2σ Guide

OSSコンプライアンス体制の構築
法務・知財・開発をつなぐ実務

OSS利用を個別調査で終わらせず、方針、責任分担、SBOM、承認、リリース、調達、是正、監査まで一体で運用するための全体像を整理します。

9 整備すべき統制
12 体制設計の要素
30/90/180 段階導入の目安
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

OSSコンプライアンス体制の構築 法務・知財・開発をつなぐ実務

OSS利用を個別調査で終わらせず、方針、責任分担、SBOM、承認、リリース、調達、是正、監査まで一体で運用するための全体像を整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
OSSコンプライアンス体制の構築 法務・知財・開発をつなぐ実務
OSS利用を個別調査で終わらせず、方針、責任分担、SBOM、承認、リリース、調達、是正、監査まで一体で運用するための全体像を整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • OSSコンプライアンス体制の構築 法務・知財・開発をつなぐ実務
  • OSS利用を個別調査で終わらせず、方針、責任分担、SBOM、承認、リリース、調達、是正、監査まで一体で運用するための全体像を整理します。

POINT 1

  • OSSコンプライアンス体制の構築でまず押さえる全体像
  • ライセンス確認だけでなく、経営、法務、知財、開発、調達、内部統制をつなぐ管理設計として捉えます。
  • 個別調査ではなく、説明可能で再現可能な統制を作る
  • OSS利用方針
  • 責任者と役割分担

POINT 2

  • OSSコンプライアンス体制の構築が企業法務の論点になる理由
  • 法務・知財
  • ライセンス分類、高リスク審査、特許条項、顧客契約、M&Aの確認項目を設計します。
  • 開発・アーキテクト
  • OSS選定、依存関係、改変、組込み形態、代替案、ビルド成果物を説明できる状態にします。

POINT 3

  • OSSコンプライアンス体制の構築に必要な基本用語
  • OSS、ソースアベイラブル、SBOMを混同しないことが、実務判断の出発点です。
  • OSSとは何か
  • OSSコンプライアンスとは何か
  • SBOMとは何か

POINT 4

  • OSSコンプライアンス体制の構築で理解すべきライセンスリスク
  • 1. 出所と表示を確認:ライセンス、著作権表示、利用規約、取得経路を確認します。
  • 2. 許諾条件を説明できるか:商用利用、再配布、改変、組込みに関する許諾が明確かを見ます。
  • 3. 原則として利用しない:権利者許諾、別OSSへの置換、専門家調査を検討します。
  • 4. 義務を台帳化:利用形態、承認、通知、証跡保存に接続します。

POINT 5

  • OSSコンプライアンス体制の構築に必要な12要素
  • OpenChainの考え方とも整合する、説明可能で再現可能な統制設計です。
  • 説明可能性
  • 再現可能性
  • OSSコンプライアンス体制の構築は、ゼロリスクを目指してOSSを使わないことではありません。

POINT 6

  • OSSコンプライアンス体制の構築で決める組織設計とRACI
  • 経営、法務、知財、開発、セキュリティ、購買、内部監査の責任を明確にします。
  • 法務・知財
  • 開発・アーキテクト
  • セキュリティ・CSIRT

POINT 7

  • OSSコンプライアンス体制の構築を開発ライフサイクルに組み込む手順
  • 1. 導入前の採用判断:名称、版、配布元、ライセンス、依存関係、利用目的、組込み形態、改変予定を確認します。
  • 2. 開発中の継続記録:ロックファイル、ベースイメージ、CI/CDスキャン、新規依存、誤検知、パッチ履歴を管理します。
  • 3. リリース前の承認:未承認OSS、ライセンス不明、通知文、対応ソース、顧客契約、重大脆弱性を確認します。
  • 4. リリース後の保存と更新:版ごとのSBOM、通知文、バイナリ、対応ソース、問い合わせ、脆弱性監視を保存・継続します。

POINT 8

  • OSSコンプライアンス体制の構築で使うSBOM・OSS台帳・成果物
  • SBOMは部品表であり、ライセンス履行と監査証跡に接続して初めて機能します。
  • SBOMは、ライセンス管理とセキュリティ管理の双方で使えるように設計します。
  • 読者にとって重要なのは、機械可読な部品表だけでなく、承認記録、義務、改変、配布有無、リリース情報まで結びつける点です。
  • 重要なのは、OSS一覧とSBOMに加えて、通知、対応ソース、ビルド情報、例外承認、問い合わせ記録まで保存対象にすることです。

まとめ

  • OSSコンプライアンス体制の構築 法務・知財・開発をつなぐ実務
  • OSSコンプライアンス体制の構築でまず押さえる全体像:ライセンス確認だけでなく、経営、法務、知財、開発、調達、内部統制をつなぐ管理設計として捉えます。
  • OSSコンプライアンス体制の構築が企業法務の論点になる理由:OSSは開発効率の道具であると同時に、契約、知財、セキュリティ、内部統制に影響する構成要素です。
  • OSSコンプライアンス体制の構築に必要な基本用語:OSS、ソースアベイラブル、SBOMを混同しないことが、実務判断の出発点です。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

OSSコンプライアンス体制の構築でまず押さえる全体像

ライセンス確認だけでなく、経営、法務、知財、開発、調達、内部統制をつなぐ管理設計として捉えます。

OSSコンプライアンス体制の構築とは、リリース直前にOSSライセンスを確認する作業にとどまりません。製品、SaaS、社内システム、AI開発基盤、クラウド環境、モバイルアプリ、組込み機器、M&A対象会社の技術資産にOSSが含まれる以上、OSS利用は企業法務、知的財産、開発、情報セキュリティ、購買、内部統制、監査、顧客契約、輸出管理、M&Aデューデリジェンスにまたがる経営課題です。

この重要ポイントは、OSSコンプライアンス体制の構築で目指す状態を一文で示すものです。読者にとって重要なのは、個別のライセンス名だけを追うのではなく、誰が、いつ、何を確認し、どの証跡を残すかを読み取ることです。

個別調査ではなく、説明可能で再現可能な統制を作る

企業が整備すべきものは、案件ごとの属人的な調査ではなく、OSS利用方針、責任者、SBOM、承認、通知、ソースコード提供、サプライヤー管理、貢献ルール、是正、教育、監査をつなぐ仕組みです。

次の一覧は、OSSコンプライアンス体制の構築で最低限つなげるべき9つの統制を表しています。各項目は後続章の詳細テーマにも対応するため、自社の欠けている部分を先に見つける目安として読むことが重要です。

POLICY

OSS利用方針

利用できるOSS、事前相談が必要なOSS、禁止または個別審査に回す条件を明文化します。

ROLE

責任者と役割分担

経営、法務、知財、開発、セキュリティ、購買、内部監査の責任境界を曖昧にしない設計にします。

SBOM

OSS台帳とSBOM

製品、サービス、版ごとに、OSS、ライセンス、依存関係、承認記録を管理します。

APPROVAL

評価と承認

ライセンス、配布形態、改変、顧客契約、セキュリティを組み合わせてリスクを判断します。

RELEASE

リリース時の履行

通知文、ライセンス文、著作権表示、対応ソース、書面による申出、証跡保存を確認します。

SUPPLY

サプライヤー管理

委託先やベンダーからOSS一覧、SBOM、是正義務、脆弱性通知を契約上取得できるようにします。

CONTRIBUTE

貢献と社外公開

会社コード、秘密情報、第三者コード、特許、CLA、DCOを確認してから社外に公開します。

REMEDY

非遵守時の是正

指摘者との窓口、事実確認、出荷判断、顧客通知、差替え、再発防止まで手順化します。

AUDIT

教育、監査、改善

教育、KPI、内部監査、OpenChainとの差分確認を通じて運用を継続改善します。

注意このページは一般的な情報提供です。実際の契約、ライセンス、製品構成、配布形態、国・地域、紛争状況によって結論は変わる可能性があります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
Section 01

OSSコンプライアンス体制の構築が企業法務の論点になる理由

OSSは開発効率の道具であると同時に、契約、知財、セキュリティ、内部統制に影響する構成要素です。

現在のソフトウェア開発では、OS、コンテナイメージ、パッケージマネージャ、各種ライブラリ、UIコンポーネント、テストツール、CI/CD基盤、AIモデル周辺のライブラリなど、多数のOSSに依存することが一般的です。商用製品やサービスでもOSSなしに構築することが難しく、管理や脆弱性対応に課題を抱える企業もあります。

次の比較表は、OSSコンプライアンス体制の構築が弱い場合に、どの領域でどのような企業法務上の問題が起こり得るかを整理しています。読者にとって重要なのは、著作権だけでなく、契約、M&A、監査、信用にまで波及する点を読み取ることです。

リスク領域典型例企業法務上の意味
著作権・ライセンス違反OSSのライセンス文や著作権表示を削除したまま配布する差止め、損害賠償、是正要求、契約違反の可能性がある
コピーレフト対応不備GPL等の対象コードを含む製品を配布しながら、対応ソースを提供しない製品出荷停止、顧客対応、再リリース、紛争の可能性がある
契約違反第三者権利を侵害しないと保証しながらOSS義務を満たしていない表明保証違反、補償義務、解除、信用低下につながり得る
M&Aリスク買収対象会社に未管理OSSやライセンス不明コードが混入している価格調整、補償条項、クロージング条件、PMI負担に影響する
セキュリティリスク未把握OSSに既知脆弱性が存在するインシデント、顧客通知、行政対応、サプライチェーンリスクになる
内部統制リスクどの製品にどのOSSが含まれるか説明できない監査不備、取締役の監督責任、IPO審査上の懸念になり得る
レピュテーションリスクOSSコミュニティや顧客から是正要求を受ける採用、顧客信頼、投資家説明に悪影響を及ぼし得る

OSSコンプライアンスは、法務部だけの課題でも、開発部だけの課題でもありません。法務はライセンス解釈を担いますが、実際にOSSを導入するのは開発部門であり、出荷・配布を管理するのはリリース部門であり、外部委託や購入を管理するのは購買部門です。顧客契約の表明保証は営業・法務が担い、監査可能性は内部統制・内部監査が担保します。

次の要素一覧は、部門横断で管理すべき領域を示しています。各要素は単独ではなく、方針、実装、契約、監査を一つの管理線としてつなぐことが重要です。

法務・知財

ライセンス分類、高リスク審査、特許条項、顧客契約、M&Aの確認項目を設計します。

開発・アーキテクト

OSS選定、依存関係、改変、組込み形態、代替案、ビルド成果物を説明できる状態にします。

セキュリティ

既知脆弱性、EOL、依存関係攻撃、重大脆弱性発覚時の影響調査を継続します。

購買・委託管理

委託先やベンダーにSBOM、OSS一覧、是正義務、情報提供義務を求めます。

内部統制・監査

ルールの文書化、承認手順、台帳更新、リリース前レビュー、是正記録を確認します。

経営

リスク許容度、予算、人員、OSPO機能、顧客・投資家への説明方針を決めます。

Section 02

OSSコンプライアンス体制の構築に必要な基本用語

OSS、ソースアベイラブル、SBOMを混同しないことが、実務判断の出発点です。

OSSとは何か

OSSとは、一般に、一定のライセンス条件の下で、ソースコードの利用、複製、改変、再配布等が認められるソフトウェアをいいます。ただし、GitHubなどで公開されていること、無償であること、ソースコードを閲覧できることは、直ちに企業利用や再配布を自由に許すものではありません。

次の比較表は、現場で混同されやすい用語の違いを表しています。読者にとって重要なのは、無償公開、ソース閲覧、権利放棄、商用利用可否がそれぞれ別の問題であると読み取ることです。

用語意味実務上の注意
OSSOSI承認ライセンス等に基づき、利用・改変・再配布が認められるソフトウェア無償ではなく条件付き許諾として理解する
フリーソフトウェア自由な利用・改変・再配布を重視する概念OSSと重なるが思想的背景が異なる場合がある
ソースアベイラブルソースコードは閲覧可能だが、利用・商用利用・再配布に制限があるものOSSではない場合がある
フリーウェア無償利用できるが、ソースコードや改変権が開放されていない場合があるOSSと混同しない
パブリックドメイン著作権保護がない、または権利放棄されたもの国・地域や表示の有効性を確認する
デュアルライセンスOSSライセンスと商用ライセンスの双方が提供される形態商用版の購入により義務が変わる場合がある

OSSコンプライアンスとは何か

OSSコンプライアンスとは、OSSを利用、改変、複製、配布、サービス提供、顧客納入、社外公開、貢献する際に、該当するOSSライセンス、関連契約、知的財産権、セキュリティ要件、社内規程を満たすための一連の活動です。

次の一覧は、OSSコンプライアンス活動を実務上の作業単位として示すものです。重要なのは、ライセンス名の確認だけでなく、依存関係、証跡、問い合わせ、是正までを一体で読むことです。

1

特定と記録

使用OSS、ライセンス名、版、著作権表示、依存関係、ビルド成果物を特定します。

台帳
2

評価と承認

ライセンス義務、利用可否、改変、配布、顧客契約との整合を評価し、承認記録を残します。

承認
3

リリース対応

通知文、ライセンス文、ソースコード提供、書面による申出、証跡保存を準備します。

出荷
4

外部関係の管理

サプライヤー、顧客、コミュニティからのOSS情報取得、問い合わせ、是正要求に対応します。

外部

SBOMとは何か

SBOMは、ソフトウェアを構成するコンポーネントとそれらの関係を記録した部品表です。SPDXやCycloneDXは、ソフトウェアコンポーネント、ライセンス、著作権、セキュリティ参照等を表現する代表的な仕様です。ただし、SBOMは何が含まれているかを示す台帳であり、ライセンス義務の評価や通知文作成、対応ソースの準備を代替しません。

要点OSSコンプライアンス体制の構築では、SBOMを作ること自体を目的にせず、ライセンス評価、リリース成果物、契約説明、脆弱性対応、監査証跡へ接続することが重要です。
Section 03

OSSコンプライアンス体制の構築で理解すべきライセンスリスク

OSSライセンスは自由ではなく、著作権に基づく条件付き許諾として扱う必要があります。

ソフトウェアは通常、著作権法上の保護対象になり得ます。OSSライセンスは、権利者が一定条件の下で広い利用を許諾する標準化された条件です。条件を満たせば利用できますが、条件を満たさない利用には、著作権侵害、契約違反、顧客対応、再リリース、M&Aや監査での不利益といったリスクが生じ得ます。

次の比較表は、主なOSSライセンス類型と、企業実務で見るべき義務の違いを表しています。読者にとって重要なのは、ライセンス名だけで判断せず、どの範囲に義務が及ぶか、製品配布やSaaS提供とどう関係するかを読み取ることです。

分類代表例主な義務実務上の位置づけ
パーミッシブ型MIT、BSD、Apache-2.0著作権表示、ライセンス文、免責表示等比較的利用しやすいが、通知義務を軽視しない
特許条項を含むパーミッシブ型Apache-2.0ライセンス文、NOTICE、特許ライセンス、特許終了条項特許紛争リスクを踏まえ知財確認が有用
弱いコピーレフトLGPL、MPL対象部分のソース提供、改変通知等リンク形態、改変範囲、再リンク可能性に注意
強いコピーレフトGPL派生物・結合物の範囲、対応ソース提供等製品配布時は個別審査が必要
ネットワーク型コピーレフトAGPLネットワーク経由利用者へのソース提供等SaaSでも注意が必要
非OSS・利用制限型商用利用制限、競合利用禁止、研究目的限定等契約で定められた制限OSSではない可能性が高く、別途契約審査が必要

同じライセンスでも、社内検証ツールとして利用する場合と、顧客向け組込み製品に静的リンクして配布する場合では、法的・事業的リスクが大きく異なります。したがって、ホワイトリストや禁止リストだけでは不十分です。

次の比較表は、ライセンス分類に重ねて確認すべき利用形態の評価軸を示しています。重要なのは、目的、提供形態、改変、顧客契約、代替可能性を合わせて判断することです。

評価項目確認事項
利用目的本番製品、開発ツール、テスト、社内分析、研究、PoC
提供形態社内利用、顧客配布、SaaS、SDK、コンテナ、ファームウェア
組込み方法ソースコピー、リンク、プロセス間通信、API呼出し、プラグイン
改変の有無OSS本体を改変したか、パッチを当てたか
配布対象一般公開、特定顧客、委託先、代理店、子会社
顧客契約ソースコード開示禁止、第三者権利保証、補償条項
技術的分離独立プロセス、ライブラリ、コンテナ、ネットワーク分離
代替可能性別ライセンスの代替OSS、商用ライブラリ、自社開発
セキュリティ既知脆弱性、メンテナンス状況、依存関係の健全性
事業影響違反時の回収、顧客説明、再設計コスト

ライセンス不明コードにも注意が必要です。GitHub、ブログ、Gist、サンプルコード、AI生成コード、競合製品の解析結果などがソースコードに混入すると、OSSライセンスとは別の著作権、契約、営業秘密の問題が発生し得ます。

次の判断の流れは、ライセンス不明または利用制限が疑われるコードを見つけたときの選択肢を表しています。読者は、安易に使うのではなく、利用しない、許諾を取る、置き換える、調査するという順番でリスクを下げることを読み取ってください。

ライセンス不明コードを見つけたときの判断の流れ

出所と表示を確認

ライセンス、著作権表示、利用規約、取得経路を確認します。

許諾条件を説明できるか

商用利用、再配布、改変、組込みに関する許諾が明確かを見ます。

不明
原則として利用しない

権利者許諾、別OSSへの置換、専門家調査を検討します。

明確
義務を台帳化

利用形態、承認、通知、証跡保存に接続します。

Section 04

OSSコンプライアンス体制の構築に必要な12要素

OpenChainの考え方とも整合する、説明可能で再現可能な統制設計です。

OSSコンプライアンス体制の構築は、ゼロリスクを目指してOSSを使わないことではありません。現代の開発でOSSを全面的に禁止することは、技術競争力、開発速度、セキュリティ更新、採用競争力の面で現実的ではありません。目的は、OSSを安全かつ効率的に使い、問題が生じた場合にも合理的に説明し、迅速に是正できる状態を作ることです。

次の比較表は、体制構築の12要素を目的と主要担当に分けて示しています。読者にとって重要なのは、どの要素も単独では足りず、経営、法務、開発、セキュリティ、購買、内部統制がつながって初めて機能する点です。

要素目的主要担当
基本方針OSS利用に関する会社の原則を明確化経営、法務、CTO、CISO
スコープ定義対象製品、サービス、部門、子会社、委託範囲を定める法務、開発、内部統制
役割分担承認、記録、リリース責任を明確にする法務、開発、PMO、OSPO
ライセンス分類使用可能、条件付き、原則禁止、個別審査を区分する法務、知財、開発
OSS申請・承認新規OSS導入時の審査手順を設ける開発、法務、セキュリティ
SBOM・台帳OSS、版、ライセンス、依存関係を管理する開発、セキュリティ、リーガルオペレーション
リリース審査出荷前に通知、ソース提供、証跡を確認するリリース管理、法務、QA
成果物管理通知文、ソースコード、書面申出を保存する開発、法務、文書管理
契約統制顧客・サプライヤー契約にOSS条項を反映する契約法務、購買、営業
貢献・公開自社からOSSへ貢献する権限と手続を定めるOSPO、法務、開発
問い合わせ・是正外部指摘や違反発覚時の対応を整える法務、広報、開発、CSIRT
監査・改善運用状況を測定し、継続改善する内部監査、コンプライアンス、経営

次の3つの原則は、OSSコンプライアンス体制の構築で目指す運用品質を表しています。重要なのは、個別判断が正しいかだけでなく、後から同じ条件で説明でき、証跡を提示できる状態にすることです。

EXPLAIN

説明可能性

なぜそのOSSを使ったのか、誰が承認したのか、どの義務を満たしたのかを説明できる状態です。

REPEAT

再現可能性

同じ条件なら同じ判断がされるよう、基準、手順、エスカレーション条件が整っている状態です。

EVIDENCE

証跡性

判断、承認、通知、対応ソース、SBOM、問い合わせ対応の記録が残っている状態です。

OpenChain ISO/IEC 5230は、OSSライセンスコンプライアンス・プログラムの主要要件として、ポリシー、役割、能力、認識、範囲、ライセンス義務確認、外部問い合わせ、成果物、是正、OSS貢献方針等を扱います。体制構築では、認証取得だけでなく、実務上の設計図として参照する価値があります。

Section 05

OSSコンプライアンス体制の構築で決める組織設計とRACI

経営、法務、知財、開発、セキュリティ、購買、内部監査の責任を明確にします。

OSSコンプライアンスは、現場の善意だけでは維持できません。経営層はOSS利用をソフトウェアサプライチェーン管理、知財戦略、セキュリティ戦略の一部として位置づけ、リスク許容度、GPL・AGPL等への対応方針、対象範囲、OSPOまたは横断委員会、必要なツール・人員・外部専門家費用、顧客・投資家への説明方針を決める必要があります。

次の一覧は、各部門が担う役割を並べて示しています。読者にとって重要なのは、法務が全パッケージを手作業で見るのではなく、制度設計と高リスク審査に集中し、開発・セキュリティ・購買・監査がそれぞれの証跡を持つことです。

LEGAL

法務・知財

OSSポリシー、ライセンス分類、高リスク審査、契約条項、M&A確認項目、外部指摘対応を設計します。

DEV

開発・アーキテクト

OSS選定、ロックファイル、コンテナ、改変、リンク形態、SBOM生成、代替技術の検討を担います。

SECURITY

セキュリティ・CSIRT

脆弱性スキャン、重大脆弱性の影響調査、SBOMとの連携、サプライヤーの対応確認を担います。

PROCURE

購買・委託管理

契約段階でOSS情報、SBOM、ライセンス一覧、通知文、ソース提供義務の有無を確認します。

AUDIT

内部監査・内部統制

ルール、対象範囲、承認手順、台帳更新、リリース前確認、高リスク例外、教育状況を検証します。

OSPO

OSPO機能

利用、管理、貢献、教育、問い合わせ対応を横断し、開発と法務の共通言語を整えます。

次のRACI表は、活動ごとの実行者、最終責任者、相談先、共有先を示しています。責任が曖昧なままだと、リリース直前の差戻しや外部指摘時の混乱につながるため、自社の組織名に置き換えて読み取ることが重要です。

活動実行最終責任相談共有
OSSポリシー策定法務、OSPO経営、GC/CLO開発、知財、セキュリティ全社員
新規OSS導入申請開発者開発責任者法務、セキュリティPM
高リスクライセンス審査法務、知財GC/CLO外部弁護士、アーキテクト事業責任者
SBOM作成開発、DevOpsCTOセキュリティ、法務顧客対応部門
リリース前承認リリース管理事業責任者法務、QA、セキュリティ営業、サポート
サプライヤーOSS条項購買、契約法務購買責任者法務、開発事業部
OSS貢献承認開発者、OSPOCTO法務、知財広報
違反指摘対応法務、開発、CSIRTGC/CLOまたは危機管理責任者外部弁護士、広報経営
内部監査内部監査監査責任者法務、開発、OSPO経営、監査役等

法務部門が全件の手作業確認を引き受ける運用は破綻しやすいため、低リスクOSSはツールと手順で迅速に扱い、高リスク・不明・例外案件を法務へ上げる設計が現実的です。開発部門が使いやすい申請手順でなければ、無申請利用が増える点にも注意が必要です。

Section 06

OSSコンプライアンス体制の構築を開発ライフサイクルに組み込む手順

導入前、開発中、リリース前、リリース後の各段階で、記録と承認を途切れさせない設計にします。

OSS管理をリリース直前の一括調査にすると、GPLやAGPL、ライセンス不明コードが最後に発見され、設計変更、差替え、納期遅延、顧客説明が必要になる可能性があります。実務では、開発の初期からOSS導入、依存関係、改変、スキャン、承認、リリース成果物をつなげて管理します。

次の判断の流れは、OSS採用からリリース後保存までの順番を示しています。重要なのは、各段階の出口で記録を残し、後工程で同じ情報を再入力しないようにすることです。

OSS導入からリリース後までの行動の順番

導入前の採用判断

名称、版、配布元、ライセンス、依存関係、利用目的、組込み形態、改変予定を確認します。

開発中の継続記録

ロックファイル、ベースイメージ、CI/CDスキャン、新規依存、誤検知、パッチ履歴を管理します。

リリース前の承認

未承認OSS、ライセンス不明、通知文、対応ソース、顧客契約、重大脆弱性を確認します。

リリース後の保存と更新

版ごとのSBOM、通知文、バイナリ、対応ソース、問い合わせ、脆弱性監視を保存・継続します。

導入前に確認する情報

次の表は、新規OSS導入時に開発者が確認すべき情報を表しています。読者にとって重要なのは、コンポーネント名とライセンスだけではなく、改変、顧客影響、セキュリティ、代替案まで採用判断に含めることです。

項目内容
コンポーネント名正式名称、パッケージ名
使用予定の版、固定方法
配布元公式リポジトリ、パッケージレジストリ、ベンダー提供物
ライセンスライセンス名、版、複数ライセンスの有無
著作権表示COPYRIGHT、NOTICE、AUTHORS等
依存関係直接依存、間接依存、ビルド時依存
利用目的製品、SaaS、社内、テスト、開発支援
組込み形態リンク、コピー、実行時呼出し、コンテナ同梱
改変予定パッチ、フォーク、設定変更、生成物への影響
セキュリティCVE、メンテナンス状況、署名、公開履歴
代替案より低リスクな代替OSSまたは商用製品
顧客影響顧客契約、輸出、規制、ソース提供要否

リリース前の確認項目

次の一覧は、リリース前に満たすべき条件を示しています。重要なのは、単なるチェックリストではなく、CI/CD、チケット管理、文書管理、契約管理と連動させることです。

1

SBOMまたはOSS台帳が最新

製品・サービスの版に対応したOSS情報が更新されていることを確認します。

台帳
2

未承認OSSとライセンス不明を解消

高リスクライセンスには法務承認を付け、ライセンス不明のまま出荷しません。

承認
3

通知文と対応ソースを準備

ライセンス文、著作権表示、ソース提供、書面による申出の文面と体制を確認します。

履行
4

契約とセキュリティを確認

顧客契約・納品仕様との矛盾、重大未解決脆弱性、承認者の証跡確認を行います。

出荷

リリース後には、リリース版ごとのSBOM、通知文、配布バイナリ、対応ソース、ビルド・インストール情報、パッチ、書面による申出の有効期間、顧客・第三者からの問い合わせ、脆弱性監視、EOL後の保存期間、過去版の再現性を管理する必要があります。

Section 07

OSSコンプライアンス体制の構築で使うSBOM・OSS台帳・成果物

SBOMは部品表であり、ライセンス履行と監査証跡に接続して初めて機能します。

SBOMは、ライセンス管理とセキュリティ管理の双方で使えるように設計します。SPDXやCycloneDXを採用する場合でも、企業内部では法務審査、承認チケット、顧客契約、リリース成果物と紐づける仕組みが必要です。

次の表は、SBOMに含めることが望ましい情報を示しています。読者にとって重要なのは、機械可読な部品表だけでなく、承認記録、義務、改変、配布有無、リリース情報まで結びつける点です。

項目内容
コンポーネント名パッケージ名、リポジトリ名
正確な版、コミットハッシュ
配布元取得元、パッケージレジストリ、ベンダー
ライセンスSPDXライセンス識別子、複数ライセンス
著作権表示Copyright、NOTICE、AUTHORS
依存関係親子関係、直接・間接依存
ハッシュ取得物の同一性確認
利用箇所製品、サービス、モジュール、コンテナ
改変有無パッチ、フォーク、ローカル変更
配布有無外部配布、SaaS、内部利用
義務通知、ソース提供、書面申出、表示
承認記録承認者、日付、チケットID
セキュリティCVE、修正版、例外承認
リリース紐づけ製品版、ビルド番号

次の表は、OSSコンプライアンス成果物を製品・版単位で保存する目的を整理したものです。重要なのは、OSS一覧とSBOMに加えて、通知、対応ソース、ビルド情報、例外承認、問い合わせ記録まで保存対象にすることです。

成果物目的
OSS一覧顧客説明、監査、ライセンス確認
SBOM機械可読な部品表、脆弱性管理
ライセンス文一覧ライセンス義務の履行
著作権表示・NOTICE表示義務の履行
対応ソースコードGPL、LGPL、AGPL等の義務履行
ビルド・インストール情報対応ソースの完全性確保
書面による申出ソース提供方法の説明
承認記録内部統制・監査証跡
スキャン結果発見・判断の証跡
例外承認書リスク判断の説明
顧客提供資料契約履行・顧客監査対応
問い合わせ記録外部指摘対応の証跡

顧客からSBOM提出を求められる場面は増えていますが、SBOMにはソフトウェア構成、依存関係、脆弱性リスク、サプライヤー情報など、攻撃者や競合に有用な情報が含まれる場合があります。提供時はNDA、提供形式、秘匿情報の除外、脆弱性情報の開示時期、更新頻度、訂正方法、二次提供禁止、公共調達要件との整合を設計します。

注意SBOMは出せるか出せないかではなく、何を、誰に、どの条件で、どの頻度で、どの責任範囲で出すかを契約と運用で決める必要があります。
Section 08

OSSコンプライアンス体制の構築と契約実務

顧客契約、サプライヤー契約、契約レビューの確認項目にOSSを組み込みます。

顧客契約では、知的財産権保証、補償、ソースコード非開示、第三者ソフトウェア、納品物、セキュリティ、監査、再配布、サポート、輸出管理がOSSと関係します。避けるべきなのは、実際にはOSSが含まれている製品について、第三者ソフトウェアは一切含まれない、全て自社が完全に権利を有する、いかなるソースコード開示義務も発生しないといった過剰保証を行うことです。

次の表は、顧客契約でOSSと関係しやすい条項を示しています。重要なのは、ライセンス上問題がなくても、契約上の保証や補償の書き方によって別の責任が生じ得る点です。

条項OSSとの関係
知的財産権保証OSSライセンス違反が第三者権利侵害として問題になる可能性
補償条項OSS違反に起因する請求を補償対象に含めるか
ソースコード非開示GPL等のソース提供義務と衝突しないか
第三者ソフトウェアOSSが自社保証の対象外か、条件付きか
納品物定義OSS、SBOM、ライセンス文、ソースコードを含むか
セキュリティ条項OSS脆弱性、SBOM更新、重大脆弱性通知
監査条項顧客によるOSS監査・ソースコード監査の範囲
再配布顧客がさらに製品を配布する場合の義務
サポートOSSコンポーネントのEOL・更新対応
輸出管理暗号OSS、制裁、国外提供

サプライヤーや外部委託先から納品を受ける契約では、納品後にOSSリスクが発覚しても是正責任や費用負担を明確にできないことがあります。次の一覧は、契約に入れるべき要求を示しており、サプライヤーの成熟度に応じて段階的に運用することが重要です。

A

情報提出

OSS利用の事前通知、OSS一覧またはSBOM、ライセンス文、著作権表示、NOTICEの提出を求めます。

提出
B

制限と承認

コピーレフト型OSSの使用制限、事前承認、ソース提供義務があるOSSの明示を定めます。

承認
C

是正と差替え

違反発覚時の是正、代替コンポーネントへの差替え、脆弱性情報通知を定めます。

是正
D

下請と監査

再委託先への同等義務、補償、損害賠償、監査協力、納品後の情報提供を定めます。

監査

契約レビューでは、納品物にソフトウェアが含まれるか、ソースコード・バイナリ・コンテナ・ファームウェア・SaaSのいずれか、OSS利用が禁止されていないか、SBOM提出義務があるか、顧客が再配布するか、ソースコード開示禁止条項とOSS義務が衝突しないかを確認します。OSS管理は契約管理システムやレビュー手順に組み込むことが望ましいです。

Section 09

OSSコンプライアンス体制の構築とサプライチェーン・M&A・IPO

自社コードだけでなく、委託先、買収対象、上場準備で説明できる管理状態を作ります。

ソフトウェアサプライチェーンは、自社開発コードだけで構成されません。OSS、外部委託コード、商用コンポーネント、クラウドサービス、API、コンテナベースイメージ、AIモデル、データセット、ビルドツールが複雑に関係します。

次の判断の流れは、サプライチェーン管理を4段階で示しています。読者にとって重要なのは、SBOMを知る段階に置きつつ、評価、契約、監視まで進めなければ管理として完結しない点です。

サプライチェーン管理の基本順序

知る

何が含まれているかを把握し、OSS、商用部品、委託コード、AIモデル等を台帳化します。

評価する

ライセンス、セキュリティ、保守性、提供形態、事業影響を評価します。

契約する

情報提供、是正、補償、監査協力、再委託先への同等義務を契約化します。

監視する

納品後も脆弱性、ライセンス変更、EOL、問い合わせ対応を追跡します。

M&Aでは、OSSリスクが買収価格、表明保証、補償、クロージング条件、PMI計画に影響します。特にソフトウェア企業、SaaS企業、AI企業、IoT企業、組込み機器メーカーでは、主要製品、収益源、顧客納品物、組込み部分、過去配布版を重点的に確認します。

次の表は、M&Aデューデリジェンスで確認すべき項目を示しています。重要なのは、現在の台帳だけでなく、過去リリース、顧客契約、違反指摘、従業員の社外公開、特許、セキュリティまで見ることです。

項目確認内容
OSSポリシー対象会社に文書化されたOSSルールがあるか
OSS台帳製品別・版別のOSS一覧があるか
SBOM機械可読SBOMがあり、更新されているか
高リスクOSSGPL、AGPL、LGPL、MPL等の使用状況
ソース提供過去配布製品について義務を履行したか
ライセンス不明コード出所不明コード、コピーコード、生成AI由来コード
サプライヤー外部委託先からOSS情報を取得しているか
顧客契約OSS禁止条項や過剰保証がないか
違反指摘過去にOSSコミュニティや顧客から指摘を受けたか
OSS貢献従業員が会社コードを外部公開していないか
特許Apache等の特許条項、特許非係争条項、特許終了条項
セキュリティ重大脆弱性、EOLコンポーネント、保守停止OSS

IPO・上場準備では、内部統制、知的財産管理、契約管理、セキュリティ管理の観点から、OSS利用状況の説明を求められる場合があります。OSSポリシー、申請手順、OSS台帳またはSBOM、高リスクライセンスのレビュー記録、リリース前チェックリスト、顧客契約・外部委託契約のOSS条項、貢献ルール、過去リリースの是正計画、監査証跡を整えることが重要です。

Section 10

OSSコンプライアンス体制の構築でSaaS・クラウド・AI開発に注意する点

配布していないように見えるサービスでも、AGPL、コンテナ提供、AIモデル・データの条件が問題になります。

SaaSは配布していないから安全とはいえません。多くのライセンスでは配布が重要な契機になりますが、AGPLのようにネットワーク経由での利用を対象とするライセンスもあります。また、顧客にエージェント、CLI、SDK、オンプレミス版、コンテナイメージを提供する場合や、顧客契約でSBOMやOSS情報開示を約束している場合にも、OSS義務が問題になります。

次の一覧は、SaaSやクラウドで確認すべき場面を示しています。読者にとって重要なのは、配布という言葉に限定せず、顧客に何を渡しているか、契約で何を約束したかを読み取ることです。

SaaS

ネットワーク利用

AGPL等のネットワーク条項、改変版の利用者への提供条件、顧客契約のOSS情報開示を確認します。

AGENT

顧客配布物

エージェント、CLI、SDK、モバイルアプリ、オンプレミス版、顧客専用環境の納品物を確認します。

CLOUD

クラウド・コンテナ

ベースイメージ、OSパッケージ、IaC、関数実行環境、CI/CDプラグイン、EOLイメージを管理します。

クラウド環境では、コンテナイメージ、ベースOS、パッケージレイヤー、IaCテンプレート、関数実行環境、CI/CDプラグインがOSSを含みます。顧客にコンテナイメージを提供する場合、イメージ内のOSパッケージやツールにも通知義務などが存在するため、社内利用イメージと顧客提供イメージを区別します。

次の表は、AI開発で確認すべき対象を整理しています。重要なのは、OSSライセンス、モデルライセンス、データライセンス、API利用規約、生成物の権利関係が混在するため、OSS台帳だけでなくモデル台帳・データ台帳とも連携することです。

対象確認事項
OSSライブラリライセンス、依存関係、GPU関連コンポーネント
モデル商用利用可否、再配布可否、利用制限、出力利用条件
データセット著作権、個人情報、契約、研究目的限定
学習済み重みライセンス、派生モデルの条件
生成AI利用入力コードの機密性、出力コードの類似性、OSS混入
MLOpsコンテナ、パイプライン、外部SaaS利用規約
顧客提供モデル、API、オンプレミス版、エッジ配布の区別

AIチームがOSS、モデル、データを個別に自由導入している場合、後から法務・知財・セキュリティ上の整理を行うことは困難です。AI開発の初期段階から、OSS台帳、モデル台帳、データ台帳を連携させるべきです。

Section 11

OSSコンプライアンス体制の構築で備える非遵守対応・監査・KPI

発覚時の初動、是正類型、危機管理、内部監査、KPIを事前に決めておきます。

OSSライセンス違反またはその疑いが発覚した場合、感情的・場当たり的に対応してはいけません。指摘者を敵対視せず、対象製品・版・顧客・地域の特定、対象OSSと利用形態の確認、配布済み成果物とソースコードの保全、窓口一本化、専門家相談、出荷判断、顧客契約上の通知義務、是正案と再発防止策を順に進めます。

次の時系列は、非遵守の疑いが発覚したときの初動を表しています。読者にとって重要なのは、誰が何を確認するかを先に決め、配布済み成果物と証跡を保全してから対外説明へ進むことです。

初動

事実確認チームを立ち上げる

法務、開発、CSIRT、必要に応じて広報・顧客対応を含め、窓口を一本化します。

特定

対象範囲を明確にする

製品、版、顧客、配布地域、対象OSS、ライセンス、改変有無を確認します。

保全

成果物と証跡を保存する

配布済みバイナリ、対応ソース、ビルド情報、通知文、承認記録を保全します。

判断

出荷・通知・是正を決める

追加配布の一時停止、顧客契約上の通知義務、是正案、再発防止策を検討します。

次の表は、是正措置の類型を示しています。重要なのは、表示だけで済む場合と、対応ソース、差替え、設計変更、商用ライセンス、顧客通知、契約修正、再発防止まで必要な場合を分けて読むことです。

類型内容
表示是正ライセンス文、著作権表示、NOTICEを追加
ソース提供対応ソースコード、ビルドスクリプト、変更内容を提供
差替え問題OSSを別ライセンスのOSSまたは商用製品に置換
設計変更リンク形態、プロセス分離、配布形態を変更
商用ライセンス取得デュアルライセンス提供者から商用許諾を取得
顧客通知顧客にOSS情報、是正内容、影響範囲を説明
公開是正Web上のソース公開、通知文修正
契約修正顧客・サプライヤー契約を実態に合わせて修正
再発防止ポリシー、ツール、教育、監査を改善

危機管理の観点では、外部問い合わせ窓口、初動報告ライン、重大性評価基準、出荷停止判断基準、顧客通知テンプレート、コミュニティ対応方針、法的保全措置、取締役会・監査役等への報告基準、メディア対応方針、再発防止報告書の形式を定めておきます。

次の表は、内部監査とKPIの主要項目をまとめたものです。読者にとって重要なのは、KPIを罰則ではなく、ボトルネックを見つけて現場が使いやすい体制へ改善する材料として読むことです。

区分確認・測定する項目
監査方針、対象範囲、役割、教育、申請、台帳、リリース、成果物、契約、例外、問い合わせ、是正
KPI申請処理時間、未承認OSS、ライセンス不明、高リスク例外、SBOM作成率、リリース前レビュー実施率
KPI通知文生成率、ソース提供要求への応答時間、重大脆弱性未対応日数、教育受講率、サプライヤーSBOM提出率、是正期限遵守率
OpenChain活用体制構築の基準、顧客説明、サプライヤー管理、内部監査、役割整理の共通言語として使う

OpenChain適合は目的ではなく手段です。形式的な文書を作るだけでは不十分であり、実際の開発、リリース、調達、問い合わせ対応に組み込まれていることが重要です。

Section 12

OSSコンプライアンス体制の構築ロードマップと実務チェックリスト

中小企業・スタートアップでも、軽量な仕組みから段階的に整備できます。

OSSコンプライアンス体制の構築は大企業だけの課題ではありません。スタートアップや中小企業でも、顧客契約、資金調達、M&A、IPO、セキュリティ監査でOSS管理状況を問われることがあります。早期に軽量な仕組みを作る方が、後から大規模に是正するより低コストです。

次の時系列は、30日、90日、180日、1年以内に整備する内容を示しています。読者にとって重要なのは、最初から完璧な制度を作るのではなく、主要製品と高リスク項目から始め、台帳、契約、監査、OpenChainとの差分確認へ段階的に広げることです。

30日

責任者・範囲・暫定ポリシー

開発責任者と法務・管理部門の窓口を決め、主要製品、SaaS、顧客納品物を優先対象にし、禁止事項と事前相談事項を1〜2ページで定めます。主要リポジトリの棚卸し、GPL・AGPL・ライセンス不明・商用利用制限の確認、問い合わせ窓口、30分研修も実施します。

90日

分類・申請・スキャン・契約条項

使用可、事前承認、原則禁止の基準を作り、チケットやフォームで導入を記録します。主要リポジトリのスキャン、主要製品のSBOM試行、通知文テンプレート、顧客・委託先契約のOSS条項、出荷前チェックを開始します。

180日

製品別台帳・成果物保存・監査

製品・版別の台帳、ライセンス文、ソースコード、承認記録を整備し、高リスクOSSの例外承認を明文化します。主要委託先からOSS情報を取得し、サンプル監査とKPI測定を行います。

1年

OpenChainとの差分確認と統合

ISO/IEC 5230との差分を確認し、OSPO機能、脆弱性管理、SSDF、SBOM、M&A・IPO資料、顧客説明資料、継続教育へ展開します。

次のチェックリストは、方針・組織、開発・リリース、契約・調達、セキュリティ・監査、貢献・公開の観点をまとめたものです。読者にとって重要なのは、項目を単発で消化するのではなく、未整備項目をロードマップに戻して改善対象にすることです。

領域確認項目
方針・組織OSS利用方針、経営層の理解、法務・開発・セキュリティ・購買・内部監査の役割、外部問い合わせ窓口、高リスク案件のエスカレーション
開発・リリース新規OSS導入時の申請、ライセンス不明コード禁止、依存関係スキャン、SBOMまたは台帳、リリース前確認、コピーレフト型OSS審査、成果物保存
契約・調達顧客契約でOSS利用を過剰に否定しないこと、第三者ソフトウェアの明確化、委託先の情報提出義務、サプライヤーSBOM、是正義務と費用負担
セキュリティ・監査OSS脆弱性の継続監視、EOLコンポーネント把握、重大脆弱性対応と台帳の連携、内部監査、是正期限と完了記録
貢献・公開従業員のOSS貢献ルール、会社コード公開の承認手続、CLA、DCO、特許、秘密情報、退職者・個人アカウント・会社アカウント管理
Section 13

OSSコンプライアンス体制の構築に関するFAQ

よくある誤解を、一般的な制度説明として整理します。

Q1. OSSは無料なのだから、法務審査は不要ではありませんか。

一般的には、OSSは無償で入手できる場合が多い一方、ライセンス条件が存在するとされています。著作権表示、ライセンス文、NOTICE、ソースコード提供、改変通知、特許条項などの義務が生じる可能性があります。ただし、利用形態、配布有無、契約条件、対象ライセンスによって結論は変わるため、具体的な対応は弁護士等の専門家へ相談する必要があります。

Q2. GPLを使うと必ず自社コードを全部公開しなければなりませんか。

一般的には、必ず自社コード全体の公開になるとは限らず、対象OSSの利用形態、改変の有無、結合・リンクの態様、配布の有無、対応ソースの範囲によって判断が変わるとされています。ただし、顧客向け製品やSDKにGPLコードを組み込む場合は重大な影響があり得るため、資料を整理したうえで法務・技術・弁護士等の専門家レビューが必要です。

Q3. SaaSならOSSライセンスの問題は発生しませんか。

一般的には、多くのライセンスで配布が重要な契機になる一方、AGPLのようにネットワーク経由の利用を対象とするライセンスもあるとされています。また、SaaSでもエージェント、CLI、SDK、オンプレミス版、コンテナイメージを提供する場合や、顧客契約でOSS情報開示を約束する場合があります。具体的な結論は、サービス構成と契約内容に応じて専門家へ相談する必要があります。

Q4. SBOMを作ればOSSコンプライアンスは完了しますか。

一般的には、SBOMは構成部品の可視化には有用ですが、ライセンス義務の判断、通知文の作成、ソースコード提供、承認記録、契約対応、問い合わせ対応を代替するものではないとされています。SBOMは体制の重要な構成要素ですが、具体的な運用設計は製品・契約・提供形態に応じて検討する必要があります。

Q5. 開発者が勝手にOSSを入れることを全面禁止すべきですか。

一般的には、全面禁止は開発効率やセキュリティ更新を阻害する可能性があるため、低リスクOSSは迅速に利用でき、高リスクOSSは事前レビューされる仕組みが望ましいとされています。ただし、会社の事業内容、顧客契約、規制、製品の配布形態によって必要な制限は変わるため、具体的なルールは専門家と相談して設計する必要があります。

Q6. OSSコンプライアンスは大企業だけのものですか。

一般的には、大企業に限らず、スタートアップや中小企業でも顧客契約、資金調達、M&A、IPO、セキュリティ監査でOSS管理状況を問われる可能性があります。ただし、会社規模や製品数によって適切な統制の重さは変わるため、早期に軽量な仕組みから始め、段階的に整備することが実務上有用です。

Q7. OSSスキャンツールを導入すれば十分ですか。

一般的には、スキャンツールは有用ですが、誤検知、未検知、ライセンス例外、複数ライセンス、改変有無、配布形態、顧客契約との関係までは自動判断できないとされています。ツールは、法務、開発、セキュリティ、監査の手順と組み合わせて初めて有効になります。

Q8. OSSに自社が貢献する場合、何に注意すべきですか。

一般的には、会社のコード、秘密情報、第三者コード、顧客情報、特許、商標、従業員の職務発明・職務著作、CLAやDCOへの同意権限に注意が必要とされています。OSS貢献は採用や技術広報にも有益ですが、具体的な承認基準と手続は会社の知財方針・契約関係に応じて設計する必要があります。

Section 14

OSSコンプライアンス体制の構築で目指す到達点

OSSを禁止するのではなく、安全に、速く、説明可能に活用できる状態を作ります。

OSSコンプライアンス体制の構築は、契約法務、知的財産、情報セキュリティ、サプライチェーン、内部統制、開発生産性をつなぐ基盤です。OSSを使わない企業はほとんど存在しない一方で、OSSの利用実態を説明できない企業は少なくありません。

次の重要ポイントは、OSSコンプライアンス体制の構築で最終的に確認すべき問いをまとめたものです。読者にとって重要なのは、OSSを使ってよいかという単発の判断ではなく、証跡をもって説明し、問題発覚時に是正できるかを読み取ることです。

自社は、どの製品・サービスにどのOSSが含まれるか説明できるか

ライセンス義務を理解し履行しているか、顧客・取引先・監査人・投資家・コミュニティから問われたとき証跡で説明できるか、問題発覚時に迅速に是正できるかが実効性の核心です。

法務が抽象的に危ないと伝えるだけでも、開発が便利だから使うと進めるだけでも不十分です。法務、知財、開発、セキュリティ、購買、営業、内部監査、経営が共通の言語を持ち、ポリシー、手順、SBOM、契約、証跡、教育、監査を一体として運用することが、実効的なOSSコンプライアンス体制の構築です。

Reference

参考資料

OSSコンプライアンス体制の構築に関係する標準、仕様、公的資料、主要ライセンスを整理しています。

標準・仕様

  • OpenChain Project「OpenChain ISO/IEC 5230 ― License Compliance」
  • OpenChain Project「OpenChain Specification 2.1」
  • SPDX Project「SPDX」
  • OWASP CycloneDX「CycloneDX」
  • OpenChain Project「OpenChain ISO/IEC 18974 ― Security Assurance」

公的・中立的資料

  • National Telecommunications and Information Administration「The Minimum Elements For a Software Bill of Materials」
  • NIST「Secure Software Development Framework Version 1.1」
  • 経済産業省「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」
  • IPA「OSSに関するよくある誤解」
  • IPA「OSPOスターターキット」
  • Open Source Initiative「Open Source Licenses」
  • 公益社団法人著作権情報センター「著作権Q&A はじめての著作権講座」
  • European Commission「Cyber Resilience Act ― Open Source Software」

主要ライセンス・判例資料

  • Free Software Foundation「GNU General Public License version 3」
  • Free Software Foundation「GNU Affero General Public License」
  • The Apache Software Foundation「Apache License, Version 2.0」
  • Mozilla「Mozilla Public License 2.0 FAQ」
  • Free Software Foundation「GNU Lesser General Public License, version 2.1」
  • Harvard Journal of Law & Technology Digest「Jacobsen v. Katzer」
  • Justia「Artifex Software, Inc. v. Hancom, Inc.」