欧州のサイバーレジリエンス法案にPythonエコシステムが懸念発表
欧州の「サイバーレジリエンス法案」がオープンソースソフトウェア業界に影響を与えると指摘されている。「Python Software Foundation」が公開した懸念とは。
欧州委員会は欧州で販売されるデジタル製品のセキュリティを強化する目的で「サイバーレジリエンス法案」の策定を進めており、オープンソースソフトウェア業界はこの法案に影響を受ける可能性がある。
「Python Software Foundation」の懸念 その内容は?
デジタル製品におけるセキュリティが強化されることは消費者にとって好ましいことだ。欧州委員会は2022年9月、こうした動きを支援するサイバーレジリエンス法案を公表した。対象はハードウェアとソフトウェアで、技術適合要件は現在日本や米国で適用されているものよりも厳しいとされる。
サイバーレジリエンス法案は欧州で製品販売を行う日系メーカーにも影響を与えるとされ、要件に違反した場合の罰則はかなり厳しくなると予測される。この懸念はオープンソースソフトウェア業界にもやってきている。
現在のソフトウェア開発は、オープンソースソフトウェアなしには成り立たない。さまざまなソフトウェアやライブラリ、コンポーネント、フレームワークがオープンソースソフトウェアとして公開されており、企業はこうしたソフトウェアを利用して自社製品を開発している。ソフトウェアをゼロから作ることは現実的な方法ではなくなっており、既存のオープンソースソフトウェアを活用することが主流だ。
しかし、サイバーレジリエンス法案はこうしたオープンソースソフトウェアに対しても責任を求めるとされており、幾つかのオープンソースソフトウェア関連団体が懸念を表明している。
「Python Software Foundation」(PSF)は2023年4月11日(現地時間)、同団体のWebサイトで「Python Software Foundation News: The EU's Proposed CRA Law May Have Unintended Consequences for the Python Ecosystem」を公開し、策定が進められているサイバーレジリエンス法および製造物責任法はオープンソースソフトウェアコミュニティーを縮小させ、健全性を損なう可能性があると指摘した。提案されているポリシーが過度に広範囲であり、責任を懸念した開発者が萎縮するとしている。
PSFは特に、以下のサイバーレジリエンス法案の第16条が対象を広範囲にしすぎていると指摘している。
A natural or legal person, other than the manufacturer, the importer or the distributor, that carries out a substantial modification of the product with digital elements shall be considered a manufacturer for the purposes of this Regulation.(デジタル要素を使用して製品の大幅な変更を行う製造業者や輸入業者、販売業者以外の自然人または法人は、この規則の目的のために製造業者と見なされるものとする)
また、以下の文言に関しても具体性が不十分で、オープンソースソフトウェア向けのソースコードホスティングサービスが影響を受けると警鐘を鳴らしている。
...by providing a software platform through which the manufacturer monetises other services(メーカーが他のサービスを収益化するためのソフトウェアプラットフォームを提供することによって…)
PSFは保証と説明責任が明確になることを希望するともに、「PyPI」(Python Package Index)のようなパブリックリポジトリおよびそのユーザーが免除の対象になることを望んでいる。
関連記事
- 「取引先から届いたそのメール、“なりすまし”かも」 IPAがビジネスメール詐欺事例を紹介
情報処理推進機構がビジネスメール詐欺の事例を公開した。事例の中には気付かずに偽口座に送金してしまったケースもあれば、「あること」を実施したことで被害を未然に防いだケースもある。何が「分かれ道」になったのか。 - NEC、AIガバナンスの強化と人権尊重を目指し新たな体制と規定を整備
NECは、人権尊重を目指し経産省のガイドラインや国内外の法令に基づくAIガバナンスの全社規定の整備を発表した。アジャイルにガバナンスの枠組みを対応させ、柔軟な改善、更新を続ける体制を確立する。 - Microsoft 365 Defenderに攻撃を自動中断する新機能 ビジネスメール詐欺に対処
Microsoftは「Microsoft 365 Defender」にビジネスメール詐欺キャンペーンを自動中断する新機能を導入した。当面はパブリックプレビュー版として提供される見通しだ。 - IPA、日本企業をだましたビジネスメール詐欺事例を公開 休み前に従業員への周知を
IPAは日本企業が被害に遭ったビジネスメール詐欺事例を紹介した。どのような手口で実際に日本の担当者をだましたのかを詳細に解説している。従業員に周知するなどして対策に努めてほしい。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.