2σ Guide

OSSを自社製品に組み込む際の
ライセンス確認

OSSは無料かどうかではなく、権利者がどの利用をどの条件で許しているかを確認する対象です。企業法務・知財・開発・セキュリティ・調達が同じ台帳と証跡で判断できるよう、実務上の確認手順を整理します。

6段階 標準確認手順
5分類 社内承認区分
10問 企業法務FAQ
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

OSSを自社製品に組み込む際の ライセンス確認

OSSは無料かどうかではなく、権利者がどの利用をどの条件で許しているかを確認する対象です。

動画を読み込み中…
2σ GUIDE ・ VIDEO
OSSを自社製品に組み込む際の ライセンス確認
OSSは無料かどうかではなく、権利者がどの利用をどの条件で許しているかを確認する対象です。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • OSSを自社製品に組み込む際の ライセンス確認
  • OSSは無料かどうかではなく、権利者がどの利用をどの条件で許しているかを確認する対象です。

POINT 1

  • OSSを自社製品に組み込む際のライセンス確認の全体像
  • 自由に使えるかではなく、許諾条件を満たせるかを確認します。
  • 権利許諾条件
  • SBOMとOSS台帳
  • 契約と組織統制

POINT 2

  • OSSライセンス確認が企業法務の中核課題になった理由
  • 棚卸し不足
  • 製品に含まれるOSSを正確に把握せず、脆弱性対応、顧客監査、M&A、IPO、リコール時に説明できない状態です。
  • 条件の読み落とし

POINT 3

  • OSSライセンス確認で使う用語と判断軸
  • 用語をそろえることで、法務・知財・開発の会話がずれにくくなります。
  • 重要なのは、OSSにも著作権者が存在し、OSSライセンスはその権利者が一定条件で利用を許すための法的文書であるという点です。
  • 「GPL」「BSD系」「Apacheっぽい」といった曖昧な呼び方は避けるべきです。

POINT 4

  • OSSライセンス確認の法的構造 ― 条件付き許諾として読む
  • 著作権、公開コード、違反時の執行可能性を分けて考えます。
  • 日本法では、プログラムは著作権法上の著作物として保護され得ます。
  • ソフトウェアをコピーし、改変し、再配布し、製品に同梱するには、原則として権利者の許諾が必要です。
  • 海外裁判例では、オープンソースライセンス条件が著作権上の条件として扱われ得ることが示されています。

POINT 5

  • OSSライセンス確認で押さえる主要類型とリスク
  • 安全・危険のラベルではなく、義務と事業モデルの関係を見ます。
  • MIT、BSD、ISC、zlib
  • Apache License 2.0
  • LGPL、MPL、EPL、CDDL

POINT 6

  • OSSを自社製品に組み込む際のライセンス確認手順
  • 1. 1. 製品・サービスの利用形態を確定:配布、SaaS、組込み、SDK、コンテナ、委託先提供、改変有無、リンク方式を確認します。
  • 2. 2. ソフトウェア構成を棚卸し:OSS台帳またはSBOMを作り、直接依存と推移的依存を記録します。
  • 3. 3. ライセンス本文を一次情報で確認
  • 4. 4. 義務をコンポーネントごとに整理:表示、本文同梱、NOTICE、改変表示、ソース提供、特許、商標、ネットワーク義務を一覧化します。
  • 5. 5A. 対応方針を再設計:代替、分離、商用ライセンス、個別許諾、公開、削除、延期を検討します。
  • 6. 5B. 通知・提供物を整備:第三者通知、ライセンス本文、ソース提供、EULA整合性を確認します。
  • 7. 6. リリースゲートで証跡化:最新ビルド、SBOM、通知、承認、例外、顧客契約を保存します。

POINT 7

  • OSSライセンス確認の役割分担と組織統制
  • 法務だけでも開発だけでも完結しない総力戦です。
  • OpenChain ISO/IEC 5230のような枠組みも、役割・責任の割当て、プロセスの持続可能性を重視しています。
  • 著作権表示、特許条項、商標利用、自社特許ポートフォリオ、OSSへの貢献、CLA、DCO、権利帰属を確認します。
  • SBOM標準、脆弱性管理、依存関係管理、NIST SSDF等のセキュア開発実務との接続を管理します。

POINT 8

  • OSSライセンス確認で使うチェックリスト
  • 初回導入、リリース前、SaaS、組込み・IoTで確認項目を分けます。
  • SBOMとビルド
  • 通知と提供物
  • EULAと契約

まとめ

  • OSSを自社製品に組み込む際の ライセンス確認
  • OSSを自社製品に組み込む際のライセンス確認の全体像:自由に使えるかではなく、許諾条件を満たせるかを確認します。
  • OSSライセンス確認が企業法務の中核課題になった理由:外部コンポーネントへの依存が、製品・契約・監査の説明責任に直結します。
  • OSSライセンス確認で使う用語と判断軸:用語をそろえることで、法務・知財・開発の会話がずれにくくなります。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

OSSを自社製品に組み込む際のライセンス確認の全体像

自由に使えるかではなく、許諾条件を満たせるかを確認します。

OSSを自社製品に組み込む際のライセンス確認は、単に無償で使えるかを見る作業ではありません。自社製品、クラウドサービス、組込み機器、モバイルアプリ、SaaS、SDK、API、コンテナイメージ、ファームウェア、AI関連システムにOSSを取り込むときは、著作権者その他の権利者がどの範囲の利用をどの条件で許しているかを確認する必要があります。

OSIの考え方では、オープンソースはソースコードへアクセスできるだけでは足りず、再配布、ソースコード、派生物、差別禁止、技術中立性などの配布条件を満たす必要があります。そのため、GitHubに公開されているコード、無償でダウンロードできるコード、社内で長く使われてきたコードが、当然に商用製品へ組み込めるわけではありません。

要点OSSは権利がないソフトウェアではなく、条件付きで利用が許されるソフトウェアです。条件を満たさない利用は、契約違反、著作権侵害、差止め、損害賠償、製品出荷停止、ソースコード提供要求、顧客契約違反、表明保証違反、M&A価格調整、信用毀損につながる可能性があります。

次の一覧は、OSSライセンス確認を三つの観点に分けたものです。どの観点も製品のリリース可否に直結するため重要であり、読み手は「権利条件」「構成台帳」「契約・統制」のどこに未整備が残っているかを確認してください。

Rights

権利許諾条件

利用、複製、改変、同梱、配布、公開、再頒布がどの条件で許されるかを確認します。表示、ライセンス本文、ソース提供、特許、商標、免責の条件が中心です。

Inventory

SBOMとOSS台帳

コンポーネント名、版、取得元、依存関係、SPDX表記、改変有無、配布先、承認者、証跡を製品・リリース単位で管理します。

Governance

契約と組織統制

委託先、サプライヤー、顧客契約、EULA、M&A、IPO、監査、違反時対応まで含め、法務・知財・開発・セキュリティが同じ前提で判断します。

Section 01

OSSライセンス確認が企業法務の中核課題になった理由

外部コンポーネントへの依存が、製品・契約・監査の説明責任に直結します。

現代のソフトウェア製品は、npm、PyPI、Maven、NuGet、RubyGems、Go Modules、Linuxカーネル、BusyBox、OpenSSL、zlib、libxml、FFmpeg、Yocto/OpenEmbedded、各種ドライバ、コンテナベースイメージなど、多くの外部コンポーネントに依存しています。これは開発効率、品質、セキュリティ、相互運用性を高める一方で、企業法務・知財・コンプライアンス上の確認点を増やします。

次の一覧は、OSSライセンス確認を怠った場合に問題が顕在化しやすい場面を整理したものです。どれも単独で重大化し得るため、読み手は自社の製品提供形態、委託先管理、顧客説明、資本取引のどこで説明不能になりやすいかを確認してください。

棚卸し不足

製品に含まれるOSSを正確に把握せず、脆弱性対応、顧客監査、M&A、IPO、リコール時に説明できない状態です。

条件の読み落とし

GPL、LGPL、AGPL、MPL、EPLの条件だけでなく、MIT、BSD、Apache 2.0の表示・NOTICE・変更表示も漏れることがあります。

外部提供の誤認

社内利用と思っていても、グループ会社、委託先、顧客環境、評価版、PoC、SDK、Dockerイメージで外部提供が発生することがあります。

サプライヤー由来

外注先・ODM・OEM・SIerから納入されたソフトウェアに含まれるOSSを把握せず、自社が顧客対応を迫られる場合があります。

出典不明コード

ライセンス未記載コード、Stack Overflow等からのコピー、生成AI出力、サンプル、フォント、画像、データセットを同じ基準で扱うと危険です。

契約との矛盾

顧客EULA、利用規約、保守契約、秘密保持、表明保証がOSSライセンス上の権利や義務と矛盾することがあります。

企業法務上の本質は、OSS利用が違法か合法かの単純な二分法ではなく、ライセンスという権利許諾条件を満たしている限りで許される利用である点にあります。条件を満たさないまま製品に組み込むと、差止めや損害賠償だけでなく、出荷停止、ソースコード提供要求、顧客契約違反、表明保証違反、M&A価格調整に発展する可能性があります。

Section 02

OSSライセンス確認で使う用語と判断軸

用語をそろえることで、法務・知財・開発の会話がずれにくくなります。

OSSとは、一般にOpen Source Softwareの略であり、一定のオープンソースライセンスに基づいて利用、複製、改変、再配布等が認められるソフトウェアをいいます。重要なのは、OSSにも著作権者が存在し、OSSライセンスはその権利者が一定条件で利用を許すための法的文書であるという点です。

次の表は、確認作業で頻出する用語を、製品組込み時の実務判断につながる形で整理したものです。各列は「用語」「実務上の意味」「確認ポイント」を表し、読み手は同じ言葉を使っていても部門間で意味がずれていないかを確認してください。

用語実務上の意味確認ポイント
OSS利用、複製、改変、再配布等が一定条件で認められるソフトウェアOSI承認済みか、SPDX IDがあるか、ライセンス本文が何を許し何を求めるか
ライセンス権利者が複製、改変、配布、公開、再頒布等を一定条件で許す文書表示義務、本文同梱、改変表示、ソース提供、特許、商標、免責
組み込むコピー、リンク、同梱、改変、ファームウェア搭載、コンテナ同梱、SaaS利用、コード断片利用を広く含む配布の有無、改変の有無、リンク方式、結合態様、例外条項、商用ライセンス
配布・頒布・convey顧客、代理店、アプリストア、評価版、SDK、コンテナイメージ等として社外に渡すこと社内利用と外部提供の境界、委託先・関連会社・顧客環境の扱い
SBOMソフトウェアを構成する部品、依存関係、版、供給者、ライセンス、識別子の一覧ライセンス確認、通知文書、ソース提供、顧客説明、監査、M&A、出荷判定の基礎
SPDXソフトウェア部品、ライセンス、著作権表示、メタデータを機械可読に表す標準MIT、Apache-2.0、GPL-2.0-only、GPL-2.0-or-later、例外付き表記を正確に使う

「GPL」「BSD系」「Apacheっぽい」といった曖昧な呼び方は避けるべきです。`GPL-2.0-only` と `GPL-2.0-or-later`、`LGPL-2.1-only` と `LGPL-2.1-or-later`、`GPL-2.0-only WITH Classpath-exception-2.0` のような違いで、利用可否や対応策が変わる場合があります。

Section 04

OSSライセンス確認で押さえる主要類型とリスク

安全・危険のラベルではなく、義務と事業モデルの関係を見ます。

OSSライセンスは、単純に安全か危険かで分類するのではなく、製品の提供形態、配布の有無、改変の有無、リンク方式、商用ライセンスの有無に照らして義務を特定します。初期確認では、許諾的ライセンス、Apache 2.0、弱いコピーレフト、強いコピーレフト、AGPL、デュアルライセンス、Source Availableを分けると整理しやすくなります。

次の一覧は、主要なOSSライセンス類型ごとの義務と見落としやすい点を並べたものです。各項目はリスクの高低ではなく確認対象の違いを表しており、読み手は自社製品でどの義務が実際に発生し得るかを読み取ってください。

Permissive

MIT、BSD、ISC、zlib

商用利用やプロプライエタリ製品への組込みに比較的寛容ですが、著作権表示、ライセンス本文、免責表示の保持・同梱を落としてはいけません。

Apache

Apache License 2.0

ライセンスコピー、変更表示、NOTICE対応、特許許諾、特許訴訟時の終了条項、商標非許諾を確認します。MIT/BSDより確認項目が多い点に注意します。

Weak Copyleft

LGPL、MPL、EPL、CDDL

OSS部分の自由を保ちつつ、一定条件で独自コードとの組合せを認める設計です。改変部分、リンク方式、対象ファイルの境界、再リンク手段を確認します。

Strong Copyleft

GPL系

配布されるプログラムの自由を確保するため、対応ソースコード提供や同一ライセンスでの提供が問題になります。結合態様と配布先が重要です。

Network

AGPL

ネットワーク越しに利用される改変版について、利用者がソースコードを取得できるようにする設計です。SaaS、API、B2Bクラウドで特に確認します。

Alternative

商用・Source Available

GPL/AGPLと商用ライセンスの選択肢や、商用利用・競合サービス利用を制限するsource available型を確認します。ソースが見えることとOSSであることは別です。

次の表は、類型ごとの標準的な確認事項を横断的に見たものです。列は「類型」「主な義務」「特に確認する場面」で、読み手はライセンス名だけで判断せず、どの製品形態で義務が発動するかを確認してください。

類型主な義務特に確認する場面
許諾的ライセンス著作権表示、ライセンス本文、免責表示サードパーティ通知、複数OSSの通知漏れ、商標利用
Apache 2.0NOTICE、変更表示、特許条項、商標非許諾改変配布、特許係争、EULAとの整合性
LGPL・MPL等改変部分のソース提供、対象ファイル管理、再リンク手段静的リンク、ファイル境界、ヘッダ、テンプレート、コード生成物
GPL系対応ソースコード、同一ライセンス、追加制限禁止自社バイナリとの結合、SDK配布、組込み機器販売
AGPLネットワーク利用者へのソース提供が問題化SaaS、AIサービス、API、社外ユーザー向け管理画面
Source Available商用利用、競合サービス、特定分野利用の制限OSI承認の有無、SPDX ID、ライセンス本文の制限内容

GPLについて危険なのは、絶対に使えない、または使うと必ず全自社コードを公開しなければならない、という両極端な理解です。正しい問いは、どのGPLコードを、どのように、誰に、どの形で配布するのかです。

Section 05

OSSを自社製品に組み込む際のライセンス確認手順

利用形態、棚卸し、一次情報、義務、対応方針、出荷判定の順で進めます。

実務では、OSSそのものを調べる前に、製品やサービスの提供形態を確定します。ライセンス義務は、オンプレミス提供、SaaS、組込み機器、モバイルアプリ、ソースコード提供、バイナリ、コンテナ、SDK、APIクライアント、ブラウザJavaScript、評価版、PoC版、委託先提供、OEM提供、改変有無、リンク方式で変わるためです。

次の判断の流れは、OSSライセンス確認をリリース判定に接続する手順を表しています。上から順に確認することで、どこで情報が不足し、どこで法務・知財・開発の共同判断が必要になるかを読み取れます。

OSSライセンス確認の標準手順

1. 製品・サービスの利用形態を確定

配布、SaaS、組込み、SDK、コンテナ、委託先提供、改変有無、リンク方式を確認します。

2. ソフトウェア構成を棚卸し

OSS台帳またはSBOMを作り、直接依存と推移的依存を記録します。

3. ライセンス本文を一次情報で確認

LICENSE、COPYING、NOTICE、README、パッケージメタデータ、ファイルヘッダ、SPDX表記を確認します。

4. 義務をコンポーネントごとに整理

表示、本文同梱、NOTICE、改変表示、ソース提供、特許、商標、ネットワーク義務を一覧化します。

高リスクあり
5A. 対応方針を再設計

代替、分離、商用ライセンス、個別許諾、公開、削除、延期を検討します。

条件充足可能
5B. 通知・提供物を整備

第三者通知、ライセンス本文、ソース提供、EULA整合性を確認します。

6. リリースゲートで証跡化

最新ビルド、SBOM、通知、承認、例外、顧客契約を保存します。

SBOMやOSS台帳は、セキュリティ資料にとどまりません。次の表は最低限記録すべき項目を示しており、列は項目と内容を表します。読み手は、リリース後に「どの顧客へどの版を出荷したか」と結び付けて説明できるかを確認してください。

項目内容
コンポーネント名・版OpenSSL、React、zlib、Linux kernelなどの名称、厳密な版、コミットID、タグ
取得元・識別子公式サイト、GitHub、パッケージレジストリ、purl、CPE、Maven coordinates、ハッシュ
ライセンス情報宣言ライセンス、検出ライセンス、確定ライセンス、SPDX表記、著作権表示
利用態様改変有無、組込態様、静的リンク、動的リンク、同梱、SaaS利用、配布先
義務と証跡通知、ソース提供、改変表示、NOTICE、担当者、承認者、承認日、レビューコメント、契約、スクリーンショット等

義務の整理では、通知だけを見ても足りません。次の表は、ライセンス確認で一覧化すべき義務類型を示しています。各行から、自社の提供形態で発生する義務と、製品ドキュメント・Webページ・管理画面・ソース提供場所のどこで履行するかを読み取ってください。

義務類型具体例
表示義務著作権表示、ライセンス名、免責文の保持
ライセンス本文同梱MIT、BSD、Apache、GPL等の全文添付
NOTICE対応Apache License 2.0のNOTICEなど
改変表示変更ファイルへの変更表示、変更履歴
ソースコード提供GPL、LGPL、MPL等で該当する場合
同一ライセンス提供GPL対象の派生・結合物、MPL対象ファイル等
リリンク許可LGPL静的リンク等で問題となる場合
追加制限禁止GPL等でEULAが再配布・改変を不当に制限しないこと
特許条項Apache 2.0等の特許許諾・終了条項
商標非許諾OSS名・ロゴの使用可否を別途確認
ネットワーク義務AGPL等で該当する場合

対応方針は「可」「不可」だけではありません。条件を満たして利用する、通知文書やソース提供ページを整備する、コード結合方式を変える、別プロセス化する、代替ライブラリへ変更する、商用ライセンスを購入する、個別許諾を得る、自社コードの一部をOSSとして公開する、機能を削除する、リリースを延期するなど、事業判断を含めて選択します。

Section 06

OSSライセンス確認の役割分担と組織統制

法務だけでも開発だけでも完結しない総力戦です。

OSSライセンス確認は、企業内弁護士・法務担当、外部弁護士、知財法務・弁理士、開発責任者、セキュリティ・SBOM担当、調達・購買、内部監査、経営層が連携して進める必要があります。OpenChain ISO/IEC 5230のような枠組みも、役割・責任の割当て、プロセスの持続可能性を重視しています。

次の一覧は、各部門が担う役割を実務単位で整理したものです。役割の重なりを明確にすることが重要であり、読み手は自社で承認者、実装者、証跡管理者、例外判断者が空白になっていないかを確認してください。

企業内弁護士・法務担当

ライセンス条件の法的解釈、顧客契約・EULA・利用規約との整合性、高リスクライセンス承認、違反時方針、M&A・IPO時のOSS DDを担います。

解釈承認

外部弁護士

GPL、AGPL、LGPLの複雑な結合判断、海外法、裁判例、準拠法、重大紛争、商用ライセンス、ソース公開、差止リスクを検討します。

複雑論点紛争対応

知財法務・弁理士

著作権表示、特許条項、商標利用、自社特許ポートフォリオ、OSSへの貢献、CLA、DCO、権利帰属を確認します。

知財特許・商標

開発責任者・エンジニア

依存関係、リンク方式、改変有無、ビルド手順、SCAツール、SBOM生成、CI/CDでのライセンスチェック、代替技術を説明します。

実装SBOM

セキュリティ・SBOM担当

SBOM標準、脆弱性管理、依存関係管理、NIST SSDF等のセキュア開発実務との接続を管理します。

脆弱性供給網
調

調達・購買・委託管理

サプライヤーからSBOM、OSS一覧、ライセンス通知、ソース提供物を受領し、契約で開示・変更通知・是正・監査権を定めます。

委託先契約管理

内部監査・内部統制

OSS管理規程、リリース判定、承認証跡、教育履歴、例外承認、J-SOX、品質管理、委託先管理との接続を確認します。

監査証跡

経営層・取締役会

OSS利用方針、許容リスク、公開方針、商用ライセンス予算、製品停止や顧客補償につながる重大リスクを把握します。

方針重大判断
Section 07

OSSライセンス確認で使うチェックリスト

初回導入、リリース前、SaaS、組込み・IoTで確認項目を分けます。

チェックリストは、判断の代替ではなく、確認漏れを防ぐための最低限の入口です。次の表は初回導入時の質問を整理したもので、各行から「対象OSSの特定」「利用態様」「義務」「承認要否」のどこに未確認が残るかを読み取ってください。

初回導入時の質問確認結果
OSS名・版は何か名称、タグ、コミットID、パッケージ情報を記録
取得元は公式か公式サイト、公式リポジトリ、パッケージレジストリを確認
ライセンス本文とSPDX IDを確認したか複数ライセンス、選択式、例外付きも確認
自社製品へどのように組み込むか同梱、静的リンク、動的リンク、SaaS利用、コンテナ、SDKを区別
改変するか、外部へ配布するか改変有無、顧客・代理店・委託先・アプリストアへの提供を確認
通知・ソース提供・NOTICE・商標・特許の義務はあるか製品内表示、Webページ、管理画面、提供パッケージの場所を決定
代替OSSや商用ライセンスはあるか高リスク時の設計変更、購入、個別許諾を検討
法務承認が必要か社内分類、例外承認、承認期限を記録

リリース前は、最新ビルドと実際の提供物が一致しているかが重要です。次の一覧は出荷判定で確認する事項をまとめたもので、読み手はビルド、通知、ソース提供、顧客契約、例外承認が同じ版でそろっているかを確認してください。

Build

SBOMとビルド

SBOMが最新ビルドと一致し、依存関係の版がロックされ、SCAツールの未解決アラートやライセンス不明コンポーネントが残っていない状態にします。

Notice

通知と提供物

サードパーティ通知、NOTICE、ライセンス本文、GPL/LGPL/AGPL/MPL等のソース提供、提供URLまたは物理提供手段を整えます。

Contract

EULAと契約

顧客EULAがOSSライセンス上の再配布権・改変権を不当に制限せず、商用ライセンス証書や使用範囲が保存されているかを確認します。

SaaS・クラウドサービスでは、サーバサイドだけを見て確認を終えないことが重要です。次の表はネットワーク利用、ブラウザ配布、顧客専用環境、SDK配布の観点を示しており、読み手は「配布していない」という前提が本当に成立しているかを確認してください。

サービス形態確認ポイント
AGPLその他ネットワーク利用時義務社外ユーザーがネットワーク越しに利用する改変版のソース提供義務を確認
ブラウザ配布JavaScriptユーザー端末へ送信されるbundle、minify、ソースマップ、ライセンス通知を確認
コンテナ・専用環境顧客にイメージを渡していないか、顧客専用環境が納品に近い形でないかを確認
APIクライアント・SDK・CLI・エージェント配布物に含まれるOSSと通知、ライセンス本文、ソース提供を確認

組込み・IoT製品では、ファームウェア内の全OSS、Linux kernel、BusyBox、u-boot、ルートファイルシステム、ドライバ、ミドルウェアまで含めた調査が必要です。次の表は製品出荷後の顧客アクセスやソース提供期間を含む確認事項を示しており、読み手は物理同梱資料、Webページ、管理画面のどこで義務を満たすかを確認してください。

組込み・IoTの確認事項実務上の読み取り方
GPL系コンポーネントの特定Linux kernel、BusyBox、u-boot等を含め、版と改変有無を確認
ファームウェア内の棚卸しルートファイルシステム、コンテナ、ドライバ、ミドルウェアを含めて調査
ソース提供方法と期間提供URL、保存期間、対象製品版、ビルド手順を明確化
顧客へのライセンス情報提供物理同梱資料、Webページ、管理画面、製品UIでの表示方法を決定
GPLv3・LGPLv3の追加論点セキュアブート、署名鍵、インストール情報を検討
Section 08

OSSライセンス確認を契約条項へ落とし込む実務

開発委託、調達、顧客向けEULAで、開示・遵守・是正・優先関係を明確にします。

開発委託契約では、委託先のOSS利用を全面禁止するより、承認、開示、遵守、証跡提出を義務化する方が現実的です。調達契約では、ベンダーからSBOM、OSS一覧、ライセンス通知、ソース提供物、商用ライセンス証跡、既知の違反有無を受け取る設計が重要です。

次の表は、契約類型ごとに入れるべきOSS条項の狙いを整理したものです。列は「契約」「条項の中心」「読み取るべきリスク」で、読み手は自社が成果物を受け取る側か、顧客へ提供する側かに応じて不足条項を確認してください。

契約条項の中心読み取るべきリスク
開発委託・準委任OSS名称、版、取得元、ライセンス、組込態様、改変有無、配布有無、遵守義務の事前開示と承認委託先が無断で高リスクOSSを組み込み、自社製品に重大な制約が生じるリスク
ソフトウェア調達合理的に最新かつ正確なSBOM、ライセンス通知、ソース提供物、違反申立て時の通知・是正義務納入後にOSS情報が不足し、顧客監査や脆弱性対応で説明できないリスク
顧客向けEULA・利用規約OSS部分には各OSSライセンスが適用され、EULAが当該権利を制限しないことの明示複製、改変、再配布を一律禁止する条項がOSSライセンス上の権利と矛盾するリスク

条項例を使う場合も、そのまま貼り付けるだけでは足りません。対象製品、委託範囲、成果物の定義、承認手順、違反是正、補償、監査権、使用範囲を、自社の取引構造に合わせて調整する必要があります。

契約実務「本件成果物にOSSその他第三者ソフトウェアを含める場合は、名称、版、取得元、ライセンス、組込態様、改変有無、配布有無、遵守義務を開示し、承認を得る」という設計が基本になります。
EULA「本ソフトウェアには第三者が権利を有するOSSが含まれる場合があり、当該OSSには各OSSライセンスが適用され、本契約はそのライセンスで認められる権利を制限しない」と明示します。
Section 09

M&A・投資・IPOで見るOSSライセンス確認

知財DD、法務DD、技術DD、セキュリティDDが交差する領域です。

M&A、出資、事業譲渡、技術買収、IPO準備では、OSSリスクは知財DD・法務DD・技術DD・セキュリティDDの交差領域になります。買主・投資家は、対象会社にOSSポリシーがあるか、OSS台帳またはSBOMがあるか、SCAツールを継続運用しているか、高リスクコンポーネントが中核製品に含まれるかを確認します。

次の表は、M&A・投資・IPOで確認すべきOSS論点を整理したものです。各行は買主・投資家が価格、補償、PMI、上場審査の観点で読み取るべき事項を示しています。

確認事項実務上の読み取り方
OSSポリシー・台帳・SBOM制度があるだけでなく、製品単位・リリース単位で実運用されているかを確認
高リスクコンポーネントGPL、AGPL、LGPL、MPL等が中核製品に含まれ、自社独自コードの公開義務が問題化しないかを確認
通知・NOTICE・ソース提供顧客に提供済みの製品について、通知やソース提供ページが整備されているかを確認
過去の指摘違反通知、顧客監査指摘、コミュニティ問い合わせ、是正履歴を確認
商用ライセンス契約範囲が買収後も維持されるか、子会社・関連会社・委託先・顧客環境を含むかを確認
委託先由来コード開発委託先からOSS情報を受領し、権利帰属や表明保証と整合しているかを確認

表明保証では、対象会社製品に含まれるOSSを適用ライセンスに従って使用しており、意図しない公開、無償ライセンス、再配布許諾、権利放棄を義務付ける状態にない、という趣旨の条項が使われます。ただし、売主が現実に保証できる範囲を超えることがあるため、開示資料、重要性基準、知識限定、是正計画、補償上限、特別補償を組み合わせます。

買収後は、対象会社の開発手順を親会社のOSS管理制度に統合します。次の時系列はPMIで進める順番を表し、読み手は買収前に見つかった未解決OSS問題を、製品ロードマップ、顧客契約、技術負債計画と連動させて解消する流れを確認してください。

Day 1

台帳とSCAツールを統合

SBOM形式、スキャン基準、承認区分、例外情報を親会社の運用へ寄せます。

30日以内

未解決項目を優先順位付け

高リスクOSS、通知漏れ、商用ライセンス範囲、顧客契約への影響を整理します。

90日以内

リリース手順と教育を統一

承認手順、通知テンプレート、ソース提供手順、教育、監査証跡を統一します。

Section 10

OSSライセンス確認の成果物・違反対応・継続運用

誤解を避け、台帳・通知・ソース提供・承認記録を継続運用します。

よくある誤解には、OSSは無料だから自由に使える、MITやApacheなら何もしなくてよい、SaaSなら確認不要、package managerで入れたから公式ライセンスで間違いない、no licenseでも小さなコード片なら大丈夫、SBOMを作れば法務確認は終わり、古い確認を使い回せる、というものがあります。いずれも実務上は危険です。

次の一覧は、OSSライセンス確認の成果物を整理したものです。成果物は監査・紛争・M&Aで説明するために重要であり、読み手は「作った」だけでなく、製品版と出荷先に紐づいているかを確認してください。

SBOM

OSS台帳・SBOM

製品単位、版単位、リリース単位で管理し、どの顧客へどの版を出荷したかと紐づけます。

Notice

サードパーティ通知

OSS名、版、著作権表示、ライセンス、免責表示、NOTICEを製品内またはドキュメント内へ整理します。

Source

ソースコード提供パッケージ

GPL、LGPL、AGPL、MPL等で必要な場合、対象OSS、自社改変パッチ、ビルド手順、ライセンス本文、変更履歴、対象製品版を含めます。

Approval

承認記録

申請者、承認者、承認日、対象コンポーネント、組込態様、ライセンス判断、義務一覧、実施済み対応、例外承認を保存します。

OSSライセンス違反が疑われる場合は、初動が重要です。次の時系列は、疑義発覚から是正・再発防止までの順番を表しており、読み手は事実確認前に断定せず、証跡を保存し、法務・知財・開発・経営・広報・顧客対応を連携させる必要性を読み取ってください。

初動

事実確認チームを組成

対象製品、版、出荷先、配布期間、対象OSS、ライセンス、違反疑義を特定します。

判断

追加出荷・回答方針を整理

追加出荷や配布の停止要否、権利者・通報者への回答、顧客契約・製品保証への影響を検討します。

是正

通知・ソース提供・代替を実施

欠落通知の追完、ソース提供ページ、製品アップデート、商用ライセンス取得、顧客通知、和解・是正計画を進めます。

再発防止

社内プロセスを改定

リポジトリや証跡の削除、開発者個人への責任転嫁、不用意な外部回答を避け、管理手順と教育を改定します。

企業ポリシーでは、目的、適用範囲、用語定義、基本方針、禁止・制限・承認不要ライセンス、申請・承認手順、SBOM・台帳管理、通知・ソース提供、委託先管理、OSSへの貢献、教育・監査、違反時対応、例外承認、文書保存を定めます。次の表はライセンス分類の例であり、読み手は自社の事業モデルに合わせて承認区分を調整してください。

分類標準対応
承認不要または簡易承認MIT、BSD、ISC、zlib通知・ライセンス本文管理
標準承認Apache-2.0、MPL-2.0等NOTICE、変更表示、組込態様確認
個別法務承認LGPL、EPL、CDDL等リンク方式、改変、ソース提供確認
高リスク承認GPL、AGPL等製品設計、配布、ソース公開影響を詳細確認
原則禁止または経営承認ライセンス不明、商用制限型、競合制限型、NC/ND、独自source available代替、個別許諾、商用契約

CI/CDでの自動チェックは、依存関係追加時、ビルド時、リリース前に有効です。次の一覧は自動化で担える範囲と限界を並べたもので、読み手はツールが発見と証跡化を助ける一方、最終的なリスク判断は法務・知財・開発の共同作業であることを確認してください。

自動化できること

lockfile解析、SCAツール検出、許容リスト照合、高リスク検出時の承認チケット作成、SBOM生成、サードパーティ通知案の作成、ビルド成果物との紐づけ。

発見証跡

自動化の限界

コードコピー、ライセンス式、dual licenseの選択、例外条項、商用ライセンス、SaaS・配布・リンク方式、法域ごとの契約・著作権・特許問題は人が確認します。

判断文脈
AI

生成AI・コード補完

出力コードのレビュー基準、類似性確認、利用ログ、外部コードの出典記録、サンプルやStack Overflow等の利用ルール、生成AI利用規約との整合性を定めます。

出典類似性
Section 11

OSSライセンス確認に関する企業法務FAQ

一般的な考え方を整理します。具体的な判断は事実関係と契約条件で変わります。

Q1. OSSを社内で使うだけなら、ライセンス確認は不要ですか。

一般的には、多くのOSSライセンスでは社内利用のみで配布時義務が発生しにくいとされています。ただし、社内の範囲、委託先利用、SaaS、AGPL、商用制限型ライセンス、セキュリティ、監査、将来の外部提供可能性によって結論が変わる可能性があります。具体的な対応は、利用態様と資料を整理したうえで弁護士等の専門家へ相談する必要があります。

Q2. GPLのOSSを使うと、自社製品の全ソースコードを公開しなければなりませんか。

一般的には、GPLコードの利用態様、結合の程度、配布の有無、ライセンス版、例外条項によって判断が変わるとされています。自社コードとGPLコードが単一の派生・結合プログラムとして配布される場合には重大な義務が生じる可能性があります。具体的な見通しは、技術構成と契約関係を整理したうえで弁護士等の専門家へ相談する必要があります。

Q3. LGPLなら商用製品に安全に使えますか。

一般的には、LGPLは商用製品で利用されることが多いライセンスですが、常に安全という意味ではありません。ライブラリ改変、静的リンク、再リンク手段、逆解析制限、ソース提供、通知義務によって対応が変わる可能性があります。具体的な対応は、組込態様と配布方法を確認したうえで弁護士等の専門家へ相談する必要があります。

Q4. Apache License 2.0は特許面で安心ですか。

一般的には、Apache License 2.0には明示的な特許ライセンスが含まれるとされています。ただし、誰のどの特許が許諾対象か、特許訴訟を提起した場合の終了条項、自社特許戦略、標準必須特許、第三者特許によって検討事項が変わる可能性があります。具体的には、対象コードと事業上の特許関係を整理して専門家へ相談する必要があります。

Q5. OSSのライセンス文を翻訳して掲載してもよいですか。

一般的には、正式なライセンス本文として原文を同梱し、日本語訳は参考訳として扱う運用が多いとされています。翻訳だけを掲載すると、ライセンス本文同梱義務を満たさない可能性があります。具体的な表示方法は、対象ライセンスと製品表示方法を確認したうえで専門家へ相談する必要があります。

Q6. SBOMにライセンス情報を書けば、通知義務を満たしますか。

一般的には、SBOMは内部管理・顧客説明資料であり、ライセンス本文、著作権表示、NOTICEの同梱義務を自動的に満たすものではないとされています。SBOMとサードパーティ通知は連携しますが、役割が異なります。具体的には、製品内表示、ドキュメント、Webページ、管理画面での履行方法を確認する必要があります。

Q7. OSSを改変しなければ、ソースコード提供義務はありませんか。

一般的には、改変有無だけで結論は決まりません。GPLでは未改変バイナリを配布する場合でも対応ソースコード提供義務が問題となる可能性があり、MPLやLGPLでも通知義務等が残る場合があります。具体的な対応は、ライセンス本文、配布態様、製品構成を整理して専門家へ相談する必要があります。

Q8. Dockerイメージを顧客に渡す場合、配布になりますか。

一般的には、顧客にソフトウェアのコピーを渡す場合、配布として扱うべき場面が多いとされています。イメージ内のOSパッケージ、ライブラリ、アプリ、設定、ライセンス通知を含めて確認する必要があります。具体的な判断は、提供方法、契約、顧客環境、ライセンス文言によって変わる可能性があります。

Q9. OSSをAPI経由で呼び出すだけなら問題ありませんか。

一般的には、API利用だけであれば結合問題が軽くなる場合があります。ただし、APIクライアントやSDKを配布する場合、サーバサイドにAGPL等がある場合、API利用規約がある場合、データ・モデル・出力に別条件がある場合には確認が必要です。具体的には、技術構成と契約条件を整理して専門家へ相談する必要があります。

Q10. 顧客からOSS一覧を求められたら何を出せばよいですか。

一般的には、SBOM、サードパーティ通知、ライセンス本文、ソース提供案内、商用ライセンスの範囲、脆弱性対応情報を、契約上許される範囲で提供することが考えられます。ただし、営業資料だけで回答すると不正確になる可能性があります。具体的な提出範囲は、法務・セキュリティ・開発で確認する必要があります。

Section 12

OSSライセンス確認の境界事例と実務的な結論

静的リンク、動的リンク、コンテナ、ブラウザ配布、素材、規制業種まで広く確認します。

専門家向け論点では、リンク方式だけでなく、APIの密接性、データ構造共有、同一プロセス、相互依存性、交換可能性、通常のOSライブラリか、独立した別プログラムか、ライセンス例外の有無を総合的に見ます。静的リンクは結合性が強いと評価されやすく、動的リンクも常に安全とは限りません。

次の表は、境界事例ごとの主な確認点を整理したものです。各行は技術上の構成と法務上の見方がずれやすい場面を示しており、読み手は技術名だけでなく、提供先・配布物・契約条件を合わせて読む必要があります。

境界事例主な確認点
静的リンクと動的リンク単一の結合プログラムと評価されるか、LGPLで再リンク手段が必要か、例外条項があるか
コンテナと集約物OSレイヤー、パッケージ、ミドルウェア、自社アプリ、設定を一体として顧客に渡すか
フロントエンドJavaScriptブラウザへbundleが送信されるため、ライセンス通知、ソースマップ、minify、GPL系JavaScriptを確認
フォント・画像・データセットCreative Commons、Open Font License、データベースライセンス、商用素材ライセンスを確認
輸出管理・暗号・規制業種OSSライセンスは輸出管理、暗号規制、医療機器規制、車載安全規格、金融規制を免除しない

実務的な結論は五つに集約できます。第一に、OSSは自由に使える無主物ではなく、条件付きで利用を許諾するソフトウェアです。第二に、確認対象は直接依存だけでなく、推移的依存、コンテナ、ベースイメージ、サブモジュール、サンプルコード、フォント、画像、データ、生成コード、委託先納品物まで含みます。第三に、判断は文脈依存であり、社内利用、SaaS、バイナリ配布、SDK配布、組込み機器販売、リンク方式、改変配布で結論が異なります。第四に、SBOM、SPDX、SCAツール、CI/CDは不可欠ですが、法務判断の代替ではありません。第五に、OSS管理は一度きりのレビューではなく、組織的コンプライアンスプログラムです。

次の表は、よくあるケースの初期評価をまとめたものです。初期評価は最終判断ではなく、どの確認事項を優先すべきかを示す目安であり、読み手は自社の製品形態に合わせて詳細確認へ進む必要があります。

ケース初期評価主な確認事項
MITライブラリを未改変で同梱低〜中著作権表示、ライセンス本文、免責文
Apache 2.0ライブラリを改変して配布ライセンス本文、NOTICE、変更表示、特許条項
LGPLライブラリを動的リンクLGPL版、改変有無、再リンク、通知
LGPLライブラリを静的リンク中〜高オブジェクト提供、再リンク手段、法務確認
GPLツールを社内ビルドだけに使用低〜中配布有無、生成物への影響、ツールライセンス
GPLライブラリを自社バイナリにリンクして配布自社コード公開義務可能性、代替、商用ライセンス
AGPLコンポーネントをSaaSサーバで改変利用ネットワーク利用者へのソース提供義務
MPLファイルを改変して製品配布対象ファイルのソース提供、通知
ライセンス不明GitHubコードをコピー利用停止、権利者許諾、代替コード
CC-BY-NC素材を商用製品に利用商用利用禁止、代替素材、個別許諾

最後に強調すべきことは、OSSを恐れて使わないことは現実的ではないという点です。OSSを正しく使う企業ほど、開発速度、品質、透明性、顧客信頼を高められます。重要なのは、開発の最後に法務が止める仕組みではなく、企画・設計・実装・調達・リリース・保守・M&Aまで一貫して、OSSを自社製品に組み込む際のライセンス確認をプロセスに埋め込むことです。

次の強調表示は、このページ全体の結論をまとめたものです。製品や契約の細部が異なっても、読み手は「棚卸し」「一次情報」「義務の履行」「証跡化」「継続運用」の五つを外さないことが重要だと読み取ってください。

OSSライセンス確認は、製品設計と契約設計をつなぐ継続的な管理です。

SBOMとSCAツールで発見し、ライセンス本文と組込態様で判断し、通知・ソース提供・EULA整合性で履行し、承認記録と教育・監査で持続させることが基本です。

Reference

参考文献・信頼できる情報源

資料名を分野ごとに整理しています。

標準・公的資料

  • Open Source Initiative, The Open Source Definition
  • Open Source Initiative, OSI Approved Licenses
  • SPDX, SPDX License List
  • SPDX Project, SPDX
  • OpenChain Project, OpenChain ISO/IEC 5230 License Compliance
  • 経済産業省「SBOMを活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引」
  • National Telecommunications and Information Administration, The Minimum Elements For a Software Bill of Materials
  • NIST, SP 800-218 Secure Software Development Framework Version 1.1
  • CycloneDX, CycloneDX Bill of Materials Standard

ライセンス本文・公式解説

  • GitHub Docs, Licensing a repository
  • Apache Software Foundation, Apache License, Version 2.0
  • Open Source Initiative, The MIT License
  • Mozilla, MPL 2.0 FAQ
  • GNU Project / Free Software Foundation, GNU Affero General Public License
  • GNU Project / Free Software Foundation, Frequently Asked Questions about the GNU Licenses
  • GNU Project / Free Software Foundation, What is Free Software?

執行・裁判例関連資料

  • Software Freedom Conservancy, Principles of Community-Oriented GPL Enforcement
  • Artifex Software, Inc. v. Hancom, Inc., Filing 54