OSC2009 Tokyo/Spring 抜粋版 企業製品開発者のための OSS ライセンス入門 2009 年 2 月 20 日 ( 金 ) NEC OSS プラットフォーム開発本部 姉崎 NEC Corporation 2008
私の OSS 関連 IP への関わり 日本 Linux 協会 (JLA) 理事 Linux 商標調査 WG 代表として調査を実施 NEC グループ内部の OSS/Linux IP 情報の問い合わせ対応に従事 独立行政法人情報処理推進機構 (IPA) の非常勤研究員を兼務し OSS BOOKS オープンソースで構築!IT システム導入虎の巻 を企画 製作 ~OSS 素人向けですが OSS ライセンスに関する解説あり OSS ライセンス コンプライアンスのコンサルティング サービスを開始 2 NEC Corporation 2009
@IT LinuxSquare にて OSS ライセンス入門 掲載 http://www.atmarkit.co.jp/flinux/rensai/osslc02/osslc02a.html 3 NEC Corporation 2009
ソフトウェアライセンスに関わるプログラム開発時の 11 のチェックポイント Q1. その商用プログラム すべて自社の著作物ですか? Q2. 他社の商用プログラムを同梱している場合 必要な手続きはお済みですか? Q3. 他人の著作物を利用していないことを確認するためコード検査をしていますか? Q4. OSS の 使用 つまり 一部ソース流用も含め OSS を一切同梱していないですか? Q5. 単なる同梱でも OSS の 利用 です ライセンスを遵守していますか? Q6. BSD タイプの OSS ライセンスでも許諾要件があります 要件を満たしていますか? Q7. GPL/LGPL/MPL タイプの OSS はソース開示していますか? Q8. LGPL OSS 機能の利用プログラムのリバースエンジニアリングを許可していますか? Q9. GPL タイプ OSS 機能の利用プログラムのソースを開示していますか? Q10. 遵守しやすいように ライセンス毎に分けたプログラム構造 物件管理をしていますか? Q11. 利用する OSS に還元していますか? Q9. までは必須です Q10,Q11 は OK ならば よりベターです 4 NEC Corporation 2009
5 NEC Corporation 2009 IP( 知的財産 ) とは IP 知的財産 : Intellectual Property の略工業所有権や著作権に加え 現在では さらに多くの対象を含めて 広い意味で使われています 日本国では知的財産権植物新品種の保護半導体回路配置利用権不正競争の防止著作権特許権実用新案権意匠権商標権産業財産権旧工業所有権
プログラムは 著作権法で保護される著作物 コンピュータ プログラムは 著作権法で保護される著作物の一つです 著作権法第 10 条 ( 著作物の例示 ) に挙げられています 著作物 としては 他に 小説 論文 脚本 講演 音楽 絵画 映画 写真 などがあります 著作権に含まれる権利の種類 ( 第 21 条 ~ 第 28 条 ) 複製権 公衆送信権 頒布権 譲渡権 翻訳権等 二次的著作物の利用に関する原著作者の権利など ソフトウェアのライセンスは 著作物の利用の許諾 ( 著作権法第 63 条 ) その許諾に係わる利用方法及び条件 ( 同条 2 項 ) がライセンス条文 日本の著作権法に基づいて説明しています 以下 特別に断らない限り 日本国での説明です 6 NEC Corporation 2009
当然のことながらオープンソースソフトウェア (OSS) は 単に 自由に使えるもの ではありません - 著作権が無いため ( あるいは失効した ) 許諾不要なパブリックドメインソフトウェア (PDS) ではありません OSS ライセンスと総称される ライセンスがあります 自分の開発物件として納品してはいけません 7 NEC Corporation 2009
Q2. 商用プログラムを同梱している場合 必要な手続きはお済みですか? 済んでいると思いますが OEM 製品の場合 手続き漏れに気をつけましょう ソース非開示のライセンス違反として指摘された場合 OEM 元をソース入手先として紹介できるなど リスク軽減する関係になっていますか? 8 NEC Corporation 2009
Q3. 他人の著作物を利用していないことを確認するためコード検査をしていますか? すべて自社開発のつもり が一番危険かもしれません 9 NEC Corporation 2009 IPA OSS Books 2007 年オーム社発行 オープンソースで構築! IT システム導入虎の巻
対応を誤る背景に IP コンプライアンスの欠如理由はどうであれ 他人の著作物 ( プログラム ) を私する行為は許されません 納期遵守 工数削減のため OSS をこっそり利用 費用削減のため利用しているのだからライセンス遵守していられない ハードウェアに組み込まれてしまえば OSS を使っていると言わなければ 分からないだろう 使えるんだから勝手に使っていいんでしょ? ライセンスを知らずに良かれと思ってやっているので悪くない 10 NEC Corporation 2009
何を使っているか分からない / 問題無いことを確認したい protexip がモジュール毎に疑わしいコードを検出します自社開発ソフト中の思わぬ OSS コード混入を出荷前に検出し 意図しない自社コード開 示義務や風評リスクを未然に抑止します レポート モジュールとなるソース ワークフロー protexip 調査サーバパターンマッチング 開発ソフト 提携 2005 年 ~ ミラーコピー Code Print Knowledge Base 提携 2005 年 ~ お手元のリーフレット Web サイト http://www.nec.co.jp/oss/protexip/ を参照願います 11 NEC Corporation 2009
Q4. OSS の 使用 つまり 一部ソース流用も含め OSS を一切同梱していないですか? ならば 著作権に触れないので OSSライセンスを気にする必要はありません プログラムの 使用 と 利用 の違いに気をつけましょう 12 NEC Corporation 2009
そもそもプログラムの 利用 の際のライセンス 利用 (exploit) とは 複製や公衆送信等著作権等の支分権に基づく行為を指す 使用 (use) とは 著作物を見る, 聞く等のような単なる著作物等の享受を指す 平成 10 年 2 月文化庁著作権審議会マルチメディア小委員会 ワーキング グループ中間まとめ での定義 http://www.cric.or.jp/houkoku/h10_2/h10_2_main.html 使用 利用 ( 著作権者の権利 ) 公衆送信権 / 頒布権 著作物 - 複製権翻訳権など 権利に対応する行為 ( 厳密ではない ) 書籍 本を読む 出版 複写 翻訳 音楽 聞く 鼻歌を歌う CDを作製 編曲する TV 放送する ソフトウェア バイナリを実行ソースの複製 改造する 再頒布する 商用ソフトウェア / シェアウェア / フリーウェア 使用許諾書 一般的にはソース非開示にして禁止 オープンソースソフトウェア 自由 利用許諾書 13 NEC Corporation 2009
Q5. 単なる同梱でも OSS の 利用 です ライセンスを遵守していますか? 改変していない単なる同梱でも 公衆送信権 頒布 権 に抵触するので 各 OSS ライセンス条件を満たす必 要があります Q6. BSD タイプの OSS ライセンスでも許諾要件があります 要件を満たしていますか? BSD タイプのみが バイナリのみの配布 を許可してい ますが その場合 OSS 名称 著作権表示 ライセンス条文 免責条 項 などをドキュメント等に記載が必要です 14 NEC Corporation 2009
Q7. GPL/LGPL/MPL タイプの OSS はソース開示していますか? 改変していなくても 再頒布するOSSのソース開示が必須条件になります 同梱したバイナリが復元できるソースの開示が必要です 15 NEC Corporation 2009
ソース非開示で 最近の訴訟事例 従来 MySQLなど企業製 OSSでしか OSSライセンス違反の訴訟はなかったが 昨年から Software Freedom Law Center(SFLC) がOSS 開発者の代理人となって提訴 2007 年 9 月デジタル家電メーカーを提訴 http://opentechpress.jp/opensource/article.pl?sid=07/09/26/0051222 2007 年 11 月無線機器メーカー 2 社を提訴 http://opentechpress.jp/opensource/article.pl?sid=07/11/27/0136228 2007 年 12 月無線ルータでキャリアを提訴 http://itpro.nikkeibp.co.jp/article/news/20071210/289099/ 2008 年 7 月ネットワーク機器ベンダーを提訴 http://www.heise-online.co.uk/open/extreme-networks-accused-of-having-violated-gpl-open-source-license--/news/1 機器組込ソフトだからと言って油断してはいけない ( 改変していなくても )GPLのBusyBox,Linuxのソースは開示が必要 16 NEC Corporation 2009
2008 年 12 月 11 日 FSF が Cisco を提訴 Cisco の無線関連製品ブランド Linksys の販売において FSF が著作権者の多数のプログラムのライセンスに違反したと FSF は主張し FSF の代理人として SFLC が提訴 GCC, binutils, GNU C Library FSF: Free Software Foundation, GNU プロジェクトの推進団体 http://www.fsf.org/news/2008-12-cisco-suit 17 NEC Corporation 2009
守るべき OSS ライセンス条件の概要 ( ソース開示の観点のみ ) 1 ソースの開示 (OSS 自身 + GPL 利用プログラム ) 2 LGPL を利用したプログラムのリバースエンジニアリングの許可 3 ドキュメントに必要な記載 (BSD タイプのバイナリ配布のみの場合 ) O S S ライセンス ライセンスタイプ自身の扱いその他の扱い BSDタイプバイナリ形式のソース開示しないならば 著作権表示 ライセンス文 免責条項みの配布可などの記載が必要 MPL タイプ LGPL タイプ GPL タイプ バイナリ形式のみの配布不可 ソース開示要 (Copyleft) 1 ( 二次的著作物とみなされる ) 利用プログラムのリバースエンジニアリングの許可 2 3 ( 二次的著作物とみなされる ) 利用プログラムもソース開示要 1 BSD ライセンス : Berkeley Software Distribution License MPL : Mozilla Public License LGPL : GNU Lesser General Public License GPL : GNU General Public License 例え 商用プログラムでも 18 NEC Corporation 2009
タイプ BSD 系 4 タイプに分類できる OSS ライセンスと OSS の例 BSD License Info-ZIP License OSS ライセンス OpenSSL License Apache License 2.0 (2004 年ごろまでなら Apache Software License, version 1.1 の可能性あり ) Cryptix General License zlib License MIT License Info-ZIP OSS の例 PosegreSQL, dom4j, OpenSSH, など mod_ssl, OpenSSL, など Apache HTTP Server, Tomcat, Axis, Commons, Jakarta Velocity, XML Xerces, Struts, Spring, Ajax Libs, ant, log4j, など Cryptix TinyXML, など PuTTY, など Apache ライセンスの OSS の利用が目立つ MPL 系 その他多数 Eclipse Public License (EPL) Common Public License Version 1.0 (CPL) その他多数 Eclipse, など SyncML, など LGPL 系 LGPL2.1 GPLv2 GPL 系 GPLv3 Affero GPL(AGPL)v1 glibc, JBoss4.2.2, OpenOffice.org, など MySQL( 商用ライセンスとのデュアルライセンス, FLOSS ライセンス除外規定あり ), Linux カーネル, gcc( スタートアップライブラリ libstdc++.so, libgcc_s.so には例外記述あり ), Samba3.0.x, Pukiwiki1.4.7, PDFCreator, など Samba3.2.x, tclpam など affero その他いくつか 19 NEC Corporation 2009
Q8. LGPL OSS 機能の利用プログラムのリバースエンジニアリングを許可していますか? リンクしたのが商用プログラムでもリバースエンジニアリングを禁止してはいけません LGPL の OSS を静的リンクした場合は必ず 動的リンクの場合も要件と挙げられているケースあり Q9. GPL タイプ OSS 機能の利用プログラムのソースを開示していますか? Linux のシステムコールなどは除きますが 二次的著作物と見なされると ( リンクしていなくても ) 機能を利用している商用プログラムも再頒布の際 GPL での頒布 ( ソース開示 ) を求められます 20 NEC Corporation 2009
ライセンスの確認ステップ 1 1. 各モジュールのライセンスが何か確認し そのライセンスに準拠する それぞれのモジュールに別のライセンスが混入してライセンスが変わることが無いことを確認が必要 protexip などのコード検査ツールが役立ちます 商用ライセンス? BSD ライセンス? ライセンスが Conflict するソース混入がなければ それぞれのライセンスの要件を満たしていることを確認する GPL ライセンス? 21 NEC Corporation 2009
ライセンスの確認ステップ 2 2. モジュール間の結合度から 1 つのプログラムと見えますか? 見えるならば それぞれのライセンスを遵守しようとすると モジュールのライセンスを変える必要がある場合があります ソース非開示でいたい! GPL ライセンス 商用ライセンス 一つのプログラム? BSD ライセンス 一つに見える GPL ライセンス 商用ライセンス BSD ライセンス 二次的著作物も GPL! 1) 一つの GPL GPL ライセンス GPL ライセンス GPL GPL ライセンス 2) 一つに見られない構造 GPL ライセンス 商用ライセンス 商用ライセンス BSD ライセンス 22 NEC Corporation 2009
Q10. 遵守しやすいように ライセンス毎に分けたプログラム構造 物件管理をしていますか? 出荷前のコード検査だけでは手遅れ の場合があります 初めから分けて 混在しないようにしましょう 23 NEC Corporation 2009
OSS 活用したソフト開発手法のイメージ OSS を一切排除した開発もあり得る しかし クリーンルームでの開発でも徹底しなければ インターネットを当たり前に使用できる環境で OSS を一切排除することは難しい ライセンスを意識した開発管理を実施すべき 商用ライセンスで開発 単一 OSS ライセンスで開発 複数ライセンスで開発 商用ライセンスで開発 MPL ライセンスで開発 GPL ライセンスで開発 再頒布禁止ロイヤルティビジネス 再頒布可サポートビジネス / ハードウェアビジネス 再頒布禁止ロイヤルティビジネス 再頒布可 24 NEC Corporation 2009
OSS 活用のソフト開発手法のポイント 1 開発企画時に OSS との棲み分けを意識し 何を持って製品性 ( ロイヤルティを取るか ) の打ち出し方の検討 => CD の分け方 商用ライセンスで開発 MPL ライセンスで開発 GPL ライセンスで開発 2 開発設計時に OSS ポリシー ( どこに どのライセンスの OSS を使用するか ) を策定 ( ソースツリーの分け方 ) 3 実装時の OSS の構成管理方法 ( 他ライセンスが混入しない管理 GPL などのライセンスが伝播しない実装方法の管理 ) protexip での外注物件の受入管理 4 実装後の protexip などコードチェックツールを実行し 他のライセンスが混ざっていないことを確認 再頒布禁止ロイヤルティビジネス 再頒布可 25 NEC Corporation 2009
Q11. 利用する OSS に還元していますか? 利用者が還元しなければ 利用する OSS の存続が危ぶ まれます OSS のエコシステムに積極的に参加して 共 にサイクルを回す努力をしましょう 還元例開発コミュニティに開発者の一人として参加する見つけたバグ修正などのパッチを開発コミュニティに提供ユーザ観点での評価結果 コメントをユーザ会で情報交換該 OSS のサポートを提供該 OSS を明示的に補完する製品を提供ユーザコミュニティに参加し 普及 促進に努める寄付サーバマシンなどの寄贈その他 26 NEC Corporation 2009
著作権法違反は 親告罪 OSS のエコシステムその一員となることで 最悪の事態を避けられるかもしれないハードウェア ソフトウェア 開発 サービス ユーザの各場面において OSS にかかわる多くの人々がメリットを享受でき (Win-Win の関係 ) また活性化させる循環システム IPA OSS Books 2007 年オーム社発行 オープンソースで構築! IT システム導入虎の巻 27 NEC Corporation 2009
コンサルティングサービス 自社製品の OSS ライセンス コンプライアンス強化を組織的に取り組みたい OSS ライセンス コンプライアンス強化支援 ( 個別見積もり ) 品質管理プロセスにチェックポイントを設け コンプライアンスを強化したい実態調査の方法について相談したい 等実際の製品について 相談をしたい OSS ライセンス コンサルティング ( 個別見積もり ) ツールで意図しない OSS の混入を見つけたが どういう対応が必要か導入する製品に OSS が使われているが OEM 元の対応で大丈夫か 等プログラム開発に必要な OSS ライセンス全体の知識を知りたい ソフトウェアライセンスに関わるプログラム開発ガイド セミナー (3H) OSS ライセンスの全体像を知りたい利用プログラムのソース開示が必要な GPL の伝播範囲を知りたい 等 OSS 活用におけるリスクに対して 部門の啓発から始めたい OSS 活用におけるリスクと対策 紹介 (1H) OSSライセンス違反での訴訟事例や非難された事例を知りたい OSSライセンスは何を求めているのか概要を知りたい 等 28 NEC Corporation 2009 本日の内容相当を テキストを用いて で講演します
最後に OSS への還元が増えて OSS の発展に繋がるのであれば 商用製品で OSS を正しく使う ことも歓迎される ( はず ) 29 NEC Corporation 2009
展示ブースにて protexip の動態展示中! お問い合わせ先 是非 ご覧ください コンサルティング サービス : http://www.nec.co.jp/oss/ipconsul/ protexip/management : http://www.nec.co.jp/oss/protexip/ 30 NEC Corporation 2009