ますます複雑化する脅威ランドスケープの中で、私たちは法律、テクノロジー、コミュニティーが交差する岐路に立っています。そのため、サイバー・レジリエンスはこれまで以上に重要になっています。その核にあるサイバー・レジリエンスとは、有害なサイバー・イベントでも堅牢なセキュリティー体制を維持し、そのようなインシデントに備え、耐え、回復し、それに適応することを意味します。
GDPR、HIPAA、CCPAなどの新しいデータ・プライバシーや保護規制がこれまで以上に頻繁に導入されていますが、サイバー・レジリエンスに特化した新しい法律ができたことをご存知ですか。
欧州連合（EU）が最近施行したサイバー・レジリエンス法（CRA）の修正は、テクノロジーの世界に波紋を呼んでいます。この法律は2022年9月に提案され、2023年12月に物議を醸す修正により政治的合意を達成しました。この規則は、EU全体のサイバーセキュリティーを強化することを目的としていますが、オープンソース・ソフトウェアの本質そのものを再定義することで予想外の方向転換をしました。
この修正ではオープンソース・ソフトウェアを再定義し、欧州のデジタルランドスケープにおけるオープンソース・ソフトウェアの開発・共有と認識の方法にパラダイム・シフトが生じた可能性があります。
テクノロジー業界の反応には、オープンソース開発者とより広いエコシステムに対するさまざまな影響を反映した、慎重な楽観主義と警戒心のこもった吟味の姿勢が入り混じっていました。
CRAの最新の修正の各層を調査すると、オープンソース・コミュニティーへの影響、業種・業務の温度差、およびオープンソース・ソフトウェアがCRAでどのように法的に審査されるのかに注目することができます。
CRAは最近、特にオープンソースソフトウェアの定義と取り扱いに関する大幅な修正を行いました。この修正では、「無料のオープンソース・ソフトウェアは、ソースコードがオープンに共有され、そのライセンスが自由にアクセス可能で使用可能、変更可能、および再配布可能にするすべての権利を規定するソフトウェアと見なされる」と述べています。
この再定義は、テクノロジーコミュニティ内で議論を巻き起こし、従来のオープンソースの理解との整合性について疑問を投げかけています。
この規制に対するテクノロジー業界の反応は多岐にわたります。Pythonソフトウェア財団のような組織は、安堵を表明しています。CRAの最終文書では、「オープンソース・スチュワード」という概念が紹介されており、オープンソース・ソフトウェア開発の独自の性質を認めているようです。一方で、この再定義の広範な意味や、オープンソース開発の現実とどのように一致するかについては、依然として大きな懸念があります。
オープンソース開発者にとって、CRA の修正は、法的責任と定義の新たなランドスケープを切り開くことを意味する可能性があります。同規則は、セキュリティーの義務の大部分をソフトウェア開発者に課すもので、オープンソース・コミュニティーの開発者にとっては困難になる可能性があります。「オープンソース・スチュワード」という概念は欧州の法律では新しいものであり、その実際的な実装はまだ先のことです。
CRA のイテレーションを経たオープンソースソフトウェアの道のりは、かなり複雑でした。当初、特にオープンソース・コンポーネントを使用して構築された製品のセキュリティー問題の観点から、オープンソース開発者に課される可能性のある法的責任に対する懸念がありました。
CRAの最終文書は、非営利のオープンソース・コントリビューターを「商業活動」に従事しない限り、特定の義務から免除することで、これらの問題の一部に対処したものと思われます。ただし、この除外には、特に商業活動の定義に関して独自の曖昧さがあります。
CRAの最新の修正は、欧州の法律におけるオープンソースソフトウェアの独自の性質を認識する上で重要な一歩を示しています。しかし、オープンソース・コミュニティーは依然として慎重です。CRAにおけるオープンソース・ソフトウェアの再定義と「オープンソース・スチュワード」概念の導入には、それらがオープンソース開発の意図や実践に沿っていることを確認するための慎重な監視が必要です。CRAが完成に向けて進む中、オープンソースソフトウェア開発の微妙な違いを支持し、理解する法律を形成する上で、オープンソースコミュニティの意見は極めて重要です。