CLOSE

どうするべきか?企業のOSSコンプライアンス業務(全2記事)

2022.03.03

Brand Topics

PR

OSSライセンスの遵守は、エンジニアへのリスペクト 国内大手企業が注目する、コンプライアンス業務の重要性

提供:株式会社日立ソリューションズ

あらゆる産業において欠かすことのできない存在となっている「オープンソース・ソフトウェア(OSS)」。無償で利用でき、プログラムのソースコードが公開されていることが特徴で、オペレーティングシステムであるLinuxやデータベース管理システムのMySQL、プログラミング言語のJava、Perl、PHP、Pythonなどが知られています。企業のOSSマネジメントの重要度が増す中で、株式会社日立ソリューションズはOSS管理を支援するソリューションを提供しており、2021年12月にOSSマネジメントフォーラムを開催しました。本記事では、当該イベント内で行われた「どうするべきか?企業のOSSコンプライアンス業務」と題したパネルディスカッションの模様をお届けします。OSSコンプライアンス業務の重要性を認識してもらうための啓蒙活動、研修などを紹介しました。

OSSコンプライアンス業務は誰の仕事?

渡邊歩氏(以下、渡邊):それでは、いくつかテーマをご用意している中で、パネルディスカッションの2つめのテーマに行きたいと思います。「OSSコンプライアンス業務は、社内の誰の仕事なんだろう」というところを少し考えてみたいと思います。

最初に伊藤さんから、リスクのクリアランスのやり方としてツールを使って、例えばライセンスはどういうものが入っているかを確認するというお話がありました。遠藤さんからも、「中に何が入っているか問題」に言及いただきましたが、企業の中のOSSコンプライアンス業務は、いわゆる中に何が入っているのかというところを見つけて、ライセンスを守っていくところは、なんとなくみなさんイメージがつくと思うんですが。

例えばそれ以外のところで、伊藤さんにおうかがいしたいんですが、先ほどOSSに関する著作権や特許について言及いただきました。OSSそのものに対する特許調査は、ユニ・チャームさんの中では利用の際にされていらっしゃるんですか。

伊藤淳一氏(以下、伊藤):そうですね。ベンダーさんの方とコミュニケーションを取らせていただくことが多いです。特にアプリなどを開発する時は、最初にどういったOSSを使うのかというリストを埋めてもらって、使用するライブラリのバージョン、MITなのかBSDなのかも含めて、知財でライセンス情報を確認する作業をしています。そういうOSSの一般的なコンプライアンスに対応するかたちです。

ただ一方で、ものづくりメーカーでアプリの担当者にOSSの話をしても、理解してもらうことが難しいこともありましたが、OSSコンプライアンス業務の一環として、重点的に全社的に啓蒙活動をしています。

コンプライアンス業務の啓蒙に「ホラーストーリー」を活用

渡邊:啓蒙活動というのは、具体的には教育などですか。

伊藤:そうですね。社内でもやっぱりなかなか理解してもらえない部分もあります。その課題への打ち手としてはユニ・チャームはワールドワイドにビジネスをしていますが、数年前に当社社長に相談したうえで、海外現地法人を含む社員にOSSに関する漫画のeラーニングをやりました。

例えば他社の炎上事例などを紹介しながら、OSSのリスクに関する研修を行いました。その中で、自分のテーマで著作権侵害になってしまったら自身の案件が大変なことになりますという、ある種ホラーストーリーで社員の理解が得られて、知財への相談が個別でたくさん来るようになりました。

また継続して同じように海外現地法人の社員も含む部室長以上を対象に、OSSも含め知財の勉強会をやりました。

渡邊:現地法人の社員も含むというところで、本当に幅広くやられているところが、すごく印象的でした。大変な作業だと思うんですけど、だいたい延べどのぐらいの期間でやられたんですか。

伊藤:そうですね。DXに関する知財全体としてはワンオブゼムでOSSの勉強コンテンツだったので、知財のリスクについては1年間かけてやりましたが、その中でもOSSは非常に細かい部分があります。時間を多めに割いて、1回説明をするだけだと、やっぱりなかなか理解してくれません。個別のテーマが走っているとある程度理解も高まるので、継続してやる。ずっとやり続けるところが大切かなと思います。

渡邊:ホラーストーリーからリスクを訴えかけ、コンプライアンス業務の大切さを理解していただくところが1つキーポイントだったのかなと、今お話を聞いていて思いました。

社員研修を成功させるカギは「自分ごと化」

渡邊:田中さんにも同じことをうかがいたいんですが、トヨタさんの中でも教育を非常に大切にされていると思います。例えば、さっきユニ・チャームさんのところで漫画を使ったeラーニングのお話がありましたが、啓蒙活動の中での工夫がおありでしたら教えてください。

田中美有氏(以下、田中):トヨタもユニ・チャームの伊藤さんと同じように、ホラーストーリーの漫画を使ったeラーニングで、開発部署の方に教育をしているのは同じです。伊藤さんから継続的にやっていくことが大切だというお話もありましたが、併せて、知財部と開発部署の方、それぞれが自分ごととしてOSSコンプライアンスに積極的に取り組んでいただく必要があると思っています。

その意味で、今は半期に1回程度、開発部署の方と協力して、全社全部署のエンジニアの方が自由に参加できる会議体もありますね。これはOSSコンプライアンスに関するトピックを共有したり、会社の経営層も巻き込んでOSS利活用とコンプライアンス遵守の必要性についてメッセージを発信しています。

渡邊:なるほど。漫画、流行ってますね!(笑)。2社とも漫画を使われたというお話だったんですが、今お話しされたところ、やっぱり「自分ごと」というところがキーワードなのかなと思います。

あなたがこういうことに遭ったらすごく大変ですよとわかっていただくのに、ホラーストーリーがすごく効いてくるのかなという印象があります。岩切さん、日立は漫画を使っていますか?(笑)。

岩切美和氏(以下、岩切):負けてるなぁと思っちゃいましたね。漫画にはしていませんが、OpenChainの仕様に準拠したeラーニングをちょっと作って、一応7ヶ国語ぐらいの言語を用意して日立グループ会社に共有しておりました。

弊社は歴史的に教育をけっこう大事にする会社で、人材ごとの教育カリキュラム体系がしっかりとしてるんですね。冒頭で申し上げたように、最初にOSSを使い始めたセクターでは、かなり教育が充実してるんですが、比較的最近になって使い始めたところは、「OSSって何?」から始まるので。全体的に使えるようなeラーニングの教材を作って展開しました。

漫画は使っていないのですが、生々しい事例をお伝えしている感じですね。なので、エンハンスする時はぜひ漫画に取り組んでいきたいなと思いました。

渡邊:私も日立のグループ会社に所属して教育を受けてきた中で、もちろん外に出せない情報ではあると思うんですが、インシデントに繋がる可能性があるような実例が、ホラーストーリーに該当するものとして使われているかなと思います。そういうものを見ると「おっ」と思ったりもするので、自分たちのヒヤリハットを共有されるのもよいかなと思ったりもします。

OSSコンプライアンスについて学べる、有益な教育資料

渡邊:最後は遠藤さんですが、我々OpenChainの活動の中でも、例えば教育のマテリアルやいろいろな事例を折に触れてOpenChainの会合などで発信しているかと思います。例えばOpenChainから発信している教育資料について、何か特徴があれば教えてください。

遠藤雅人氏(以下、遠藤):今GitHubのリンクを張ったんですが、OpenChainのJapan Work Groupでも、教育資料を持ち寄って、みんなが使えるようなものをオープンソース的に開発しようという活動が行われています。それはまさに日立さんやいろいろなITベンダーの方も含めたものが集約されているので、まずこういうものを見ていただく。

あと、例えばサプライチェーンリーフレットは、社内だけではなくて、サプライチェーン内のみなさんにもっと(OSSについて)知っていただきたいという時に、サプライヤーの営業の方にいきなりライブラリがどうだとか、著作権のこの条項がどうだとか言っても、なかなか会話が難しいです。なので、こういうことが必要だからちょっと見せてくださいね、といった資料を作って提供したりしています。

ソニーの上田理さんが中心に編さんしてくださったんですが、このサプライチェーンリーフレットはかなり評判が良いです。中国語もベトナム語も、もちろん英語のバージョンも各国コミュニティによってどんどんできていってるので、そういったボランタリーな広がりがあります。

もちろん基本的に各社で教育していただくのも大事だと思うので、その時にネット上にあるたくさんの資料も活用していただけるといいなと思います。「こういうのないの?」とコミュニティに聞いてくれれば、あるものは教えてくれるし、なかったら一緒に作ろうよという話になる。これがまさにオープンソースの世界だと思います。ぜひ一緒にやっていきたいなと思うので、お声掛けいただければと思います。

渡邊:実際にOpenChainの教育マテリアルも、いろいろな会社さんが自分たちのエッセンスを持ち寄って、すごくいろいろな人の知見が入った資料ができあがっています。ぜひ活用していただければなと思います。

スムーズに組織体制を作るための「既成事実を作っちゃう戦法」

渡邊:オープンソースコンプライアンス、誰の仕事? というところで、なかなか結論が出なくて時間が足りないなと思ってしまったんですが。少なくとも、パネリストのみなさんの会社で、知財の方がライセンスのクリアランスだけでなく、啓蒙活動の部分にもかなり力を入れて取り組まれている分野だということをご理解いただけたかなと思います。

興味深いお話をたくさんうかがっているところではありますが、このあたりでそろそろ、ご聴講のみなさまのご質問にお答えいただく時間とさせていただきます。パネリストの方々にぜひこの機会に聞いてみたいことを投稿いただければ、みなさまにお答えいただけます。

まず1つめのご質問からいきたいと思いますが、OSSにおける組織体制を構築する上で、経営層にどのようなアプローチをしたのでしょうか、というご質問になります。まずユニ・チャームさんから、先ほど社長というキーワードが出てきましたので、社長にわかっていただいたところで何かコツがありますかね。

伊藤:そうですね。私は「既成事実を作っちゃう戦法」と言っていますけど。どんどん案件に対応していって既成事実を作っていくところが1つと、あとはユニ・チャームの場合、知財部と社長との報連相の機会が月1回あるんですよね。その機会を活用して案件の説明などをやっていったところがあります。

また、わりとボトムアップというよりは、知財の中で既成事実を作っていって、知財から社長に対してのプレゼンで構築されていったところがあります。

リスクヘッジだけでなく「攻め」につながる取り組み

渡邊:同じご質問なんですが、経営層へのアプローチというところで、トヨタさんのケースも教えていただけますか? 

遠藤:はい、先ほど田中さんからも紹介がありましたが、弊社ではAutomotive Grade Linuxや、自動車周りのオープンソースプロジェクトも推進しています。

そこに取り組むにあたって、まず入り口となるのは、こういったオープンソースに関するいろいろなリスクを、経営層の方々にも理解いただいて進めていくところです。ただ、単にリスクをヘッジするだけではなくて、オープンソースを使いこなすことはDXやオープンイノベーションなどの観点からも非常に重要です。

あくまで攻めのものなんだと。単に「何かやばいからやります」という感じだったら、やればいいじゃないかという感じで終わってしまうんですが。ここは会社の競争力強化のために本腰を入れてやっていかなくちゃいけないんですよというところは、強調するようにしていましたね。

資料に関しては、その時々のいろいろな事例も織り交ぜて作っています。先ほど内閣府の事例を紹介しましたが、あれは経営層を意識して作っているので、他社の事例や、例えばGoogle、Microsoftはどう考えているんだという話も全部入ってますので。

今はそうしたものを使っていただいて、上の方に入れていただけるといいかなという思いで、内閣府の方々や、各会社の方々と一緒に作ったところがありますので、利用していただければうれしいなぁと思っています。

渡邊:守りじゃなくて攻めだというキーワードは、けっこうありますからね。そのあたりは、もしかしたら経営層の方に響くキーワードかもしれません。

OSS管理ツールとして重視する機能は?

渡邊:では3社目、日立に関しては岩切さん、いかがですか。

岩切:まず組織体制の構築という意味では、知財はもともとこういうものに対応するモチベーションがあるので、新たな体制を構築する必要はないのかなという感じですね。

先ほど申し上げたさまざまなマネジメント要素を複数の部門が担当しているわけですが、それを有機的に連携してやるようなオープンソースプログラムオフィスについては、まだ日立全社としてはないと言えばないので。必要性があれば、経営層にアップデートをしていくことになるかと思います。

またITセクターで、OSSの専門組織があるという話をさせていただいたんですが、その設立に関わった経験からしますと、やはりリスクだけではなくて、きちんと事業貢献を経営層に伝えて組織設計をしていっていました。それはITセクターの中でそういうかたちで実現していますが、日立製作所全体についても同じようなアプローチをすることになるのかなという印象を持っております。

渡邊:3社の方々から経営層に対するアプローチの仕方をうかがいました。では、もう1つご質問をお受けしたいと思います。「どのようなOSS管理ツールを導入されているのでしょうか。それからどのような機能を重視されてそれを採用されたのかを教えていただけますか」というご質問です。

伊藤さんが最初に名前をおっしゃっていましたが、もしかすると「○○を使ってます」という具体名を言うのは難しいかもしれないんですけれども。OSS管理ツールとしてどういう機能を重視されたのかに関してでもよろしいんですが、伊藤さんにお答えいただけますか。

伊藤:うちはBlack Duckですが、費用とのバランスも考えたのと、あとは最初はスニペット、コードスニペットもどこまでやるべきかという議論があって。スニペットまでいくとけっこう哲学だなと思ったので、そこまでやるのはちょっとやめようというところで、ある程度の機能と費用のバランスで、Black Duckに決めました。

三者三様のツールの導入方針

渡邊:トヨタさんは部隊としては非常に大きいので、いろいろあるかと思うんですが、いかがでしょうか。

田中:会社として代表して管理ツールを購入するのではなく、各部署のニーズにあったツールを使っていただくというところで、お任せしている状態です。

渡邊:では最後に日立の岩切さん、いかがでしょう。

岩切:そうですね。例えばBlack Duckさんのツールについては、私も勉強させていただいています。仕様の前提条件やツールの特性というか、こういう活用の仕方をするといいよというお話をさせていただくことがあります。

基本的には損益の責任を持っている事業主体の投資の判断になるので、当方はそれに必要な情報を提供させていただいている状況ですかね。

渡邊:やっぱりたくさんのツールが市場にありますので、どれを選んでいいかというところが、お悩みになるかもしれないですね。このセミナーですと3日目になりますが、管理ツールについて、どういう機能が欲しいよねといったお話をさせていただく予定がありますので、Day3もぜひ楽しみにしていただければと思います。

OSSの活用・管理を進めるための今後の取り組み

渡邊:その他、ご質問いただいているものがあるんですが、残念ながら時間の関係で今回の回答は割愛させていただきます。申し訳ございません。最後にお一方ずつ、今後こんなことをやっていきたいなというところについて、簡単にお話しいただけると幸いです。伊藤さん、お願いします。

伊藤:今日はありがとうございました。ユニ・チャームでも、意外とOSSの対応をしてるんだなというところをみなさんに理解していただけたのかなと思います。みなさんの会社でもまだまだ法務や知財の方が、なかなかそこまで知識が追いついていないところもあるかもしれません。

我々、遠藤さんや他の会社さんも含めて、コンプライアンスの意識啓蒙活動をやっていきたいと思っております。以上です。

渡邊:では田中さんお願いします。

田中:本日はありがとうございました。まず課題としては、サプライチェーン全体で強固なガバナンス体制を作っていくことだと思います。その意味でOpenChain認証といった枠組みも使いながら、自分の会社だけではなくて、サプライチェーンのみなさまにもより適切にOSSを取り扱っていただけるように、これからは管理体制強化のサポートもさせていただければと思います。

渡邊:では遠藤さんお願いします。

遠藤:はい。オープンソースはコミュニティで開発されているものなので、こういった課題もコミュニティで解決していくのが、すごくシンプルかつ効果的なのかなと思っています。オープンソースがなくなることは絶対にないので、これからも引き続きぜひそういった活動をしていきたいと思っています。

一方で、みんながみんなこのオープンソースコンプライアンスというものを、めちゃくちゃたくさんやるようなことでもないのかなとも思っています。

ただ開発業務をするにしても、知財業務をするにしても、何も知らないで仕事をするのと、オープンソースの世界が今こうなっていて、こういった業務があるんだと知ったうえで、ふだんの仕事をするのとでは大きく違うんだと思うんですよね。そういうことをみなさまにも知ってもらいたいところもあって、オープンソースそのものについての啓発活動も、これからもやっていきたいなと思っています。

OSSが市民権を得るような社会が近づいている

渡邊:では最後に岩切さん、お願いします。

岩切:本日はありがとうございました。OSSのコンプライアンス業務の重要性は、たぶんもっと高まっていくんだろうなと思っています。当社でもヘビーユーザーになっていますし。また業界を越えてというか、OSSが市民権を得ていくような社会がもうすぐそこに来ているような気がします。

その中で、やっぱりOSSを利用する人が、OSSコミュニティに対するリスペクトをきちんと持って、ライセンスを守っていくという立ち位置は、より一層求められると思います。私のようなスタッフ部門は、そういった期待にあらゆる手を尽くしてきちっと答えていくことが必要なのかなと思っています。

社会全体としてOSSを育てていき、かつ有機的な社会経済活動ができるようにしていくことで、そういう将来になるといいなと思っております。簡単ではありますが、このような感想を持ちました。

渡邊:本日は非常にたくさんの有効なお話を聞かせていただきました。パネリストのみなさま、どうもありがとうございました。

続きを読むには会員登録
(無料)が必要です。

会員登録していただくと、すべての記事が制限なく閲覧でき、
著者フォローや記事の保存機能など、便利な機能がご利用いただけます。

無料会員登録

会員の方はこちら

株式会社日立ソリューションズ

関連タグ:

この記事のスピーカー

同じログの記事

コミュニティ情報

Brand Topics

Brand Topics

  • 企業を守るカギは「セキュリティ人材」の育成 高まるサイバーリスクに備える教育戦略

人気の記事

新着イベント

ログミーBusinessに
記事掲載しませんか?

イベント・インタビュー・対談 etc.

“編集しない編集”で、
スピーカーの「意図をそのまま」お届け!