オープンソースの開発者が製造責任や賠償責任を負う可能性があるとして、EUのサイバーレジリエンス法案にPython Software FoundationとEclipse Foundationらが異議を表明

欧州連合（EU）の政策執行機関である欧州委員会は、サイバー攻撃による社会的な被害が大きくなってきていることを背景に、現在広く普及しているさまざまなデジタル製品やサービスのセキュリティをより高める目的で、サイバーレジリエンス法案（CRA：Cyber Resilience Act）を検討しています。

この法案が目指すところは、より脆弱性の少ないデジタル製品が市場に投入されるようにすること、市場に投入後も製造者が製品のライフサイクル全体を通じてセキュリティに真剣に取り組むことを保証すること、そしてユーザーもセキュリティを考慮した製品を選択できるようにすること、などです。

欧州委員会では同時に製造者責任法の改定案も検討中です。これは従来の製造者責任法ではカバーされていなかったデジタル関連の製品やサービスに対しても製造者責任を問えるようにするものです。

しかしこれらの法案ではオープンソースの開発者が製造責任や賠償責任を負う可能性があり、それがオープンソースの開発と革新を阻害することになるとして、Python Software FoundationやEclipse Foundationらが相次いで異議を表明しています。

それぞれの内容を見ていきます。

オープンソースコミュニティの健全性を危険にさらす問題がある

Pyton Software Foundationは4月11日付けで「The EU's Proposed CRA Law May Have Unintended Consequences for the Python Ecosystem」（EUのCRA法案は、Pythonのエコシステムに意図しない結果をもたらす可能性がある）という文書を公開しました。

この文書は次のように、問題を明確に指摘する形で始まっています。

After reviewing the proposed Cyber Resilience Act and Product Liability Act, the PSF has found issues that put the mission of our organization and the health of the open-source software community at risk. While we support the stated goals of these policies of increasing security and accountability for European software consumers, we are concerned that overly broad policies will unintentionally harm the users they are intended to protect.

PSF（訳注：Python Software Foundation）は、サイバーレジリエンス法案および製造者責任法改定案を検討した結果、私たちの組織の使命とオープンソースソフトウェアコミュニティの健全性を危険にさらす問題があることを発見しました。私たちは、欧州のソフトウェア消費者のセキュリティと説明責任を高めるという、これらの政策が掲げる目標を支持しますが、過度に広範な政策であるために、保護しようとするユーザーに意図せず損害を与えることを懸念しています。

そしてPython Software Foundation自身が金銭的な責任を負う可能性があると指摘します。

Under the current language, the PSF could potentially be financially liable for any product that includes Python code, while never having received any monetary gain from any of these products. The risk of huge potential costs would make it impossible in practice for us to continue to provide Python and PyPI to the European public.

現在の文言では、PSFはPythonのコードを含むあらゆる製品に対して金銭的な責任を負う可能性があります。しかし私たちはこれらの製品から金銭的な利益を得たことは一度もないのです。この膨大な潜在的費用のリスクゆえに、私たちがPythonとPyPIを欧州の人々に提供し続けることは、現実には不可能になるでしょう。

そのうえで法案の問題について、2つの点を指摘しました。1つ目は、製造者とみなす範囲が広すぎるという指摘。

In Article 16, “A natural or legal person, other than the manufacturer, the importer or the distributor, that carries out a substantial modification of the product with digital elements shall be considered a manufacturer for the purposes of this Regulation.” is too broad. Open source is full of people who make a substantial modification to a piece of public code but do not have any contractual or financial relationship with the entity or entities that might eventually use that code in a commercial product.

第16条の「製造者、輸入者、販売者以外の自然人または法人で、デジタルな要素を含む製品の実質的な変更を行う者は、本規則の目的上、製造者とみなされる」とありますが、この定義は広すぎます。オープンソースには公開されたコードの一部に対して実質的な変更を加えるたくさんの人たちがいます。しかし彼らと、そのコードを最終的に商用製品に使用する可能性のある企業や団体との間には、契約上または金銭上の関係はありません。

2つ目も、製造者に関する解釈があいまいであるという部分の指摘です。

Secondly, in Recital 10, the phrase “…by providing a software platform through which the manufacturer monetises other services.” is not specific enough. Public code repositories and their hosts may offer paid classes or sell tickets to conferences about shared open source code while still having no control over the way commercial entities use that code in their products. Disincentivizing educational activities or curtailing public patches from third parties will not make European software consumers safer.

第二に、前文10の「...製造者が他のサービスを収益化するためのソフトウェアプラットフォームを提供することによって」という文言は具体性が十分ではありません。公開コードのリポジトリとその運営元は、その公開されているオープンソースに関する有料セミナーの提供やカンファレンスのチケットの販売はできますが、企業などの商業団体がそのコードをどのように製品に使うかについてまで管理することはできません。だからといって教育活動を阻害したり、サードパーティからのパッチ提供を抑制したとしても、欧州のソフトウェア消費者をより安全にすることはできないのです。

このような製造者の定義があいまいなままではオープンソースの開発者が責任を問われる可能性を排除できないとして、パブリックなソフトウェア関係の団体や個人を除外するよう、次のような提案を示しました。

We need it to be crystal clear who is on the hook for both the assurances and the accountability that software consumers deserve. Language that specifically exempts public software repositories that are offered as a public good for the purpose of facilitating collaboration would make things much clearer. We'd also like to see our community, especially the hobbyists, individuals and other under-resourced entities who host packages on free public repositories like PyPI be exempt. We believe these exemptions would help both consumers and the open source ecosystem, as well as the economic actors who depend on it.

私たちは、ソフトウェアの消費者が受けるべき保証と説明責任の両方について、誰が責任を負うのかを明確にする必要があります。特に、コラボレーションを促進する目的で公共財として提供されるパブリックなソフトウェアリポジトリを除外するような文言があれば、事態はより明確になります。また、私たちのコミュニティ、特にPyPIのような無料のパブリックリポジトリでパッケージをホストしているリソース不足の団体、ホビイスト、個人などは免除してほしいと考えています。これらの免除は、消費者とオープンソースのエコシステム、そしてそれらに依存する企業や個人などの経済主体の双方に役立つと信じています。

オープンソースコミュニティと関わり、懸念を考慮するよう強く要望する

続いてEclipse Foundationが4月17日付で公開した文書「Open Letter to the European Commission on the Cyber Resilience Act」を見ていきましょう。

Eclipse Foundationもサイバーレジリエンス法案の主旨には賛同しつつも、以下のように強い懸念を表明しています。

We deeply share the CRA’s aim to improve the cybersecurity of digital products and services in the EU and embrace the urgent need to protect citizens and economies by improving software security.

我々は、EUにおけるデジタル製品およびサービスのサイバーセキュリティを向上させるというCRAの目的を深く共有し、ソフトウェアのセキュリティを向上させることで市民と経済を保護するという緊急の必要性については受け入れます。

However, our voices and expertise should be heard and have an opportunity to inform public authorities' decisions. If the CRA is, in fact, implemented as written, it will have a chilling effect on open source software development as a global endeavour, with the net effect of undermining the EU’s own expressed goals for innovation, digital sovereignty, and future prosperity.

しかし、私たちの意見と専門的な知見についての聞き取りによる情報提供が、公的機関の決定に反映される機会の中であるべきです。もしCRAが実際に文書通りに実施されれば、グローバルな取り組みとしてのオープンソースソフトウェア開発に悪影響を及ぼし、イノベーション、デジタル主権、将来の繁栄というEU自身が表明した目標を台無しにする効果をもたらすことになるでしょう。

その上で、検討過程でオープンソースコミュニティと密接に意見交換をすべきと提案しています。

Moving forward, we urge you to engage with the open source community and take our concerns into account as you consider the implementation of the Cyber Resilience Act. Specifically, moving forward, we urge you to:

1. Recognise the unique characteristics of open source software and ensure that the Cyber Resilience Act does not unintentionally harm the open source ecosystem.
2. Consult with the open source community during the co-legislative process.
3. Ensure that any development under the CRA takes into account the diversity of open and transparent open source software development practices.
4. Establish a mechanism for ongoing dialogue and collaboration between the European institutions and the open source community, to ensure that future legislation and policy decisions are informed.

今後、サイバーレジリエンス法の実施を検討する際には、オープンソースコミュニティと関わり、我々の懸念を考慮するよう強く要望します。具体的には、以下のことを要望します：

1. オープンソースソフトウェアの特性を認識し、サイバーレジリエンス法が意図せずオープンソースエコシステムを害することがないようにすること。
2. 共同立法プロセスにおいて、オープンソースコミュニティと協議すること。
3. CRAの下での開発が、オープンで透明性の高いオープンソースソフトウェアの開発のプラクティスの多様性を考慮したものであることを保証すること。
4. 欧州機関とオープンソースコミュニティの間で継続的な対話と協力のための機構を確立し、将来の立法と政策決定において情報提供を行えるようにすること。

サイバーレジリエンス法案については、ここで紹介したPython Software FoundationとEclipse Foundation以外にも、昨年（2022年）10月にはInternet Societyが「The EU’s Proposed Cyber Resilience Act Will Damage the Open Source Ecosystem」と異議を表明し、今年（2023年）1月にはOpen Source Initiativeが欧州委員会への直接フィードバックで異議を表明しています。

相次ぐオープンソースコミュニティからの異議申し立ては、今後どのようにサイバーレジリエンス法案に反映されていくのでしょうか。