欧州のサイバーレジリエンス法案にPythonエコシステムが懸念発表

欧州の「サイバーレジリエンス法案」がオープンソースソフトウェア業界に影響を与えると指摘されている。「Python Software Foundation」が公開した懸念とは。

[後藤大地，有限会社オングス]

　欧州委員会は欧州で販売されるデジタル製品のセキュリティを強化する目的で「サイバーレジリエンス法案」の策定を進めており、オープンソースソフトウェア業界はこの法案に影響を受ける可能性がある。

Cyber Resilience Act（出典：欧州委員会のWebサイト）

「Python Software Foundation」の懸念　その内容は？

　デジタル製品におけるセキュリティが強化されることは消費者にとって好ましいことだ。欧州委員会は2022年9月、こうした動きを支援するサイバーレジリエンス法案を公表した。対象はハードウェアとソフトウェアで、技術適合要件は現在日本や米国で適用されているものよりも厳しいとされる。

　サイバーレジリエンス法案は欧州で製品販売を行う日系メーカーにも影響を与えるとされ、要件に違反した場合の罰則はかなり厳しくなると予測される。この懸念はオープンソースソフトウェア業界にもやってきている。

　現在のソフトウェア開発は、オープンソースソフトウェアなしには成り立たない。さまざまなソフトウェアやライブラリ、コンポーネント、フレームワークがオープンソースソフトウェアとして公開されており、企業はこうしたソフトウェアを利用して自社製品を開発している。ソフトウェアをゼロから作ることは現実的な方法ではなくなっており、既存のオープンソースソフトウェアを活用することが主流だ。

　しかし、サイバーレジリエンス法案はこうしたオープンソースソフトウェアに対しても責任を求めるとされており、幾つかのオープンソースソフトウェア関連団体が懸念を表明している。

　「Python Software Foundation」（PSF）は2023年4月11日（現地時間）、同団体のWebサイトで「Python Software Foundation News: The EU's Proposed CRA Law May Have Unintended Consequences for the Python Ecosystem」を公開し、策定が進められているサイバーレジリエンス法および製造物責任法はオープンソースソフトウェアコミュニティーを縮小させ、健全性を損なう可能性があると指摘した。提案されているポリシーが過度に広範囲であり、責任を懸念した開発者が萎縮するとしている。

　PSFは特に、以下のサイバーレジリエンス法案の第16条が対象を広範囲にしすぎていると指摘している。

A natural or legal person, other than the manufacturer, the importer or the distributor, that carries out a substantial modification of the product with digital elements shall be considered a manufacturer for the purposes of this Regulation.（デジタル要素を使用して製品の大幅な変更を行う製造業者や輸入業者、販売業者以外の自然人または法人は、この規則の目的のために製造業者と見なされるものとする）

　また、以下の文言に関しても具体性が不十分で、オープンソースソフトウェア向けのソースコードホスティングサービスが影響を受けると警鐘を鳴らしている。

...by providing a software platform through which the manufacturer monetises other services（メーカーが他のサービスを収益化するためのソフトウェアプラットフォームを提供することによって…）

　PSFは保証と説明責任が明確になることを希望するともに、「PyPI」（Python Package Index）のようなパブリックリポジトリおよびそのユーザーが免除の対象になることを望んでいる。