EUはFOSSに障壁を設けるのか?
2022年9月15日、欧州委員会はハードウェアとソフトウェア製品の安全性向上を目的とした「サイバー・レジリエンス法(CRA)」と呼ばれる法律案を発表した。この提案では、プロジェクトの安全性を評価するための「標準指標」が定義されている。これは、各プロジェクトのセキュリティ状況をユーザーにわかりやすく伝えるものである。CRAの「承認」は、ソフトウェア製品の「CE」マークに相当する。
しかし、この法案がそのまま適用されれば、フリーでオープンなソース(FOSS)プロジェクトの作者は、自分たちのプロジェクトが他人の商用プロジェクト内でどのように使われるかについて、法的にも金銭的にも責任を負うことになりかねない。オープンソースソフトウェアは、定義上、何の保証もなく「現状のまま」配布されるため、作者はいかなる責任からも解放されるため、これは問題である。
私たちは、この法案を、自主的な立場の独立した作者と、製品やサービスを販売するテクノロジー・ジャイアントとを区別する必要があることを提案します。現在提案されている法案では、私がロギング・ライブラリを開発し、それをオープンソースにした場合、X社は私に見返りを与えることなく、その製品内でそれを使用することができる。私のライブラリに脆弱性が発見された場合、私はその企業が被った損害に対して法的・経済的責任を負うことになる。
技術革新対セキュリティの難問?
より一般的には、フリー・ソフトウェアやオープン・ライセンスの背景にある考え方は、ソフトウェアにアクセスしやすくし、自由に変更できるようにし、再配布できるようにすることである。仮に、営利企業がその機能やサービスを実行するためにオープンソースソフトウェアを採用したとしよう。その場合、そのソフトウェアを確保し、ライセンスによっては、独自の改良を加えて再配布するかしないかは、その企業の責任となるはずだ。
提案されている法律は、オープンソースプロジェクトの作者と貢献者の双方にとって、強い阻害要因となる可能性がある。具体的には、提案されている法律の第16条は、プロジェクトに「実質的な変更を加える者」は、責任という点では作者と同等とみなされると述べている。しかし、「実質的な変更」という言葉の意味が不明確であるため、この法律案はさらに問題を大きくしている。
提案されているCRA法は、オープンソースソフトウェアの分野におけるイノベーションを阻害し、国全体の経済にダメージを与える危険性がある。したがって、提案されているCRA法がもたらす可能性のある悪影響について、国民や関係当局の意識を高め、オープンソースソフトウェアの作者と利用者の双方を保護する解決策を見出す努力が不可欠である。
サイバー・レジリエンス法(CRA)の今
2022年9月以来、欧州FOSSコミュニティはこのトピックに関する議論を監視し、欧州議会と欧州委員会はCRA草案の作成に取り組んできた。
2023年7月19日、欧州委員会が提示した規則案は、欧州理事会(議長はスペイン)により修正された上で承認され、並行して欧州議会でも承認された。これら2つの提案の採択により、最終案の採択に向けた理事会と欧州議会の機関間交渉(いわゆるトライアルオーグ)が開始される。鼎談は9月に行われる見込みで、規則の最終的な採択はその直後に行われる可能性がある。
LPIとサイバー・レジリエンス法(CRA)
Linux Professional Institute(LPI)は、10月3日にサイバーレジリエンス法(CRA)に関するオンライン座談会を開催します。この座談会は、CRAの潜在的なリスクに対する認識を高め、可能な解決策について議論する機会を提供します。
About Max Roveri:
