12月1日の投稿でご紹介したLF Japan Community Days 2025 in大阪の1日目にて、LF Japanエバンジェリストとして基調講演のひとつを担当させていただき、主にOpenChainの活動に関して発表しました。
OpenChain Projectについて
OpenChainのことを説明するのは実はちょっと難しいのです。というのも、「OpenChain」はコミュニティの名前でもあり、コミュニティが提唱する仕様の名前でもあるからです。ここでは区別のため、前者を「OpenChainコミュニティ」、後者を「OpenChain仕様」と表記します。
OpenChainコミュニティは、The Linux Foundation傘下のコミュニティのひとつで、OSSコンプライアンスの推進を通じてサプライチェーンにおける信頼関係をめざすプロジェクトです。サプライチェーンを構成する各企業において、OSSコンプライアンスのための適切なプロセスが実行されており、それを客観的に評価することができれば、各社の成果物を相互に信頼することができます。その結果、受領側での検査のやり直しやドキュメントの再作成などの重複作業が不要になります。まさにBuilding Trust in the Supply Chainです。
ここでいう「適切なプロセス」を標準化したものが、「OpenChain仕様」です。納入側においても、実績のあるOpenChain仕様に準拠したプロセスを実施すれば良く、各納入先に合わせた個別対応が不要になります。
我々OpenChainコミュニティでは、このOpenChain仕様の策定・適用推進、OpenChain仕様への適合を認証し宣言するための仕組み、仕様への適合のために各組織で利用可能な教育資料の策定などをおこなっています。
OpenChain Japanの活動
OpenChain Japan Work Groupは、日本企業同士の連携を目的として設立されたリージョナルコミュニティのひとつです。ベストプラクティスの共有や共通課題の解決を目的として、2017年にソニー・日立・トヨタの3社による声がけで始まりました。国内80社/200名以上が参加している非常にアクティブなコミュニティで、国別Work Groupのモデルケースとなっています。
最近のOpenChain Japanの活動では、サブワーキンググループに分かれた活動が主体となっています。各サブワーキンググループでは月1回~2回のオンラインミーティングを通じてさまざまな議論をおこない(毎週ミーティングをおこなっているチームもあります!)、成果物を作成・共有しています。
| サブグループ名 | 主な活動 |
|---|---|
| Planning | Japan WG全体の活動プランの議論と、全体会合の準備を検討 |
| サプライチェーンリーフレット(Leaflet) | 「オープンソースソフトウェアライセンス遵守に関する一般公衆ガイド」を作成、公開した(現在活動休止中) |
| 教育資料(Education) | ソフトウェア開発者向け教育資料(コンプライアンスプログラム・バージョン)を作成した。今後、ソフトウェア開発ベンダー(ODM:Original Design Manufacturing)向けの教育資料を作成予定 |
| SBOM | 組織間のライセンス情報授受に関してのガイドラインやSPDX Lite 仕様の策定に貢献。現在は、SBOMなど、組織間のライセンス情報・ソフトウェアパッケージ情報の授受に関するガイドラインやSPDXへの仕様提案などを、動向を調査とあわせて実施 |
| プロモーション(Promotion) | OSSコンプライアンスやOSSそのものの重要性の認知を拡大するための資料の作成やメディア・政府・産業界・学術界などと連携した啓発活動など |
| Automation | 管理運用のためのOSSを利用して、Open Source Compliance において以下の項目の実現をめざす |
| OSPO | OSS推進に必要となる役割の明確化と実践方法の提案を検討/TODO GroupとJapan OSPO Local Meetupとして共催 |
また、OpenChain Japanでは、OpenChain Japan Community Dayとして、定期的なAll Member Meetingを開催しています。2025年は2回開催しました(vol.33 @トヨタ自動車、vol.34 @三菱電機)。
OpenChain仕様について
OpenChain仕様は、企業が組織内に確立すべきコンプライアンスプログラム(仕組み・体制等)の要件を纏めたものです。OpenChain仕様はISO/IEC 5230:2020として2020年に国際標準化されました。兄弟規格として、セキュリティアシュアランスプログラムのための仕様も策定されており、こちらはISO/IEC 18974:2023として標準化されています。
OpenChainでは、仕様に適合していることを宣言する仕組みを提供しています。2025年12月現在、OpenChain仕様への適合を宣言している企業はこちらのとおりです。
OpenChain仕様は、必要最小限の要件であるため、内容は非常にシンプルです。下記に、仕様の構成と簡単な説明を記します(筆者の理解です)。
OpenChain仕様は、内容がシンプルであるが故に、「どこまでできていたらOKなのか」の判断が難しい場合もありますが、そのような場合は第三者認証という手段も用意されています。OpenChainのPartnerとして認定されている企業に支援を相談してみることが可能です。
