10月に成立したEUサイバーレジリエンス法(EU Cyber Resilience Act)は、デジタル製品のサーバーセキュリティ向上により消費者を保護するため、EU市場での製造や販売に関わる企業は対応を求められることになるが、資金力も限られ、法的に不安定に陥りかねないOSS開発者の立場を守るべく他の団体とともに利害調整に尽力するGitHub。現状の概要を"What the EU’s new software legislation means for developers(EU の新しいソフトウェア法が開発者にとって何を意味するか)"と題した公式ブログにまとめている。

Director of Developer PolicyのFelix Reda氏は、2026年9月からの脆弱性報告義務などいくつかのスケジュールに触れた上で"オープンソース開発者が空いている時間にポリシーの専門家になることは、あまりにも忙しすぎる"と切り出し、OSSと同法が関わりそうなポイントを述べる。

What the EU’s new software legislation means for developers

OSSプロジェクトがEUサイバーレジリエンス法にかかるかどうかは、"distribution or use in the course of a commercial activity, whether in return for payment for free of charge."(有償か無償かを問わず商用活動のなかでの配布や使用)の意図になるため一般的なプロジェクトでは適用されないが、自分で収益化するつもりであれば、EUサイバーレジリエンス法での製造業者とみなされるため適用の可能性は高くなるという。

適用方法に関する後続の法律とガイダンスを策定している最中でもあり、まだ不明確な部分も多いという同法だが、GitHubでは立法プロセス全体を通じて"商業活動"(commercial activity)の明確な定義を求めてきた経緯があり、オープンソースプロジェクトではなく、オープンソースの恩恵を受ける側であることの明確化に寄与し、不明確な規定で開発コミュニティが萎縮するのを防ぐために尽力している。

公式ブログでは他者による商用利用を目的としたオープンソースソフトウェアをサポートおよび保守する組織に所属している場合の「オープンソース管理者に対する規制の緩和」など企業プロジェクトにも関わる分野を豊富なリンクで解説しているが、"緊急なことは欧州委員会に対してすべてのオープンソース開発者がCRAに基づく義務を負っているかどうかを容易に判断できるようにするガイダンス (第 26 条 (2) (a ) )を発行するよう求めること"としている。

この記事は
Members+会員の方のみ御覧いただけます

ログイン/無料会員登録

会員サービスの詳細はこちら