2σ Guide

OSSを含む成果物の
知財リスクと表明保証

企業法務、知財、開発、セキュリティ、M&Aの実務で、OSSの存在と利用条件を把握し、過度な保証や補償を避けるための検討軸を整理します。

8類型 知財リスクの棚卸し
4層 ライセンス読解の視点
10問 法務確認の基本軸
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

OSSを含む成果物の 知財リスクと表明保証

企業法務、知財、開発、セキュリティ、M&Aの実務で、OSSの存在と利用条件を把握し、過度な保証や補償を避けるための検討軸を整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
OSSを含む成果物の 知財リスクと表明保証
企業法務、知財、開発、セキュリティ、M&Aの実務で、OSSの存在と利用条件を把握し、過度な保証や補償を避けるための検討軸を整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • OSSを含む成果物の 知財リスクと表明保証
  • 企業法務、知財、開発、セキュリティ、M&Aの実務で、OSSの存在と利用条件を把握し、過度な保証や補償を避けるための検討軸を整理します。

POINT 1

  • OSSを含む成果物の知財リスクと表明保証の全体像
  • OSS利用そのものではなく、把握しないまま広い保証を負うことが最大の危険です。
  • 最大のリスクは過度な保証です
  • 契約法務と知財法務
  • 開発とセキュリティ

POINT 2

  • OSSを含む成果物の定義と知財リスクの範囲
  • 著作権
  • 無許諾複製、無許諾改変、ライセンス条件違反、表示義務違反が問題になります。
  • 特許
  • OSSライセンスに付随する特許許諾、特許終了条項、第三者特許侵害を確認します。

POINT 3

  • OSSライセンス類型と成果物への影響
  • MITでも表示義務は残ります
  • 短いライセンスでも、著作権表示と許諾表示の維持、無保証条項の扱いを確認します。
  • ApacheはNOTICEと特許条項を見ます
  • NOTICEファイル、特許許諾、特許終了、商標不許諾を顧客保証と照合します。

POINT 4

  • OSSを含む成果物の主要な知財リスク
  • ライセンス条件の不履行
  • 表明保証との衝突

POINT 5

  • OSSを含む成果物の表明保証条項をどう設計するか
  • 1. OSS一覧と予定利用を確認:名称、版、取得元、SPDX識別子、改変、利用態様、配布、SaaS提供を把握します。
  • 2. 義務条件を洗い出す:表示、ライセンス文、NOTICE、ソース提供、同一ライセンス、特許条項を確認します。
  • 3. 広い保証と矛盾するかを確認:第三者権利不存在、全権利移転、無制限利用、特許非侵害の文言を見直します。
  • 4. 例外と限定を追加:開示済みOSS、予定利用、合理的調査、知識限定、重要性限定を入れます。
  • 5. 証跡と是正措置を残す:SBOM、承認履歴、顧客への引継ぎ、違反判明時の対応を定めます。

POINT 6

  • OSSデューデリジェンスとSBOMで表明保証の前提を整える
  • 1. OSS台帳を整える:製品、サービス、リリース単位で、名称、版、ライセンス、取得元、利用態様を記録します。
  • 2. SBOM形式で共有する:SPDX、CycloneDXその他合意形式で、顧客、監査、M&A DDに耐える形にします。
  • 3. OpenChainの観点を使う
  • 4. 契約と監査に反映する:METIのSBOM導入手引やIPAのOSPOスターターキットも参考にし、調達側と供給側の責任分担を明確にします。

POINT 7

  • 取引類型別に見るOSSを含む成果物の実務ポイント
  • 委託開発、SaaS、組込み、M&A、AIでは、同じOSSでも問題化する入口が変わります。
  • 企業内法務
  • 外部専門家
  • 知財部と弁理士

POINT 8

  • OSS管理ポリシーと実務チェックリスト
  • 確認項目を部門別に分けると、表明保証の前提が継続的に維持されます。
  • 質問に答えられないまま包括的な知財表明保証をすることは、企業法務上危険です。
  • 役割ごとに見る理由は、同じOSSリスクでも、条項修正、開発証跡、経営判断で必要な資料が異なるためです。
  • 読者は、禁止ルールだけでなく、合理的な例外承認とインシデント対応まで含めて設計する必要があることを読み取ってください。

まとめ

  • OSSを含む成果物の 知財リスクと表明保証
  • OSSを含む成果物の知財リスクと表明保証の全体像:OSS利用そのものではなく、把握しないまま広い保証を負うことが最大の危険です。
  • OSSを含む成果物の定義と知財リスクの範囲:OSS、成果物、知財リスク、表明保証を分けて定義すると、条項設計の前提が明確になります。
  • OSSライセンス類型と成果物への影響:無償で取得できることは、無条件利用を意味しません。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

OSSを含む成果物の知財リスクと表明保証の全体像

OSS利用そのものではなく、把握しないまま広い保証を負うことが最大の危険です。

OSSを含む成果物では、OS、ミドルウェア、フレームワーク、ライブラリ、コンテナイメージ、開発ツール、暗号化ライブラリ、UI部品、テストツール、機械学習モデル、データ処理ツールなどが周辺に存在します。完全に自社だけでゼロから作る開発は少なく、OSSは開発速度、相互運用性、標準化、セキュリティ改善、技術者採用、エコシステム形成に寄与します。

一方で、企業間契約では「成果物は第三者の知的財産権を侵害しない」「成果物の権利はすべて委託者に移転する」「OSSは含まれていない」「OSSが含まれる場合も利用に支障はない」といった表明保証を求められることがあります。OSSの著作権表示、ライセンス文添付、改変表示、ソースコード提供、同一ライセンス提供、特許条項、商標不許諾、保証否認を見落とすと、契約違反、解除、損害賠償、補償、販売停止、M&A価格調整、IPO審査上の指摘、顧客監査対応、セキュリティ対応、信用低下につながり得ます。

次の重要ポイントは、このページ全体の中心命題を表しています。読者にとって重要なのは、OSSを避けるかどうかではなく、どのOSSがどの条件で成果物に入っているかを確認し、保証文言をその事実に合わせて調整することです。

最大のリスクは過度な保証です

OSSの存在、ライセンス、利用態様、改変、配布形態、通知義務、ソースコード提供義務、特許条項、脆弱性、社内承認履歴を把握しないまま、知財非侵害保証、権利帰属保証、第三者権利不存在保証、広い補償義務を負うことが最も大きな危険になります。

次の一覧は、OSSを含む成果物で連携が必要になる実務領域を整理したものです。契約だけ、開発だけ、セキュリティだけでは判断が閉じないため、どの部門がどの観点を持つべきかを読み取ることが重要です。

Contract

契約法務と知財法務

知財非侵害、権利帰属、OSS例外、補償、是正措置、責任制限を、成果物の実態に合わせて分けて設計します。

Engineering

開発とセキュリティ

OSS一覧、SPDX識別子、利用態様、改変、配布、脆弱性、パッチ適用、SBOMを、リリース単位で説明できる状態にします。

Management

M&Aと内部統制

DD、IPO、顧客監査、サプライチェーン審査、役員のリスク管理体制に耐える証跡と例外承認を整えます。

Section 01

OSSを含む成果物の定義と知財リスクの範囲

OSS、成果物、知財リスク、表明保証を分けて定義すると、条項設計の前提が明確になります。

OSSはソースコードが見えるだけのものではありません

OSS、すなわちオープンソースソフトウェアは、単にソースコードを閲覧できるソフトウェアではありません。Open Source InitiativeのOpen Source Definitionは、自由な再配布、ソースコードへのアクセス、派生物の作成、差別禁止などの条件を求め、OSI Approved Licensesはその定義に適合するライセンスとして整理されています。

次の比較表は、OSSと混同されやすいソフトウェアやコードの区分を示します。名称だけで権利処理を判断すると契約違反や利用条件違反になり得るため、各行では「何が許され、何を確認すべきか」を読み取ってください。

区分概要実務上の注意点
OSSOSI定義等に適合するオープンソースライセンスで提供されるソフトウェアライセンス条件の遵守が必要です。
フリーウェア無償で使えるソフトウェアソース非公開、商用利用制限、再配布禁止の可能性があります。
ソースアベイラブルソースコードを閲覧できるが、利用、改変、再配布に制限があるものOSSと誤認すると契約違反や利用違反になり得ます。
パブリックドメイン風表示free、publicなどと表示されるもの法域により著作権放棄の有効性や範囲に注意が必要です。
社内共有コード社内の別チームが作成したコード権利帰属、外部委託、OSS混入、職務著作の確認が必要です。

成果物はソフトウェア本体だけに限られません

成果物とは、委託開発契約、準委任契約、請負契約、共同開発契約、ライセンス契約、SaaS契約、システム導入契約、M&A事業譲渡、出資、OEM、組込み製品取引などで、納入、提供、利用許諾、移転、引渡し、開示、運用されるソフトウェア関連物を指します。

  • ソースコード、オブジェクトコード、バイナリ、ファームウェア
  • ライブラリ、SDK、API、プラグイン、ミドルウェア
  • Dockerイメージ、コンテナ、IaC、CI/CD設定
  • ドキュメント、設計書、仕様書、テストコード
  • 機械学習モデル、学習済み重み、推論エンジン
  • データ処理パイプライン、スクリプト、ノートブック
  • SaaS、クラウドサービス、オンプレミス製品、組込み製品
  • 顧客に提供されるインストーラ、アプリ、アップデータ

次の注意項目一覧は、OSSを含む成果物の知財リスクを八つの観点に分けたものです。読者にとって重要なのは、著作権侵害だけでなく、特許、商標、営業秘密、契約、補償、セキュリティまで同時に棚卸しする必要がある点です。

著作権

無許諾複製、無許諾改変、ライセンス条件違反、表示義務違反が問題になります。

特許

OSSライセンスに付随する特許許諾、特許終了条項、第三者特許侵害を確認します。

商標

プロジェクト名、ロゴ、認証マーク、互換性表示の使い方に注意します。

営業秘密

OSSへの貢献や外部投稿により、社内秘密や顧客コードが流出する危険を見ます。

契約違反

委託契約、NDA、顧客契約、調達規程、再委託条項との整合性を確認します。

表明保証

第三者権利不存在、非侵害、権利移転可能性、利用制限不存在の表現を検証します。

補償

第三者クレーム、顧客損害、販売停止、改修費用の負担範囲を確認します。

サプライチェーン

既知脆弱性、依存関係汚染、悪意あるパッケージ、更新不能を管理します。

表明保証は事実状態を分解して設計します

表明保証とは、契約当事者が一定の事実状態の真実性と正確性を相手方に示し、その不正確さについて契約上の責任を負う仕組みです。OSSを含む成果物では、知財非侵害だけを抽象的に書くのではなく、OSSの有無、名称、版、取得元、SPDX識別子、改変、利用態様、配布、ソースコード提供義務、表示義務、特許条項、既知脆弱性、社内承認、SBOM提供の有無を分けて確認します。

Section 02

OSSライセンス類型と成果物への影響

無償で取得できることは、無条件利用を意味しません。

OSSライセンスは、著作権者が一定条件のもとで複製、改変、再配布等を許諾する法的文書です。条件を守らなければ、許諾範囲を逸脱し、著作権侵害または契約違反の問題が生じ得ます。日本法上、プログラムは著作物として保護され得ますが、特許法、不正競争防止法、商標法、民法、会社法、個人情報保護法、下請法、独占禁止法、外為法などが関係する場面もあります。

次の比較表は、OSSライセンスを読むときの四つの層を整理したものです。各層が契約実務上どの保証や補償に結び付くかを読むことで、法務と開発の確認対象をそろえやすくなります。

典型論点契約実務上の意味
著作権許諾複製、改変、頒布、二次的著作物成果物の利用と配布が許諾範囲内かを確認します。
義務条件著作権表示、ライセンス文添付、ソース提供、同一ライセンス納入前に履行可能か、顧客へ引き継げるかを確認します。
特許条項特許許諾、特許訴訟時の終了特許保証と補償、自社の特許戦略との整合性を確認します。
免責と商標無保証、責任制限、商標不許諾顧客への保証とOSS上流の免責とのギャップを確認します。

次の比較表は、代表的なライセンス類型と成果物への影響を整理したものです。読み取るべきポイントは、同じOSSでも、改変、リンク、配布、ネットワーク提供、ファイル単位の扱いによって義務の範囲が変わることです。

類型代表例成果物への主な影響
パーミッシブ型MIT、BSD、Apache License 2.0商用利用、改変、再配布が広く許されることが多い一方、著作権表示、ライセンス文、NOTICE、特許終了条項、商標不許諾を確認します。
弱いコピーレフトLGPL、MPLライブラリ結合、リリンク可能性、対象ファイルの改変、改変ファイルのソース提供方法を確認します。
強いコピーレフトGPL対象プログラムや派生物を配布する場合、対応するソースコード提供や同一ライセンス提供が問題になり得ます。
ネットワーク型コピーレフトAGPLSaaS、ASP、APIサービスなどで、ネットワーク経由の利用者へのソース提供義務が問題になり得ます。
OSSではない公開コードソースアベイラブル、AIモデル、データセット商用利用、競合利用、クラウド提供、再配布、特定用途が制限される場合があります。

次の注意項目一覧は、ライセンス類型ごとの落とし穴をまとめたものです。読者にとって重要なのは、「緩い」「有名」「GitHubにある」といった印象ではなく、納入物と予定利用に照らして義務を具体的に確認することです。

MITでも表示義務は残ります

短いライセンスでも、著作権表示と許諾表示の維持、無保証条項の扱いを確認します。

ApacheはNOTICEと特許条項を見ます

NOTICEファイル、特許許諾、特許終了、商標不許諾を顧客保証と照合します。

LGPLは結合方法が重要です

静的リンク、動的リンク、差し替え可能性、ライブラリ部分のソース提供を確認します。

MPLはファイル単位を見ます

MPL対象ファイルを改変して配布する場合、対象ファイルのソース提供とライセンス維持を確認します。

GPLは単純化しすぎない

静的リンク、動的リンク、プラグイン、IPC、別プロセス、コンテナ、API、SDK配布などの技術構造を確認します。

AGPLはSaaSでも検討します

対象コードを改変してネットワーク経由で利用させる場合、ソース提供義務が問題になり得ます。

Section 03

OSSを含む成果物の主要な知財リスク

ライセンス違反だけでなく、保証文言、特許、商標、秘密保持、脆弱性まで横断して確認します。

OSSリスクの多くは、ライセンスそのものだけでなく、顧客契約の表明保証と衝突することで顕在化します。たとえば、OSSの著作権者は通常、上流に残ります。そのため、OSSを含む成果物について「第三者権利が一切ない」「無制限に自由利用できる」と保証すると、事実状態と合わなくなる可能性があります。

次の注意項目一覧は、OSSを含む成果物で典型的に問題になるリスクを並べたものです。読者は、各項目が契約違反、補償、販売停止、M&A価格調整、監査指摘、信用低下のどこに波及するかを確認してください。

ライセンス条件の不履行

著作権表示、ライセンス文、改変表示、ソースコード提供、同一ライセンス維持を怠ると、権利者クレームや顧客からの契約違反主張につながります。

表明保証との衝突

第三者権利不存在、全権利移転、無制限利用などの広い文言は、OSSが含まれる一般的な成果物と整合しにくい場合があります。

コピーレフト波及

対象OSSのライセンス、改変、結合、配布、ネットワーク提供、成果物構造、提供形態によって影響範囲が変わります。

特許リスク

Apache License 2.0のような特許許諾、特許終了、第三者特許、標準必須特許、クロスライセンス関係を確認します。

商標と認証表示

コード利用が許されても、プロジェクト名、ロゴ、認証マーク、互換性表示まで許されるとは限りません。

営業秘密と秘密保持

OSSへの貢献、Issue投稿、パッチ送付、外部相談、生成AIツールへの入力により、顧客秘密や未公開脆弱性が漏れる可能性があります。

セキュリティと供給網

既知脆弱性、推移的依存、悪意あるパッケージ、EOL、更新不能は、品質保証や内部統制の問題にも波及します。

監査と説明責任

大企業、金融、医療、公共、重要インフラ、上場企業向けでは、OSSコンプライアンス不備が検収やサプライヤー監査の重大指摘になり得ます。

特許、商標、秘密保持はOSS台帳だけでは足りません

OSS台帳は重要ですが、特許リスクはFTO、特許クリアランス、係争履歴、競合特許、標準化団体のIPRポリシーも関係します。商標リスクでは、OSSプロジェクト名、ロゴ、認証表示、互換性表示、マーケティング資料を確認します。秘密保持では、GitHub、Issue、外部Q&A、生成AIツールへの入力を含め、社内秘密や顧客コードの外部流出を見ます。

次の比較表は、リスクと契約上の主な接点を整理したものです。どの条項を見直すべきかを読み取ることで、単なる技術調査に終わらせず、契約修正や証跡整備につなげられます。

リスク主な契約接点確認すべき証跡
ライセンス違反検収、保証、解除、補償OSS一覧、LICENSE、NOTICE、表示物、ソース提供方法
表明保証違反非侵害、権利帰属、利用制限不存在開示別紙、調査範囲、例外承認、顧客予定利用
特許特許保証、補償、標準技術ライセンス特許条項、FTO、係争履歴、事業地域
秘密保持NDA、再委託、情報管理投稿履歴、外部送信管理、秘密区分、アクセス記録
セキュリティ品質保証、脆弱性通知、監査権SBOM、CVE対応、パッチ状況、EOL、例外承認

NISTはSBOMを、コンポーネントやサプライチェーン関係等を記録する正式な記録として整理しています。またNIST SP 800-218は、セキュアなソフトウェア開発実務の共通枠組みを示します。OSS管理は、知財法務だけでなく、サイバーセキュリティとサプライチェーン管理の問題でもあります。

Section 04

OSSを含む成果物の表明保証条項をどう設計するか

広すぎる保証から、検証可能で是正可能な保証へ寄せます。

OSSを含む成果物では、「第三者の権利が一切含まれない」「成果物を無制限に使用、複製、改変、販売、再許諾できる」といった文言は過度に広くなりがちです。OSS部分の著作権は通常、上流の権利者に残り、利用者はライセンス条件に従って利用許諾を受ける構造です。

危険な例成果物に第三者の権利が一切含まれず、成果物が第三者の知的財産権を一切侵害せず、委託者が無制限に使用、複製、改変、販売、再許諾できると広く保証する文言は、OSSを含む一般的な成果物と整合しにくい場合があります。

次の比較表は、表明保証条項を設計するときの基本思想を整理したものです。読者は、どの事実を開示し、どの保証を限定し、どの是正手段と組み合わせるかを読み取ってください。

設計原則実務上の意味条項での反映
開示OSSと未開示OSSを分ける既に把握したOSSと、重大な制約を課す未開示OSSを別に扱います。OSS一覧、開示別紙、知識限定、重要性限定
権利不存在ではなく利用可能性を見る第三者権利が消えるわけではなく、ライセンス条件に基づく利用許諾を確認します。予定利用、利用態様、ライセンス遵守保証
予定利用を特定する目的、地域、期間、配布形態、SaaS提供、海外販売を明確にします。利用目的、利用態様、再配布、組込み範囲
履行責任を明確にする表示、ライセンス文、NOTICE、ソース提供、改変表示を誰が行うかを決めます。納入時義務、顧客引継ぎ、更新時義務
調査水準を具体化する合理的範囲、通常のスキャン、社内台帳、SBOMなどを明示します。調査範囲、証跡、例外承認
非侵害保証とOSS遵守保証を分ける抽象的な非侵害保証と、開示済みOSSの条件遵守を混同しません。除外規定、開示済みOSSの扱い
補償と是正措置をセットにする損害賠償だけでなく、表示追加、置換、構成変更、権利取得を定めます。協議、合理的期間、費用負担、責任上限

次の判断の流れは、OSS表明保証の条項レビューで確認する順番を表しています。順番が重要なのは、OSSの有無を確認する前に非侵害保証の強弱だけを議論しても、実態に合った契約文言にならないためです。

OSS表明保証の判断の流れ

OSS一覧と予定利用を確認

名称、版、取得元、SPDX識別子、改変、利用態様、配布、SaaS提供を把握します。

義務条件を洗い出す

表示、ライセンス文、NOTICE、ソース提供、同一ライセンス、特許条項を確認します。

広い保証と矛盾するかを確認

第三者権利不存在、全権利移転、無制限利用、特許非侵害の文言を見直します。

矛盾あり
例外と限定を追加

開示済みOSS、予定利用、合理的調査、知識限定、重要性限定を入れます。

整合あり
証跡と是正措置を残す

SBOM、承認履歴、顧客への引継ぎ、違反判明時の対応を定めます。

条項例の方向性

実務例では、別紙OSS一覧に、名称、版、取得元、ライセンス名、SPDX識別子、改変、利用態様、配布、ソースコード提供義務を合理的に把握して記載します。開示済みOSSについては、当該ライセンス条件に従う限り、予定された利用目的と利用態様で成果物を利用できることを保証する形に寄せます。

次の比較表は、条項で分けて書くべき内容を整理したものです。読み取るべきポイントは、非侵害保証、OSS一覧、未開示OSS、履行義務、事前承認、是正措置を一つの抽象文言に押し込めないことです。

条項テーマ盛り込む内容注意点
OSS一覧名称、版、取得元、ライセンス名、SPDX識別子、改変、利用態様、配布、ソース提供義務把握範囲を合理的に限定し、更新時の扱いも検討します。
利用可能性保証一覧記載OSSについて、ライセンス条件に従う限り予定利用が可能であることOSS自体の権利帰属や上流権利者の保証までは負わない形にします。
未開示OSS重大な制約を課す未開示OSSを故意または重大な過失で含めていないこと「一切含まれない」ではなく、重大性や知識を入れて調整します。
納入時義務表示、ライセンス文、NOTICE、改変表示などを合理的に必要な範囲で履行すること顧客が再配布する場合の引継ぎも定めます。
高リスクOSSGPL、AGPLその他ソース開示や同一ライセンス提供を要求し得るOSSは事前承認対象にすること禁止だけでなく、例外承認の条件と証跡を残します。

OSS表明保証違反が判明した場合は、直ちに損害賠償だけで処理するより、実務的な是正手段を定めておく方が現実的です。表示や文書の追加、代替ソフトへの置換、構成や利用態様の変更、必要な権利許諾の取得などを、合理的期間内の選択肢として設計します。

Section 05

OSSデューデリジェンスとSBOMで表明保証の前提を整える

目的はリスクをゼロにすることではなく、意思決定に必要な事実を検証可能にすることです。

OSSデューデリジェンスの目的は、リスクを完全に消すことではありません。委託開発成果物の検収、販売開始、大口顧客審査、金融・医療・公共・重要インフラ向け提供、M&A、事業譲渡、出資、IPO、OEM、組込み機器、海外販売、SBOM提出要求、脆弱性対応、OSS権利者やコミュニティからの問い合わせに備え、判断に必要な事実を証跡化することです。

次の比較表は、OSS DDで要求すべき情報と実務上の使い道を整理したものです。読者は、各項目が表明保証、検収、監査、脆弱性対応のどこに使われるかを確認してください。

項目要求内容実務上の使い道
OSS一覧名称、版、取得元、ライセンス表明保証、検収、監査
SPDX識別子SPDX License Listの識別子表記ゆれ防止、SBOM化
改変有無変更ファイル、変更内容、パッチソース提供義務、貢献管理
利用態様リンク、組込み、別プロセス、SaaS、開発時のみコピーレフト評価
配布有無顧客配布、社内利用、クラウド提供ライセンス義務発生の判断
Notice著作権表示、ライセンス文、NOTICE納品物への同梱
ソース提供提供対象、提供方法、期間GPL、LGPL、AGPL等への対応
脆弱性CVE、深刻度、修正状況、例外承認セキュリティ保証
承認履歴社内申請、レビュー、例外承認内部統制、監査証跡
再委託先情報外注先、サプライヤーのOSS管理サプライチェーン管理

SBOMとOpenChainは前提事実をそろえる道具です

SBOMはSoftware Bill of Materialsの略で、ソフトウェアを構成する部品表です。NISTは、SBOMをコンポーネント、サプライチェーン関係等の詳細を含む正式な記録として説明しています。SPDXは、システム、製品、コンテナ、コンポーネント、ソフトウェア等の情報をSBOMとして表現するためのオープン標準であり、ISO/IEC 5962:2021としても位置付けられています。

次の時系列は、OSS管理を案件対応から組織的な説明責任へ進める順番を示します。読者にとって重要なのは、スキャン結果だけで終わらせず、台帳、SBOM、承認、例外、脆弱性対応、契約条項をつなぐことです。

Step 1

OSS台帳を整える

製品、サービス、リリース単位で、名称、版、ライセンス、取得元、利用態様を記録します。

Step 2

SBOM形式で共有する

SPDX、CycloneDXその他合意形式で、顧客、監査、M&A DDに耐える形にします。

Step 3

OpenChainの観点を使う

ISO/IEC 5230はライセンスコンプライアンス、ISO/IEC 18974はセキュリティ保証の枠組みとして参照できます。

Step 4

契約と監査に反映する

METIのSBOM導入手引やIPAのOSPOスターターキットも参考にし、調達側と供給側の責任分担を明確にします。

次の注意項目一覧は、OSSスキャンツールの限界をまとめたものです。読者は、ツールで検出されなかったという事実だけを保証文言にしない理由を読み取ってください。

誤検知と未検知

自社独自コードとOSS断片の類似性判断には限界があります。

コピー貼付けと改名

生成コード、コピー貼付け、古いライブラリ、改名ファイルは検出が難しい場合があります。

依存関係の範囲

コンテナ、推移的依存、ビルド時依存、開発時依存の範囲設定が難しい場合があります。

ライセンス情報の欠落

ライセンスファイルが欠落または不正確なリポジトリもあります。

技術態様は判断できない

スキャン結果だけでは、リンク、配布、改変、契約上の予定利用は判断できません。

条項設計は別問題

保証、補償、是正措置、責任制限には、調査結果を契約文言に落とし込む作業が必要です。

Section 06

取引類型別に見るOSSを含む成果物の実務ポイント

委託開発、SaaS、組込み、M&A、AIでは、同じOSSでも問題化する入口が変わります。

OSSを含む成果物の論点は、契約類型によって重みが変わります。委託開発では権利移転とOSS例外、SaaSではAGPLや脆弱性、組込みでは配布とソース提供、M&Aでは価格調整や補償、AIではモデルやデータセットの利用制限が中心になります。

次の比較表は、取引類型ごとの確認ポイントをまとめたものです。読者は、自社の取引がどの行に近いかを見て、OSS一覧、SBOM、契約条項、顧客説明の優先順位を読み取ってください。

取引類型主な論点確認ポイント
委託開発契約委託者が成果物の権利取得を希望しても、OSS部分の著作権は通常移転できません。独自開発部分、OSS部分、商用第三者ソフトを分け、OSS一覧、禁止OSS、事前承認、検収条件を定めます。
SaaS・クラウド配布を伴わない場合でも、AGPL、脆弱性、コンテナ、IaC、マネージドサービス、データ保護が問題になります。セキュリティ、可用性、脆弱性通知、監査権、サブプロセッサー、サポート終了時対応を含めます。
組込み製品・IoTファームウェア、Linuxカーネル、BusyBox、ドライバ、暗号ライブラリ、SDKが含まれやすく、配布を伴います。GPLやLGPLのソース提供、ライセンス文同梱、マニュアル表示、Webでの提供方法、部品サプライヤー条項を定めます。
M&A・事業譲渡・投資中核製品に未開示のGPLやAGPLが含まれると、買収価格、補償、クロージング条件、PMIに影響します。OSS台帳、SBOM、スキャン結果、例外承認、顧客契約、紛争履歴、再委託先管理を確認します。
AI・機械学習・データOSSコードだけでなく、モデルライセンス、データセット、重み、評価データ、プロンプト、生成物が問題になります。商用利用、競合利用、クラウド提供、再配布、特定用途制限、学習データの権利処理を確認します。

次の一覧は、専門職ごとの視点を並べたものです。複数部門の役割を見える化することが重要なのは、OSS表明保証が技術、知財、セキュリティ、会計、経営判断を横断するためです。

Legal

企業内法務

OSS一覧がない状態で第三者権利不存在を保証してよいか、GPLやAGPLの事前承認をどう運用するかを確認します。

Outside

外部専門家

高リスク案件、国際契約、M&A、紛争、IPO、規制業種では、準拠法、裁判管轄、差止め、保険、開示スケジュールを含めて検討します。

IP

知財部と弁理士

著作権だけでなく、特許、商標、標準化、FTO、特許補償、Apache License 2.0などの特許条項を確認します。

Security

セキュリティ担当

SBOM、脆弱性、パッチ、依存関係、供給網攻撃、CVE、EOLをライセンス台帳と分断しないよう管理します。

Audit

内部監査

OSSポリシー、承認手順、例外承認、証跡、教育、委託先管理を統制として説明できるかを見ます。

M&A

M&Aと会計

潜在債務、偶発債務、資産性、無形資産評価、PMIコスト、価格調整への影響を検討します。

Section 07

OSS管理ポリシーと実務チェックリスト

確認項目を部門別に分けると、表明保証の前提が継続的に維持されます。

法務が見るべき10の質問

OSSを含む成果物の知財リスクと表明保証を検討する際は、まず十の質問に答えられる状態かを確認します。質問に答えられないまま包括的な知財表明保証をすることは、企業法務上危険です。

次の比較表は、法務が最初に確認すべき十の質問を整理したものです。読者は、未回答の項目がある場合に、保証文言を弱めるだけでなく、台帳、SBOM、承認、是正措置のどこを整えるべきかを読み取ってください。

No.確認質問未回答の場合の主な危険
1成果物に含まれるOSSの一覧はあるか。開示済みOSSと未開示OSSを分けられません。
2各OSSのライセンス名、版、SPDX識別子は特定されているか。表示義務、ソース提供義務、SBOMの表記が揺れます。
3OSSは開発時のみ利用か、成果物に含まれて配布されるか。義務発生の有無を誤ります。
4改変したOSSはあるか。改変表示やソース提供の判断ができません。
5GPL、AGPL、LGPL、MPLその他コピーレフト型OSSはあるか。ソース開示や同一ライセンス提供の影響を見落とします。
6ソースコード提供、リリンク、ライセンス文添付、NOTICE提供は必要か。納入時の義務履行に漏れが出ます。
7顧客の予定利用、再配布、海外販売、SaaS提供と整合するか。予定利用を超えた保証を負う可能性があります。
8顧客契約の知財表明保証、補償条項と矛盾しないか。開示済みOSSと非侵害保証が衝突します。
9SBOM、スキャン結果、承認履歴、例外承認などの証跡はあるか。監査やDDで説明できません。
10違反判明時の是正措置、費用負担、責任上限は定められているか。発覚後に補償や停止対応で争いになります。

次の実務一覧は、契約レビュー、開発部門、経営層の三つの視点に分けて確認項目を整理したものです。役割ごとに見る理由は、同じOSSリスクでも、条項修正、開発証跡、経営判断で必要な資料が異なるためです。

契約レビュー

第三者権利が一切ないと書かれていないか、OSSや第三者ソフトの例外があるか、OSS一覧、GPLやAGPLの事前承認、予定利用、調査水準、履行責任、顧客改変や組合せ利用の責任分担、補償、責任制限、SBOM提出範囲を確認します。

条項保証

開発部門

新規OSS利用前の承認、依存関係の記録、コピー貼付けコードの出典、README、LICENSE、NOTICEの保存、改変ファイルの識別、リンクやSaaS利用の構成説明、禁止ライセンス、生成AIコードの類似性、リリース前スキャン、脆弱性対応を確認します。

台帳証跡

経営層

主要製品のOSS台帳またはSBOM、主要顧客への知財補償額、OSS管理責任者、M&AやIPO前のOSS DD、開発速度と統制の均衡、OSSコミュニティへの貢献方針と秘密保持方針、セキュリティとライセンス管理の一体運用を確認します。

統制経営

次の比較表は、企業が整備すべきOSS管理ポリシーをまとめたものです。読者は、禁止ルールだけでなく、合理的な例外承認とインシデント対応まで含めて設計する必要があることを読み取ってください。

ポリシー内容表明保証との関係
OSS利用ポリシー利用可能、要承認、原則禁止のライセンス分類を定めます。高リスクOSSの事前承認条項と連動します。
申請と承認手順新規OSS利用時の申請、レビュー、承認を定めます。合理的調査と承認履歴の証跡になります。
台帳とSBOM管理製品、サービス、リリース単位で管理します。開示別紙、顧客監査、M&A DDの基礎になります。
契約ひな形OSS例外、OSS一覧、非侵害保証、補償、SBOM条項を整備します。案件ごとの過度な保証を防ぎます。
委託先管理外注先にもOSS情報提供、ライセンス遵守、SBOM提出を求めます。再委託先由来の未開示OSSを減らします。
リリース前レビュースキャン、表示、ライセンス文、ソース提供を確認します。納入時義務の履行を確認できます。
脆弱性管理CVE、EOL、パッチ、例外承認を管理します。セキュリティ保証や品質保証の前提になります。
教育開発者、法務、営業、調達、経営層に役割別研修を行います。属人的な判断を減らします。
例外承認GPLやAGPL等の高リスク利用を合理的に審査します。禁止だけではなく事業判断の記録を残せます。
インシデント対応OSS違反や脆弱性発覚時の連絡、是正、顧客説明を定めます。補償や是正措置条項と連動します。
Section 08

OSSを含む成果物の交渉例と危機対応

表明保証、補償、責任制限、是正措置を一体で交渉します。

表明保証だけを置いても、違反時の効果が曖昧だと紛争になります。OSSを含む成果物では、表明保証、是正措置、補償、責任制限、解除、検収、監査、保険を一体で設計することが重要です。

次の比較表は、顧客側、ベンダー側、OSS一覧、SBOM条項で使われる表現の方向性を整理したものです。読者は、情報開示と責任限定の両方を組み合わせることで、実務的な落とし所を作る点を読み取ってください。

場面表現の方向性確認ポイント
顧客側の情報開示成果物に含まれるOSSについて、名称、版、取得元、ライセンス、SPDX識別子、利用態様、改変、配布、ソース提供義務を納入時までに提供させます。開示時期、更新義務、形式を定めます。
ベンダー側の限定知財非侵害保証は、契約締結時に明示された利用目的、利用態様、利用地域、成果物構成を前提とします。顧客改変、第三者製品との組合せ、無断再配布、OSS条件違反を除外します。
OSS一覧の別紙別紙OSS一覧記載のOSSには、各ライセンス条件が優先して適用される範囲があることを明記します。上流権利者の保証をベンダーが行うものではないと整理します。
SBOM条項顧客の合理的要請がある場合、SPDX、CycloneDXその他合意形式のSBOMを提供します。営業秘密、セキュリティ上機微な情報、第三者契約上開示できない情報は代替開示を協議します。

次の比較表は、知財補償条項で定めるべき項目を整理したものです。重要なのは、第三者クレームへの対応を広く受ける場合でも、顧客改変、仕様指示、他製品との組合せ、無断再配布、旧版利用などを除外し、是正手段と責任上限を組み合わせることです。

補償設計の項目顧客側の関心ベンダー側の限定
対象クレーム第三者からの知財侵害主張への防御、和解、損害賠償、差止め対応OSS上流ライセンス条件の遵守を前提にします。
除外事由予定利用の範囲内で使えること顧客改変、顧客指定、他製品組合せ、無断再配布、旧版利用を除外します。
手続速やかな対応と事業継続通知、協力、防御権限、和解承認を明確にします。
是正措置利用継続、代替提供、改修権利取得、置換、改修、利用停止を選択肢にします。
損害範囲販売停止や顧客損害への対応間接損害、逸失利益、特別損害、責任上限、故意重過失の扱いを定めます。

次の時系列は、OSS違反または未開示OSSが判明した場合の初動を示します。順番が重要なのは、事実保全をしないまま顧客説明や外部発信を始めると、契約影響、技術影響、法的評価を誤る可能性があるためです。

1

事実保全

対象版、配布先、ソース、ビルド環境、スキャン結果、契約書を保存します。

2

ライセンス特定

対象OSS、ライセンス、改変、配布、リンク態様を確認します。

3

契約影響分析

顧客契約、表明保証、補償、検収、解除条項を確認します。

4

技術的回避策

置換、分離、再設計、更新、表示追加を検討します。

5

法的評価

権利者対応、顧客通知、差止め、損害賠償、和解を評価します。

6

経営判断

販売継続、修正版提供、顧客説明、開示、引当、監査対応を決定します。

7

再発防止

承認手順、教育、スキャン、委託先管理を改善します。

OSS権利者やコミュニティからの問い合わせに対しては、事実確認、是正、透明なコミュニケーションが重要です。一方で、顧客、株主、規制当局、監査法人、取引所、M&A相手方への説明が必要になる場合は、外部専門家を含む危機管理体制を組む必要があります。

Section 09

OSSを含む成果物のよくある誤解と一般的な考え方

FAQは一般情報として整理し、個別案件では事実関係と契約文言の確認が必要です。

OSSは無料なので権利処理は不要ですか

一般的には、無料で取得できることと、無条件で利用できることは異なるとされています。多くのOSSライセンスには、著作権表示、ライセンス文添付、ソース提供、同一ライセンスなどの条件があります。ただし、対象ソフト、利用態様、配布の有無、契約文言によって結論が変わる可能性があります。具体的な対応は、資料を整理したうえで弁護士、弁理士、セキュリティ専門家等へ相談する必要があります。

MITやApacheなら何も気にしなくてよいですか

一般的には、MITやApacheは利用しやすいライセンスとされますが、表示義務、NOTICE、免責条項、特許条項、商標不許諾に注意が必要です。ただし、成果物の配布形態、顧客契約、特許戦略、表示方法によって判断が変わる可能性があります。具体的な対応は、関係資料を確認したうえで専門家へ相談する必要があります。

GPLを使うと必ず全ソースコードを公開しなければなりませんか

一般的には、GPLの影響は、利用態様、結合態様、配布の有無、改変の有無によって変わるとされています。過度な恐怖も、無理解な楽観も危険です。ただし、個別の技術構造や契約上の提供形態で結論が変わる可能性があります。具体的な対応は、開発資料と契約書を整理したうえで専門家へ相談する必要があります。

SaaSならOSSライセンスを気にしなくてよいですか

一般的には、配布を伴わないSaaSでは一部義務が発生しにくい場合がありますが、AGPL、商標、特許、脆弱性、クラウド規約、顧客契約は別途問題になります。ただし、対象OSSの種類、改変の有無、ネットワーク提供の態様で判断が変わる可能性があります。具体的な対応は、利用態様と契約条件を確認したうえで専門家へ相談する必要があります。

OSSスキャンを一度すれば十分ですか

一般的には、OSSは依存関係と版が変化するため、リリースごとの管理、脆弱性情報の継続監視、例外承認、SBOM更新が必要とされています。ただし、製品の性質、顧客要求、開発頻度、リスク水準によって必要な管理範囲は変わる可能性があります。具体的な対応は、社内体制と契約上の義務を確認したうえで専門家へ相談する必要があります。

法務だけで判断できますか

一般的には、OSSリスクは技術構造を理解しなければ判断できないとされています。法務、開発、知財、セキュリティ、事業、外部専門家の共同作業が必要です。ただし、案件の規模、成果物の構成、顧客要求、M&AやIPOの有無によって関与者は変わる可能性があります。具体的な対応は、関係部門で情報を整理したうえで専門家へ相談する必要があります。

結論

OSSを含む成果物の知財リスクと表明保証を適切に扱うには、OSSを排除するかどうかという単純な発想では不十分です。現代のソフトウェア開発では、OSSを利用しないこと自体が非現実的であり、競争力を損なう場合もあります。重要なのは、OSSの存在を正確に把握し、ライセンス条件を理解し、利用態様に照らして義務を履行し、契約上の表明保証を事実に即して設計することです。

広すぎる非侵害保証、第三者権利不存在保証、無制限利用保証は、OSSを含む成果物の実態と矛盾しやすくなります。契約書では、OSS一覧、SBOM、事前承認、表示義務、ソース提供義務、是正措置、補償、責任制限を一体として設計すべきです。企業法務では、法務担当や弁護士等だけでなく、開発、知財、セキュリティ、内部監査、M&A、経営層が同じ情報を見て判断する体制が求められます。

Reference

参考情報・一次情報

公的機関、標準化団体、ライセンス本文、法令を中心に確認します。

OSS定義とライセンス

  • Open Source Initiative, The Open Source Definition
  • Open Source Initiative, Licenses
  • SPDX, SPDX Overview
  • SPDX License List
  • Apache Software Foundation, Apache License, Version 2.0
  • Open Source Initiative, MIT License
  • GNU Project, GNU General Public License v3.0
  • GNU Project, GNU Affero General Public License v3.0
  • GNU Project, GNU Lesser General Public License v3.0
  • Mozilla, Mozilla Public License Version 2.0

SBOMとセキュリティ

  • NIST, Software Security in Supply Chains ― Software Bill of Materials
  • NIST SP 800-218, Secure Software Development Framework Version 1.1
  • NIST SP 800-161 Rev.1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations
  • OpenChain Project, OpenChain ISO/IEC 5230
  • OpenChain Project, OpenChain ISO/IEC 18974
  • 経済産業省, ソフトウェア管理に向けたSBOMの導入に関する手引
  • IPA, OSPOスターターキット ゼロから始めるOSSガバナンス

関連法令

  • e-Gov法令検索, 著作権法
  • e-Gov法令検索, 特許法
  • e-Gov法令検索, 不正競争防止法