FacebookやGoogleも参加するOSSコンプライアンスのプロジェクト、「OpenChain」とは：日本企業も活発に活動（1/2 ページ）

　2018年12月にFacebook、Google、Uberという著名企業3社が同時に加入したことにより一部で話題を呼んだ、「OpenChain」というオープンソースソフトウェア（OSS）関連プロジェクトがある。この3社を含め、2018年1月15日時点で同プロジェクトのプラチナメンバーは計16組織だが、その中には4社の日本企業（トヨタ、ソニー、東芝、日立）が含まれており、プロジェクトに大きく貢献しているという。

OpenChainのゼネラル・マネージャー、シェーン・コックラン氏

　OpenChainは、OSS（正確にはFree and Open Source License、いわゆるFOSS）のライセンスコンプライアンスプログラムを組織が構築するための指針を整備しているプロジェクト。具体的には、OSSコンプライアンスのために組織が満たすべき要件を示す仕様書、チェックリスト、トレーニング資料や参考資料、認証プログラムなどで構成されている。

　OSSを企業などが製品やサービスに組み込むのは、通常無償だ。ただし、利用していることを明示するなど、各ソフトウェアのOSSライセンスが求める要件を満たさなければならない。製品を単一の社内チームで開発しているなら、担当者を任命し、このスタッフがOSSの利用をチェックし、しかるべき対応を行うということで済むかもしれない。

　しかし、製品開発組織が大規模になり、複数の部署が関わり、あるいは協力会社など複数の企業が関与するようになってくると、OSSライセンスの順守を「誰が」「どういったくくりで」「どのような手段／手順で」確保するかが、重要でありながら複雑な問題になってくる。

　「これまで、さまざまな企業が自社あるいは自社グループで独自に手法を開発するなどしてきた。OpenChainはこうした経験をメンバーが持ち寄ることで、世界中のあらゆる企業が活用できる、標準的なOSSライセンスコンプライアンスの手法を確立することを目的としてきた」と、OpenChainのゼネラル・マネージャーである、シェーン・コックラン（Shane Coughlan）氏は説明する。

　「OpenChain」というプロジェクト名が示す通り、このプロジェクトでは、企業におけるサプライチェーン全体をカバーできるコンプライアンスの枠組み構築を進めている。

　「企業が（OSSコンプライアンスの）プロセスを適切な場面に実装できれば、コンプライアンス上のエラーが社内で発生する確率を大幅に低減できる。さらに特定製品のサプライチェーンに関与する企業全てが同様なプロセスを整備していることが確認できれば、この製品に関するコンプライアンス違反の発生確率はさらに大きく減る。つまり、OpenChainは究極的には、サプライチェーンにおける信頼を確立するための標準だとも表現できる」（コックラン氏）

あくまでユーザーのためのプロジェクト、ベンダーありきではない

　コンプライアンスをサプライチェーン全体に広げるに当たって、大きな役割を果たすのは認定プログラム。だが、こうした標準／認定プログラムでは、推進組織においてベンダーが一定の影響力を持ち、関連ビジネスのエコシステムが回ることを目的としてプログラムが設計されるといったことが起こり得る。OpenChainはそのような運営とは一線を画しているという。

　「OpenChainプロジェクトのメンバーはユーザー組織のみ。OpenChainには利益を上げようという目的はない」（コックラン氏）

　認証システムに関しては、OpenChainの場合、一般的な認証プログラムと同様、「OpenChain準拠」を示すロゴを商標として管理している。そして、仕様書に示された要件を満たしていることをチェックするプロセスを経ないと、この認証ロゴを使用することはできない。一方、認証を獲得した組織は、望むなら自社をOpenChainのWebに「認定取得組織」として掲載できる。

　よく見られるのは、この認証プロセスを推進団体自体が行う、あるいはベンダーが担うことを（暗黙の）前提とする形態だ。だが、OpenChainでは、「自己認証」を基本としている。つまり、ユーザー組織はOpenChainの認証プログラムを使って仕様を満たしているかどうかを自らチェックし、満たしているなら認証ロゴを使用できる。

　これをコックラン氏は、「企業規模の大小に関わらず、コストを掛けずにOSSコンプライアンスを確保できるようにするため」と話している。