がそもそも少なく、関係部門にOSSを理解してもらって協力してもらうことが課題でした。関係部門からOSSに関して相談が来る関係性であるならば、良好だと思います。

我々おむつメーカーのようなところにとっては、そもそもソフトウェアで「OSS? 何?」というところを理解してもらうところが多かったので、そういう意味でも最近は相談が増えてきています。脆弱性などは知財では対応をしておりませんが、知財戦略に関わるような、先ほどのApacheとかGPLなどは開発者へ気にしてもらうようにしています。

渡邊:なるほど。取り扱いが難しいGPLのようなライセンスが入っている時や、Apacheのような権利行使に少し影響があるライセンスに注意してもらう。知財さんから、そういった大きな方針を全体的に発信されているような感じと理解してよろしいですか。

伊藤:もちろんケースバイケースなので、柔軟なポリシーではあります。スマートファクトリーなどいわゆる社内向けのDXみたいなところで、インハウス向けにGPLやApacheをどこまで気にするのかというところもあります。最終的な配布の形態にもよります。

一方で、AGPL(GPLのようにソフトウェアの改変や商用利用が許可されたライセンス。GPLと異なるのは、ネットワーク経由の利用でも利用者に自由を保証する点)に関しては、かなり留意しなければならない部分があります。そういうところは、知財から強く使用を避けるようお願いすることが多いです。

渡邊:なるほど。本当に踏み込んだところまで知財さんからの方針があって、あとは使い方によってはフレキシブルな感じなんですね。ライセンスに関するところは、知財さんからのメッセージならではなのかなという気がします。

トヨタ自動車では、知財部門がライセンスのデータベースを構築

渡邊:田中さんも全体に対する啓蒙活動を担当されていると思うんですが、やっぱりトヨタさんも、ライセンスを使う際に「なるべくこっちにしてほしいな」「こういうものを使わないでほしいな」といった方針を知財さんから出されているのでしょうか。

田中:そうですね。トヨタ自動車は、知財部員がライセンスを1件1件レビューして、結果をまとめたライセンスのデータベースのようなものを持っています。それに照らし合わせながら、各開発部署の方が、自分たちの使いたいOSSをライセンス的に問題なく使ってもいいのか、少し検討が必要なのかを判断していただくようにしています。

検討が必要なライセンスについては、知財部もエンジニアほどのソフトウェアの知識を持っているわけではないので、開発部署の方に簡単なポンチ絵などを書いていただいて、どういう構成になっているのかを30分とか1時間で打ち合わせをし、個別に判断していくこともあります。「こういう使い方ならいいんじゃないか」と知財からサポートさせていただくような体制です。

渡邊:まず解釈の部分を知財さんから提供し、それを見ながらエンジニアさんが自分のところに当てはめて考えていく。実際に踏み込んだところを使う時にどうすればいいかというところに関しては、1件ずつ相談に乗られている感じなんですかね。

田中:そうですね、今はそのように対応しています。

渡邊:なるほど。使う部門からすると、やっぱり一つひとつのライセンスを読んで理解することが非常に難しいので、ベースの情報が提供されているのはすごく心強いのかなと思いました。

法令遵守しながらOSSを活用していく体制

渡邊:同じく日立さんにもおうかがいしたいと思います。岩切さん、今お二方は知財部門の方が個別に相談に乗って「やってもいいよ」とか「やるんであればこうしたほうがいいよ」とアドバイスされているということでしたが、日立ではどんな感じでしょうか。

岩切:OSSのコンプライアンスの定義について、ちょっと私なりの話をさせていただいたほうがいいかと思うんですが。結局、ライセンスを守っていくことに尽きると思うんですが、そのためにはライセンスに書かれている、いろいろな要請事項に対応しなければならない。

そうした時に知財だけでは判断できない領域があり、セキュリティ脆弱性や品質の対応、サプライチェーンの対応が必要になります。そうすると知財や法務といった、いわゆるリーガルに近い人たちがやれることにも一定の幅はあるんですけど、それですべてが解けるわけではないと思います。

もちろん、ライセンスを読み解いたり、どうしたらライセンスにコンプライアントになるのかということのサポートは法務やリーガル、あるいは弊社の場合はITセクターにOSSソリューションセンタという専門組織があるので、そういったところの知見を活用したり。

やはりQA(品質保証)やセキュリティ部分のセクションも参加いただいて、全体的にコンプライアントの状態に持っていくという確認の仕掛けがすごく大事だと思っています。そういったところを実装しつつある状況ですかね。

渡邊:確かにおっしゃるように、遠藤さんのコメントにもあったように、最近はセキュリティやライセンス以外の要素も入ってきていますので。いろいろな社内の方々と一緒に協力しながら、ライセンスコンプライアントな状態になることを目指していらっしゃるとおうかがいしました。

OSSライセンスの遵守は、エンジニアへのリスペクトでもある

渡邊:今、ライセンスを守るためにいろいろなことに対応していくというお話がありました。例えば、遠藤さんが活動されているコミュニティの中では、ライセンスを守ってもらうことは、「作ったエンジニアさんに対するリスペクトだ」というコメントがあったと思うんですけど。やっぱり、リスペクトする思いを浸透させていくことで、ライセンスバイオレーションのようなものが、だんだん少なくなっていくところもあるんでしょうか。

遠藤:そうですね。オープンソースのライセンスを付与する側のエンジニアやコミュニティも、オープンソースをどんどん使ってほしいとか、どんどん改良されてほしいといった理由があって、(ライセンスを)つけているわけですよね。

その理由をきちんと理解して、コミュニティやエンジニアに寄り添った対応をしていくことが非常に大事だと思っています。結局、なぜライセンスが付与されたのかをあまり理解しないで、特定のライセンスがだめだと切ってしまうのはよくないなと思っていて。

先ほど伊藤さんや田中さんにもお話しいただきましたが、「フラグは立てます」と。これは、気をつけたほうがいいものにフラグは立てますが、ちゃんと気を使わないと、そういう(作り手の)気持ちに寄り添えなくなってしまうから、ということに過ぎないんです。

そこにちゃんと応えることができないのであれば、そのライセンスは使えないですし。もし使うのであれば、フルで応えたいという気持ちでやっていけば、たぶん違反することもないし、違反した時もちゃんと対話ができると僕は信じています。

渡邊:なるほど。今、すごくいいコメントをいただいた気がします。やっぱり、ライセンスそのものに向き合ってしまうと使いづらいとか、制約が多いなと感じてしまうことってすごくあるんですけれども。それにきちんと寄り添えるかどうかを考えていく観点だと、またちょっとライセンスに関する違った感情も出てくるように思いました。

続きを読むには会員登録
(無料)が必要です。

会員登録していただくと、すべての記事が制限なく閲覧でき、
著者フォローや記事の保存機能など、便利な機能がご利用いただけます。

無料会員登録

会員の方はこちら

株式会社日立ソリューションズ

関連タグ:

この記事のスピーカー

同じログの記事

コミュニティ情報

Brand Topics

Brand Topics

  • 海外拠点がサイバー攻撃者に狙われやすい“4つの理由” 実例からひもとく「EDR」+「SOC」の効果と特徴

人気の記事

新着イベント

ログミーBusinessに
記事掲載しませんか?

イベント・インタビュー・対談 etc.

“編集しない編集”で、
スピーカーの「意図をそのまま」お届け!