このブログは Navigating Global Regulations and Open Source: US OFAC Sanctions の参考訳です
オープンソースは、ソフトウェアサプライチェーンおよび生産システムの基本的な部分を担っています。そのため、複雑な世界に対処するための新しい方法を必要とする成熟段階に達しています。Linux Foundationは、オープンソースソフトウェアおよびオープンスタンダード関連の活動におけるオープンコラボレーションを促進および保護することを常に推進してきました。世界中の最も優れた技術者がオープンコモンズに貢献できるようにするというモデルは、過去数十年にわたって繰り返しその価値を証明してきました。このコモンズを保護することは不可欠であり、Linux Foundationが今後も擁護し続けるものです。
しかし、サイバーセキュリティリスクの増大と規制遵守は、それに対応を迫られるオープンソースコミュニティの負担となっています。EUのサイバーレジリエンス法などの新しい規制があり、私たちとオープンソースエコシステムの他のメンバーは、問題と懸念事項について規制当局に説明し、オープンソースの明示的な免除を規定するために多大なエネルギーを費やしました。制裁規制は、現代の日常生活、社会システム、ビジネスの基盤となるオープンコラボレーションを免除することを想定していない、非常に古い規制であることがよくあります。Linux Foundationは、オープンソースとグローバルコラボレーションに取り組んでおり、Linux Foundation とコミュニティメンバーが活動する場所の法律や規制を遵守しながら、責任を持ってこれを行っています。私たち全員が協力する法的枠組みを理解することは、グローバルコラボレーションを維持するために不可欠です。
これらの分野の1つは、多くの国が制定している貿易および制裁規制です。これらの貿易および制裁規制の多くは数十年前 に制定されましたが、最近ではテクノロジー プロバイダーを標的にするために使用されています。世界中で制裁プログラムが実施されていますが、多くの開発者は、米国のOFAC(財務省外国資産管理室)制裁などの法律や規制に注意する必要があります。OFAC制裁プログラムとオープンソースに関連する問題はあまり一般的ではありませんが、認識しておくことが重要です。これらの制裁は、特定の国、事業体、および個人とのやり取り(または彼らの言葉では「取引」)を規制します。
OFAC制裁の問題は、オープンソースコミュニティでは一般的に見られる、または理解されているものではありません。それらは、特定の事業体、個人、国、または地域のリストを対象としています。歴史的に、これらのターゲットはオープンソースコミュニティに関与していませんでした。米国および国際的な制裁がロシアに拠点を置くテクノロジー企業を対象としているため、この問題が、そのような制裁の対象となる事業体からの参加がある特定のオープンソースコミュニティで話題になっています。
OFAC制裁規則は「厳格責任」です。つまり、制裁について知っているかどうかに関係なく、これらの規則に違反すると重大な罰則が科せられる可能性があるため、オープンソースの作業にどのように影響するかを理解することが重要です。多くのOFAC制裁制限は、一般的に、ソフトウェアまたはテクノロジーが公開されているかいなか(ただし、米国の輸出管理は一般的にそうではありません)を気にせず、通常は輸出管理規則(EAR)とは完全に分離および独立しています。LFは過去にガイダンスを公開しています(*1)。制裁プログラムのOFAC SDNリストは、輸出管理のBISのエンティティリストとは大きく異なることに注意することが重要です。BISのエンティティリストにあるエンティティは、OFACによってSDNリストにも追加されない限り、OFAC制裁の影響を受けません。輸出管理と貿易制裁を見ると、それらは別々のプログラムであり、輸出と貿易制裁の影響が大きく異なるため、各リストを評価する必要があります。
(*1)参考資料 日本語版 : オープンソース技術と米国の輸出規制について(2020年7月発行) 最新版は英語の資料をご覧ください
以下の情報は、発生する可能性のある問題と現在のコンプライアンス義務に対する認識を高めるために共有されています。このガイドは法的アドバイスを提供することを意図したものではなく、問題が発生した場合、または質問がある場合は、弁護士にアドバイスを求めることをお勧めします。この記事で提起されているポイントは、米国の制裁法を遵守する必要がある開発者、または米国の制裁法を遵守する必要がある他の開発者と協力したい開発者を対象としています。米国外でオープンソースで活動している開発者と企業は、どの制裁法が自分自身とプロジェクトコミュニティに適用可能で関連性があるかを判断する必要があります。このような決定には、弁護士または雇用主の法務チームに相談する必要がある可能性があります。
OFAC制裁とは?
OFAC制裁は、特定の国、事業体、および個人(「制裁対象」)との取引を制限または禁止する米国政府の規制です。これらの規則は通常、経済緊急事態、外交政策、および国家安全保障の目標を達成するために制定されます。それらは、金融取引だけでなく、オープンソースコミュニティスペースを含む、制裁対象とのほぼすべてのやり取りに適用されます。
開発者にとって、これは、誰と対話し、貢献がどこから来るのかに注意する必要があることを意味します。OFAC制裁は、特定の国、地域、および個人または組織を対象とする可能性があり、多くの個人および組織は、特別指定国民およびブロックされた人物(「SDN」)リストに記載されています。OFACは、世界の状況の変化に応じて名前を追加または削除し、このリストを定期的に更新します。OFAC制裁は、所有されている事業体がSDNリストに表示されているかどうかに関係なく、1人または複数のSDN個人または事業体によって直接または間接的に50%以上所有されているすべての事業体にも適用されます。OFACが制裁を課した政府が所有または管理している事業体など、一部の事業体は制裁の対象となる場合がありますが、SDNリストには含まれていません。さらに、包括的に制裁を受けている政府、地域、国もSDNリストには含まれていません。
これらの制裁に違反すると、多額の民事罰や刑事罰など、深刻な結果を招く可能性があります。一般的に、米国市民または米国を拠点とする組織である場合、または禁止されている取引に米国原産の商品、サービス、または米ドルを扱う場合は、世界のどこにいてもこれらの規則を遵守する必要があります。
その他の国際制裁プログラム
米国のOFAC制裁は、米国の制裁プログラムのみを反映しています。欧州連合、英国、日本、オーストラリア、スイス、中国など、他の多くの国でも同様の制裁プログラムが実施されています。この記事では特に米国の制裁について説明していますが、世界の他の場所にいる場合は、居住国で同様の制裁が実施されている可能性があることに注意してください。
オープンソースコミュニティが国際的な制裁プログラムとは独立して運営できないのは残念ですが、これらの制裁は各国の法律であり、オプションではありません。多くの開発者は、空き時間に、または楽しみのためにオープンソースプロジェクトに取り組んでいます。米国および国際的な制裁に対処することは、ほとんど(もしくはすべての)オープンソース開発者が想定していたことのリストには含まれていませんでした。早晩に、関連当局がオープンソースおよび標準の活動が抑制されずに継続できることを明確にすることを願っています。しかし、それまでは、企業による開発者への直接的/間接的な支援と、企業体に対する制裁の交差により、潜在的なリスクを無視できない状況に陥ります。
開発者が知っておくべきこと
厳格責任に加えて、OFAC制裁には、米国の輸出管理規制がほぼすべての輸出管理対象取引に対して一般的に行っているように、「公に入手可能な」テクノロジーを含むすべての取引に対する包括的な免除が常に存在するわけではありません。
これらの制裁プログラムの基本を理解することが重要です。OFACの禁止されている取引には、多くの場合、次のものが含まれます :
- 金融投資と取引(例:サービスの支払い)
- 商品、技術、またはサービスの貿易(輸出入)
- その他のすべての財産取引(知的財産および契約を含む)
OFAC制裁は、サービスの禁止された提供と解釈される可能性のある、提案されたソフトウェアの変更に関する双方向のコラボレーションなど、一般的なコミュニティの行動に影響を与える可能性があります。開発者が、SDN、またはSDNによって直接または間接的に50%以上所有されているエンティティによって(直接または間接的に)雇用されている開発者にサービスを提供することは問題とされます。
開発者のための重要なポイント
OFACが、米国の制裁がオープンソースまたは標準関連の活動に適用されるかどうか、およびどのように適用されるかについての明確なガイダンスをまだ発行していないため、オープンソースソフトウェアまたは標準関連の活動に対する禁止と免除の両方を含む米国の制裁の適用は、100%明確に定義されていません。したがって、これらの制裁プログラムをオープンソースに適用することは、多くの場合、解釈と、制裁が以前に同様の状況でどのように適用されてきたかを見ることに依存します。問題が発生した場合、または質問がある場合は、すぐに弁護士に相談する必要があります。以下に提供される情報は、オープンソースプロジェクトコミュニティに役立つ可能性のある免除を含め、注意すべき一般的な問題を他の人が理解するのに役立つことを目的としています。
1. OFACのSDN「リスト」だけでは不十分
OFACはSDNリストを公開し、OFAC SDNリスト検索ツールも提供しています。検索ツールを使用すると、組織がOFAC SDNリストに含まれているかどうかを確認できます。OFAC SDNエンティティは、「リスト」列の下に「SDN」と表示されます。このツールは、このブログで概説されている禁止されている「取引」の影響を受けない他の「非SDNリスト」も検索し、すべての検索ヒットが必ずしもOFAC SDNリストに対応するとは限らないことに注意してください。
OFAC SDNリストと検索ツールも網羅的ではなく、分析はこのリストだけに頼ることはできません。まず、エンティティが1つ以上のSDNによって直接または間接的に50%以上所有されている場合の50%ルールがあります。そのためには、エンティティを所有している人、および(多くの場合)そのエンティティを所有している人を、すべての所有者が特定されるまで特定する必要があります。次に、一部の制裁は、国全体(例:イラン)、地域(例:ウクライナのクリミア地域)、または政府(例:ベネズエラ政府)に適用され、これらの国、地域、および政府はSDNリストに記載されていません。さらに、SDNリストは常に変更されています。個人またはエンティティが今日SDNリストに載っていないからといって、彼らまたはその所有者が明日追加されないという意味ではありません。数週間で、OFACは数百人の個人またはエンティティをリストに追加する場合があります。最後に、個人またはエンティティが米国のOFAC制裁の対象となっていないからといって、別の国がその個人またはエンティティに制裁を課していないという意味ではありません。オープンソースはグローバルであることを忘れないでください。プロジェクトの開発者がどこにいるかによっては、他の制裁プログラムが適用される場合があります。
2. 情報免除
ほとんどのOFAC制裁には、「情報資料」の輸入と輸出に対する免除が含まれています。オープンソースコードは、OFACによって一般的に「情報資料」と見なされているようであり、したがって、SDNを介したソースコードの片道受信は、OFAC制裁の免除対象となります。ただし、これはSDNによって送信された既存のコードにのみ適用され、SDNで作業している開発者に新しいコードの作成またはコードの変更を要求した場合には適用されません。簡単な例として、SDNがメモリバグを特定し、その問題を修正するための未承諾のパッチを送信した場合、このパッチを受信した開発者は、技術的なメリットに基づいてパッチを評価し、必要に応じて変更を加え、パッチをリポジトリに適用できるはずです。パッチを送信するSDNの開発者は、パッチが適用されているのを確認しますが、パッチ、技術的なメリット、またはパッチを改善する方法について話し合う双方向のコミュニケーションに関与してはいけません。ソースコード自体は情報資料ですが、懸念されるのは、開発者がSDNにサービスを提供することに関与していることです。
3. 双方向のエンゲージメントを避ける
制裁対象地域からの貢献者からの未承諾のパッチを確認することは一般的に問題ありませんが、問題をよりよく理解し、問題を診断し、パッチの改善またはコードの変更を支援するために積極的に関与すると、おそらく一線を越えることになります。貢献者が制裁対象のエンティティまたは地域にリンクされている場合は、一般的に、コミュニケーションを厳密に一方向に保つのが最善です。パッチを受信し、改善してアップストリームに送信する場合は問題ありませんが、SDN開発者と通信してやり取りすることはおそらくそうではありません。
4. SDNを有効にする貢献を避ける
オープンソースプロジェクトの一般的な問題を修正する未承諾のパッチを受け入れることは問題ありません。ただし、変更が制限された当事者の製品またはサービスに直接利益をもたらす場合は、問題になる可能性があります。たとえば、AcmeSDN(およびAcmeSDNはOFAC制裁の対象となるSDN)の開発者が、AcmeSDNプロセッサがソフトウェアで動作できるようにするドライバーを提供する場合、その貢献はおそらく問題になるでしょう。ソースコードだけでなく、これらの未承諾のパッチの影響についても慎重に考えてください。
5. 間接的な貢献を避ける
制裁対象者は、第三者や「個人」として活動する開発者を介して間接的に貢献を試みる可能性があります。開発者は、他の貢献者の所属を理解し、懸念事項があればコミュニティや法律顧問に相談する必要があります。例えば、前述の例で、AcmeSDNが制裁対象外の国の開発者に報酬を支払い、AcmeSDNのプロセッサを有効にするドライバの貢献を行わせたとします。これは依然として問題となる可能性があります。よくあるパターンとして、SDNの開発者からの貢献がブロックされた後、非常に類似した(または同じ)パッチが別のアカウントまたはメールアドレスからプロジェクトに提出されることがあります。匿名のメールアカウントである可能性もあります。貢献者が難読化されたとしても、状況の評価は変わりません。
6. SDNとのContributor License Agreement(CLA)の回避
多くのオープンソースプロジェクトではCLAが必要となりますが、これはOFAC制裁対象エンティティからの貢献者を排除することになります。OFACの制裁は、知的財産権の取引、特に知的財産権に関するいかなる合意またはSDNとのその他の契約を禁止しています。オープンソースプロジェクトでCLAが必要な場合は、CLAの検証プロセスにSDNリストに対するコンプライアンスチェックが含まれていることを確認してください。
結論
オープンソースコミュニティはコラボレーションの上に成り立っていますが、制裁プログラムの遵守は、知らず知らずのうちに法律に違反する可能性のある開発者にとって任意ではありません。不明確な状況に遭遇した場合は、コンプライアンスの問題を回避するために、早めに法的アドバイスを求めてください。Linux Foundationの目標は、開発者がこれらの複雑な問題を乗り越えられるよう支援することです。これにより、開発者は法的問題に悩まされることなく、優れたソフトウェアの構築に集中できます。もしあなたが LFが運営するプロジェクトのメンテナであれば、LFのコンタクト先(もしくはlegal@linuxfoundation.org) に連絡して、私たちのアプローチに関する質問や、プロジェクトに提供できるサポートについてお問い合わせください。常に注意を払い、積極的に行動することで、グローバルな規制を尊重しながら、自信を持ってオープンソースに貢献できます。
冒頭で述べたように、Linux Foundationの立場は、オープンソースとオープンスタンダードが世界で最も包括的なコラボレーションイノベーションモデルであるというものです。私たちは、開発者が一方では制裁プログラムと規制を理解し、同時に、いつ専門家に助けを求めるべきかを理解することを願っています。過剰反応せず、オープンソースコミュニティが問題が発生した場合に情報に基づいた行動をとるようにすることが重要です。国籍、居住国、政治体制、文化的信念、イデオロギーに関係なく、世界中の大多数の開発者にとって、オープンソースコミュニティはこれまでと同様に、依然として最もオープンなコラボレーションエコシステムです。オープンソースでは、コミュニティは誰かの参加を排除または制限することに慣れていません。貿易および制裁規制が、オープンソースの中立性と平等性に対する多くの人々の解釈に異なる光を当てる可能性があることは理解できます。また、米国および世界中の制裁プログラムの制定者が、将来的にオープンソースの協力に対する明確な免除を設けることを願っています。
