FOSS保険の必要性を判断するときは?

フリー・オープンソース・ソフトウェア(FOSS)を使っている企業は、特許や著作権の訴訟に備えて保険に加入すべきだろうか。知的財産およびFOSS問題を専門とするPillsbury Winthrop Shaw PittmanのパートナーJames Gattoも、Open Source Risk Managementのコンプライアンス・サービスのディレクタKaren Hiserも、この問題に単純な答えはないと言う。

FOSS保険の必要性を云々する前に、まず現状の対策が十分かどうかを調べ、自社のビジネス・モデルを検討し、保険による補償が活きるようなオープンソース利用規定を策定し実践しなければならない。保険が必要かどうかを判断するのはその後のことである。

新しく登場したものの例に漏れず、FOSS保険にも賛否両論がある。たとえば、保険料が高く、ライセンス料を支払うのと大差ないという意見がある。しかし、Hiserが指摘するように、これは近視眼的にすぎるだろう。Hiserによれば、「オープンソースの採用を決定づけた要因は価格ではなく、ベンダーに対する中立性の維持、アプリケーションの拡張や変更の柔軟性、新機能の迅速な提供」であることを種々の調査が示しているからだ。

また、訴訟が、FOSS採用を牽制することを目的として、Microsoftの意向に沿って行われている宣伝活動であるとされる点に疑問を呈する向きもある。IBMを相手取ったSCOの訴訟では強硬姿勢が目立つものの、結局のところ、プロプライエタリ・コードを侵害したとしてFOSSプロジェクトを相手に勝訴した例はない。同様に、FOSSコードを不法に利用したとしてプロプライエタリ企業を相手取った訴訟沙汰は、いずれも法令遵守の問題だった。ほとんどは法廷外で決着し、和解は企業が法令遵守を実践するか、あるいはFOSSコードの使用を止めるという内容である。こうした状況においては、保険は必需品というより贅沢品、さもなければ、心配性の顧客を安心させるためのマーケティング対策かとも思われる。とはいえ、いくらかのリスクはあるだろう。

オープンソース・ソフトウェアもプロプライエタリ・ソフトウェアも使用に伴うリスクは変わらないという点では、GattoとHiserの意見は一致する。どちらも、ソフトウェア・ベンダー、ディストリビュータ、エンドユーザーが特許や著作権侵害で訴えられる危険性は同程度だというのだ。

Gattoによれば、両者の主な違いは、プロプライエタリ企業の場合、保証(制限つきだが)を付けるのが一般的になっているのに対して、ほとんどのFOSSライセンスには保証が明示されていないという点だ。つまり、プロプライエタリ製品のエンドユーザーは企業が自身を守る結果として守られるだろうが、FOSSのエンドユーザーには何らの法的対策も用意されていないのである。

確かに、Red Hat、Hewlett-Packard、NovellなどのFOSS関連営利企業も、ある種の保証を付けている。しかし、リリースされているソフトウェアはパッケージになっていることが多く、個々のソフトウェアのライセンスとパッケージ全体のライセンスは別々に設定されているため、法的状態は複雑である。さらに、ほとんどの場合、FOSS関連EULAと、ベンダーが独自に定めている賠償規定の関係が明確でない。こうした理由から利用企業は「リスク軽減策として」オープンソース・ソフトウェア保険を検討するのだろうとGattoは見ている。

一方、Hiserは、「ほとんどの企業はプロプライエタリ・ソフトウェア・ベンダーが提供する賠償責任を評価しています。オープンソース保険はそれと同様の保護を与えてくれるのです」と言う。FOSSコミュニティでは保証内容がバラバラであるため、一つの保険でカバーすることにより企業は対策を整理し簡潔化できるだろう。詰まるところ、保険を契約するかどうかは「企業がどこまでリスクを容認するか」だという。

ビジネス・モデルによってリスクは変わる

リスクの程度は企業のビジネス・モデルによって変わるという点では、GattoとHiserは同意見だ。

Gattoによると、「おそらく最もリスクの低い企業」は、製造現場ではなくインフラストラクチャの中でFOSSを使っている企業だろうという。「最悪でも、使用許諾の必要なソフトウェアがごく一部に、あるいはコピーが1本使われていたという程度でしょう」。一方、Hiserはさらに用心深く、そのような企業は特許または著作権侵害で訴えられた場合に備えてインフラストラクチャを変更するコストを見積もっておくべきだと警告する。

そうしたユーザーに比べ、ソフトウェアのメーカーは大きなリスクを負っているが、裁量の余地は広い。既存FOSSソフトウェアを製品に使うかどうかも、80ほどもあるFOSSライセンスのどれを使うかも選択可能である。メーカーにとって最大のリスクはFOSSコードをプロプライエタリ・ソフトウェアに不注意で組み込んでしまうことだとHiserはいう。その場合、メーカーは「製品を廃止するか、問題のコードを使わずに作り直すか、自社のプロプライエタリ・ソースコードを開示するか、いずれかの選択を迫られます」。この3つめの選択肢は、もちろん、そのソースコードを収益源としているか、あるいは、FOSS製品のサービスを提供する企業を目指すかによって、現実性は違ってくる。

リスクが最も高いのは、ソフトウェアを使用し、変更し、再配布している企業である。Gattoは、そうしたディストリビュータに対して「本質的に、ほかの形態のメーカーにはない責任を負う可能性を覚悟しなければなりません」と警告している。

Hiserは、ディストリビュータは著作権侵害について注意する必要があると言う。一方、Gattoによれば、当のディストリビュータは特許訴訟の方に関心があるという。その理由は単純で、要するにお金の問題である。著作権による請求額は比較的小さく、そのためレコード業界は個人ユーザーを追及できる。しかし、特許侵害の代価は遥かに高額であり、個人に対して訴訟を起こしてもコストに比べ得られるものは少ない。したがって、数百万件の訴訟を起こすよりも、ディストリビュータを相手に訴える可能性がきわめて高いのだ。「ディストリビュータを攻めれば、すべてのコピーを一網打尽にできる」からである。言い換えれば、ディストリビュータになるということだけで企業は訴訟の大きなターゲットになるのだという。

さらに、GattoもHiserも、すべての企業は企業買収に注意すべきだと警告する。FOSS訴訟は歴史が浅く、企業によって認識の程度に差があるからだ。買収した企業がFOSSを安直に使っていたり、FOSSの使用を開示していなかったりする可能性があるという。

Hiserは、注意義務には「オープンソースの使用を評価し、購入者が巻き込まれるおそれのあるリスクを明らかにすることも当然含まれます。オープンソース法令遵守保険は、そうしたリスクを(1)リスク事態を定量可能かつ低額に抑える、(2)予想外の法令遵守問題の発生をカバーすることにより、リスクを軽減することができます」と言う。

その他の対策

GattoとHiserは、保険を契約するだけでなく、ほかの方法と組み合わせて対策を立てるべきだという点でも意見が一致する。Hiserの勤めるOpen Source Risk Managementでは、保険以外にも、リスク評価、軽減対策のコンサルティング、ライセンス遵守状況の監査、最良実践の展開と研修など、さまざまなサービスを提供している。

Gattoは、保険を契約しない場合でも「今日のすべての企業はオープンソース取り扱い規定と手続きを策定し徹底する必要があります」と言う。社内におけるFOSSの使用法や使用するライセンスに基準を定めよということである。製品にプロプライエタリ・バージョンとFOSSバージョンがある場合は、両者の違いを明確に認識せよということでもある。同様に、一つの製品にプロプライエタリ・コードとFOSSコードが含まれている場合は、ライセンスを注意深く調べて共存可能であることを確認しなければならない。さもないと、FOSSライセンスに抵触する可能性がある。

また、規定の徹底にも同様の注意が必要だと強調する。担当者一人に任せるのではなく複数の人間がチェックするような体制と、FOSS使用の適切性を判断するための「承認手続きが必要」である。また、FOSSの使用個所を一括管理し、その上で利用規定を徹底すれば、過去の活動とコードを確認できるという。

さらに、全従業員は規定を理解しているだけでなく、その理由をも理解していなければならない。「コードを開発する場合なら、開発者は利用規定と手続きを確認し、発生しうる問題について理解していなければなりません」

保険の将来

現時点では、オープンソース保険は新しい商品である。今後標準的なものになるかもし、Y2K保険のように一時的な大騒ぎで終わるかもしれない。

Open Source Risk ManagementのエグゼクティブであるHiserは、FOSSソリューションの利用が増えているため、「より多くの顧客がオープンソース保険が提供する種類の補償を求めるでしょう。プロプライエタリ・ソフトウェアのベンダーに補償を求めるのと同じことです」と言う。

一方、Gattoには、FOSS保険に強い需要があるという確信はない。IBMに対するSCOの訴訟が関心を喚起したが、SCOが勝訴するとは思えないため、少なくとも一部の関心は冷めてしまった。しかし、「訴えられる企業が数社でも出れば、関心はまた高くなるのではないかと思います。潜在する責任やそのリスクを軽減する方法について、以前よりも真剣に考えるようになるでしょう」という。

Gattoは、また別の問題も指摘する。保護の適切なレベルがわからないというのだ。Open Source Risk Managementの提供する保護を「リスクによる損失の事例は限られている一方、高い割に対象範囲は狭い」と評する意見もある。しかし、問題はそれほど単純ではない。Gattoの見るところでは、オープンソース・ソフトウェアの絡む訴訟では損害の算出方式が確立されていない。「合理的な使用料という概念は役に立たないでしょう。そもそも、使用料という概念がないのですから」。訴訟によって、特許の所有者は逸失利益の一部を回復することもあるだろうが、全く回復できないこともあるだろう。そうした不確定性がリスク評価を難しくしている。

「みなさん魔法の弾丸をお探しのようですが、そんなものがあるはずはありません」。オープンソース保険を購入するかどうかは、企業が自らの状況に合わせて自らの責任で決定しなければならないと、Gattoは強調する。「現在販売されているオープンソース保険は、『治療の女神』ではないのです」

「結局のところ、重要なのは包括的な戦略を定めることです。その一環として、リスクの少なくとも一部に対して保険を用いることもあるでしょう。しかし、それは、オープンソース・リスクから自社を守るために矢筒に用意する矢の1本にすぎないのです」

Bruce Byfieldは研修コースの開発者でありインストラクター。コンピュータ・ジャーナリストで、NewsForgeの常連でもある。

原文