道総研様のAI、IoT知財セミナー講師を務めました
はじめに
このたび、地方独立行政法人北海道立総合研究機構(略称 道総研)様からのご依頼で、「令和 5年度 知的財産マネジメントスキルアップ研修」(2023年12月15日開催)の講師を務めさせていただきました。
道総研様のご厚意により、ご了承をいただきましたので、セミナーの概要をご紹介いたします。
今回のセミナーは昨年度の「AI・IoT等のソフトウェアやシステムに関連する研究成果の知財化の進め方」というセミナーの続編ということでご依頼を受けておりました。
そこで、第1部で「研究成果の普及に向けたOSS利用の考え方と研究計画デザイン」として、昨年度の復習を中心に解説し、第2部で「OSSコンプライアンスを意識した、企業等へ技術移転する方法のアドバイス」を取り上げることとしました(図2~図3をご参照)。
第1部「研究成果の普及に向けたOSS 利用の考え方と研究計画デザイン」のセミナー概要
第1部では、昨年度の復習として、ソフトウェアの「使用」と「利用」の概念について取り上げたうえで、市販ソフトなどの「使用許諾契約」と、オープンソースソフトウエア(以下「OSS」と略します)の「利用許諾」の目的や内容が異なる理由について、解説しました。
ソフトウェアの「使用」と「利用」の概念は、「使用」がプログラムを実行させること意味するのに対し、「利用」とはプログラムを複製したり、翻案(修正)したり、頒布(配布、リリース)したりすることを意味する、というように明確に区別されます。
これは、著作権法が、複製権、翻案権、譲渡権、公衆送信権などを規定しており、複製行為、翻案(修正、改変)行為、譲渡ないし公衆送信(配布)行為などの「利用」行為を規制する一方で、著作物を「使用」する行為(例えば、本を読むこと)を規制対象とはしていないことに基づいています。
⇒図4の(1)をご参照
このため、市販ソフトのプログラムの実行等の「使用」行為については、著作権法で直接的に規制することができず、シュリンクラップ又はクリックオンなど、契約の一種である「使用許諾契約」により、プログラムを「使用」する行為について、同時使用の本数、使用期間などを規制することとしています。
⇒図4の(2)をご参照
他方、OSSの場合は、ソースコードの翻案(修正、改変)や譲渡ないし公衆送信(配布)などの「利用」行為を行うことが目的であり、これらの「利用」行為を規制するため、「利用許諾」というライセンス形式が採用されています。
⇒図4の(3)をご参照
このような著作権法の仕組みを理解することで、市販ソフト等の「使用許諾契約」とOSSの「利用許諾」の違いを正確に理解し、ひいてはライセンスを正しく運用することにつながってくると思います。
このため、第1部では、OSSの利用許諾が著作権法を基礎とすることを踏まえて、著作権法について概観するとともに、OSSにおいてソースの改良や改変行為によって伝搬していく法的性質を理解するために、翻案権や二次的著作物に関する権利について理解を深めるように配慮しました。
⇒図5、図6参照
そのうえで、市販ソフトで使用される使用許諾(契約)とも対比して理解することで、OSSへの理解を深めるように工夫してみました(図7参照)。
OSSでは、著作権法を権原として、市販ソフトのような「使用行為のコントロール」ではなく、「利用行為(複製、翻案、再配布など)をコントロールする利用許諾」という枠組みが用いられていることになります。
これを纏めたのが、図8になります。
また、OSSを利用するに際しては、独自に開発したプログラムも含めて、ソースコードを開示する義務が発生する「ソースコードの提供義務ないし開示義務」のリスク、異なるライセンス条件のOSSを組み合わせて使用することが禁止される「ライセンスの両立性」のリスク、特許権不行使の特約を含むOSSを利用した結果、製品を開発・リリースした場合に「特許権を行使できなくなるリスク」、「コピーライト表示やライセンス文の掲載義務が発生するなどのリスク」などもあるので、これらを概観するとともに、いくつかのOSSを取り上げて具体的に解説しました。
⇒図9参照
第2部「OSS コンプライアンスを意識した、企業等へ技術移転する方法のアドバイス」のセミナー概要
第2部では、OSSの選択、SBOMの選択と適用範囲に関するポリシーの策定、及びSBOMを利用した運用方法の実例について検討しました。
SBOMとは、「Software Bill of Materials」の略で、ソフトウェア部品表を意味します。SBOMは、システムに用いられているソフトウェア(主にOSS)を部品表として取りまとめることで、そのシステムにどのようなリスクがあるのか、あるいはどのようなライセンス条件を遵守する必要があるのかを一目で把握することができるようにするというものです。
かなり以前からソフトウェア部品表を利用した管理は行われていましたが、近年、一層注目されるようになっているのは、米国の大統領令でSBOMに関するガイドラインが定められたことが背景にあります。また、日本でも、経産省によって、SBOMに関するガイドラインが整備され、今後、法整備(義務化)される可能性が出てきたことも背景にあります。
⇒図10参照
SBOMの作成には、大きく分けて、手動で作成するパターンと、自動生成ツールで自動生成するパターンの2つが考えられます。SBOMの自動生成ツールにおいても、実行環境や開発環境によって、部品を検出できないケースもあるなど、いくつかの弱点があり、手作業で作成するメリットもあります。また、手作業でSBOMを作成することで、SBOMに対する理解も深まり、何かあったときの対処もスムーズに行えるというメリットも期待できます。
⇒図11参照
経産省2023年3月『令和4年度サイバー・フィジカル・セキュリティ対策促進事業「SBOMを導入・活用するサプライチェーンモデルの構築に向けた調査・実証事業」報告書』の105頁より引用
そこで、経産省の取り纏めたSBOMに関するガイドラインでは、SBOMの自動生成による運用を前提としていますが、小規模な企業では、手作業でSBOMを作成することも想定されるので、本セミナーでは、手作業でSBOMを作成するケースを取り上げました。
また、ソフト開発スケジュールに、OSSの管理を目的としてSBOMを適用するという目的から、ソフトウェア開発から共同開発企業への技術移転までのステージに即して、OSS選定及びSBOM選択の基本ポリシー策定(準備期)、OSSの調査と選択(開発前期)、SBOM作成(開発中期)、OSSクリアランス調査(開発後期)、著作権・ライセンス表記の準備(移転準備期)、OSSソースコードの提供規定の解釈と運用(移転期)、という6段階のステージに分けて、それぞれ対応策について検討しました
⇒図12参照
SBOMの選択に際しては、SPDX、SPDX-Lite、Cyclone DX、SWIDといった主要なSBOM4つを取り上げて、それぞれに適した用途、及び相違点について説明しました。
また、SBOMを手作業で作成する場合は、SPDX-Liteが適していますので、SPDX-Liteを用いて手作業で作成することを想定して、SPDX-Liteの各項目について具体的に検討しました。
ただし、SPDX-Liteでは、依存関係の項目が欠けているので、その点に対する注意と、これをカバーするために、脆弱性検出ツール、及び、ライセンスリスク検出ツールの併用といった改善策について解説しました。
⇒図13参照
経産省「第7回 サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」の資料より抜粋
また、開発後期のステップとして、ソースコードの開示義務が発生するかどうかの判断基準について再確認するとともに、著作権表記やライセンス文の掲載、ソースコードの提供方法についても検討しました。
⇒図14~図17参照
「東京都オープンソースソフトウェア公開ガイドライン」東京都デジタルサービス局(令和3年10月27日)及び
「オープンソースソフトウェアに潜む法的リスクの低減に向けた取り組み」(UNISYS TECHNOLOGY REVIEW 第 94 号,NOV. 2007)をもとに当事務所にて作成
小括
以上のように、OSSの利用に際しては、ソースコード開示義務の発生などのリスクを考慮したOSSの選択から、SBOMを利用した管理に至るまで、いくつかの留意点があり、基本的な部分を押さえることで、一定程度のリスクヘッジができることがわかります。
OSSに関する取り組みは、大手企業でもかなり苦労しているので簡単ではないと思いますが、今回のセミナーで解説した基礎知識をもとに、道総研様及び道内企業の方々によるAI・IoT関連の研究開発において、少しでもリスクを軽減した取り組みが進んでいくことを期待しています。
セミナーの様子について
セミナーは、道総研様の本部のセミナー室での現地開催と、ウェブ開催(の併用で開催され、計71名の方にご参加いただきました。
・21の試験場等、約1,090名の職員を有する総合試験研究機関です。
・法人の運営を行う法人本部と研究を行う5つの研究本部で構成されています。
・5つの研究本部は、①農業研究本部(各地の農業試験場など)、②水産研究本部(各地の水産試験場など)、③森林研究本部(林業試験場、林産試験場)、④産業技術環境研究本部(工業試験場、食品加工研究センター、エネルギー・環境・地質研究所)、⑤建築研究本部(北方建築総合研究所)で構成され、多岐にわたる試験および研究を行っています。
