第1 はじめに
近年、企業が自社で開発したソフトウェアをOSSとして公開し、外部の開発者やOSS利用者を含むコミュニティと共同で開発を進めるケースが増えています。
OSSとは、単にソースコードが閲覧できるソフトウェアではなく、一定のライセンス条件の下で、利用、複製、改変、再配布等が認められるソフトウェアをいいます。
OSS化には、技術の普及、外部人材による改善、エコシステム形成といったメリットがあります。
他方で、OSSプロジェクトを立ち上げて運営する場合、通常のソフトウェア提供とは異なる法的リスクにも留意する必要があります。
第2 OSSプロジェクトにおける基本的な関係者
1 OSS提供者
OSS提供者とは、OSSプロジェクトを立ち上げ、リポジトリ、リリース、外部コントリビューション等を管理する者をいいます。
2 OSS利用者
OSS利用者とは、OSSを自社サービスに組み込んだり、製品開発に利用したりする者をいいます。
OSS利用者は、OSSライセンスに従ってOSSを利用することになります。
3 コントリビューター
コントリビューターとは、ソースコード、ドキュメント、Issue、Pull Request等を通じてプロジェクトに貢献する者をいいます。
第2 OSSライセンスに関するリスク
1 ライセンス選択の重要性
OSSを公開する場合、どのライセンスを採用するかが極めて重要です。
MIT LicenseやApache License 2.0のような比較的制約の少ないライセンスもあれば、GPLv3やAGPLv3のように、一定の場合に派生物のソースコード提供義務が問題となるライセンスもあります。
特にAGPLv3は、ネットワークサーバー上で改変版を利用する場合にも、OSS利用者に対するソースコード提供を求める設計になっています。
2 OSS提供者自身のライセンス違反
OSS運営においては、OSS利用者によるライセンス違反だけでなく、OSS提供者自身が第三者のOSSを取り込む際のライセンス違反にも注意が必要です。
著作権表示、ライセンス文の同梱、NOTICEファイルの維持、改変箇所の表示等が必要となる場合があります。
プログラムのソースコードは、著作権法第10条第1項第9号の「プログラムの著作物」として保護され得ます。
そのため、ライセンス条件に違反して第三者のコードを利用した場合、著作権侵害として、著作権法第112条第1項に基づく差止請求や、民法第709条に基づく損害賠償請求の対象となる可能性があります。
3 OSS利用者に対する免責
多くのOSSライセンスには、無保証条項や責任制限条項が設けられています。
これにより、OSS提供者は、OSSの不具合や脆弱性に起因する責任を一定程度限定することが可能です。
もっとも、免責条項が常に全面的に有効となるわけではありません。
OSS提供者に故意又は重過失がある場合、別途有償のサポート契約を締結している場合、又は個別の説明により特別な信頼を生じさせた場合には、なお責任が問題となる可能性があります。
また、相手方が消費者に該当する場合には、消費者契約法第8条、第9条、第10条との関係にも留意が必要です。
第3 コントリビューターとの関係で生じるリスク
1 権利処理の必要性
外部コントリビューターが提供したコードについて権利処理が不十分である場合、後にコントリビューターから著作権や特許権を主張され、プロジェクトの継続や商用利用に支障が生じる可能性があります。
この点、CLA(Contributor License Agreement)を導入し、コントリビューターが提供するコードについて、OSS提供者又はOSS利用者に必要な利用許諾を行うことを明確にしておくことが考えられます。
Apache License 2.0も、コントリビューターによる著作権ライセンス及び特許ライセンスの付与を定めています。
2 CLA、DCO及びCoC
CLAには、著作権譲渡型と利用許諾型があります。
もっとも、OSSコミュニティの受容性や参加のしやすさを考えると、利用許諾型が適している場合も少なくありません。
さらに、コミュニティ内の不適切な言動や悪意ある投稿に対応するため、CoC(Code of Conduct)を定め、禁止行為、通報窓口、対応手続を明確にしておくことも有用です。
なお、コントリビューターには、企業所属の開発者、個人事業主、趣味で参加する個人、学生等が含まれ得ます。
そのため、コントリビューターが常に事業者として扱われるとは限りません。
個人コントリビューターとの関係では、民法第548条の2第2項の定型約款規制や、消費者契約法第10条との関係で、過度に一方的な条項が無効と評価されるリスクにも配慮すべきです。
第4 第三者の権利侵害・脆弱性に関するリスク
1 第三者コードの混入
コントリビューターが第三者のコードを無断で混入させた場合、OSS提供者が意図していなくても、第三者から著作権侵害又は特許権侵害を主張される可能性があります。
OSSはソースコードが公開されるため、権利侵害が外部から発見されやすい面もあります。
そのため、OSS提供者は、外部コントリビューションの受入基準を定めるとともに、OSS解析ツール等を利用して、第三者コードやライセンス不整合の有無を確認する体制を整備することが望ましいといえます。
2 脆弱性対応
OSSに重大な脆弱性が含まれていた場合、OSS利用者や第三者に損害が発生する可能性があります。第三者との間に直接の契約関係がない場合でも、OSS提供者が重大な脆弱性を認識しながら合理的な対応を怠ったと評価される場合には、民法第709条に基づく不法行為責任が問題となる余地があります。
そのため、脆弱性報告窓口、対応方針、サポート対象バージョン、公開手順を明確にしておくことが望まれます。
第5 商標・プロジェクト運営上のリスク
OSSライセンスは、通常、ソースコードの著作権や特許権に関する利用条件を定めるものです。
他方で、プロジェクト名、ロゴ、企業名等の商標利用まで当然に許諾するものではありません。
第三者が改変版や派生版を公開する際に、公式版であるかのような名称やロゴを使用すると、OSS利用者に混同が生じるおそれがあります。
そのため、商標ポリシーを定め、公式名称・ロゴの利用条件、派生版での表示方法、禁止される利用態様を明確にしておくことが望ましいです。
第6 まとめ
適切なOSSライセンスの選択、第三者OSSの利用状況の確認、CLA又はDCOの整備、CoCの導入、脆弱性対応体制、商標ポリシー、メンテナー権限やリリース手続の明確化が重要です。
OSSは、企業にとって技術の普及やコミュニティ形成に資する有力な手段です。
他方で、法務・知財・セキュリティ・運営体制を整備しないまま公開すると、予期しない紛争や責任につながる可能性があります。OSSプロジェクトを開始する際には、事前に法的リスクを整理し、プロジェクトの目的に応じた実務対応を検討することが重要です。
