Linux Foundation オープンソース コミュニティ (KAIYUANSHE)

【導入】

多くの読者は原文をわかりにくいと感じるかもしれないので、ここでは平易な言葉を使って、中国のオープンソース開発者がオープンソース プロジェクトに安全に貢献できる方法について要点を簡潔に説明しようと思う。

1.明確なコンプライアンス記録を持つプラットフォームとプロジェクトを優先します。

• 例えば、HuaweiのOpenHarmonyはOpenAtom Foundationに寄贈されており、そのコードは中国のプラットフォームGiteeでホストされています。コミュニティガバナンスは、法的リスクを軽減するために、厳格なオープンソースコンプライアンス標準（コード導入レビュー、ライセンスステートメントなど）に従っています。
• コードを投稿する前に、プロジェクトのコンプライアンス ドキュメント (OpenHarmony の「オープン ソース コンプライアンス ネガティブ イベント対応戦略」など) を確認して、コードに制裁対象組織の技術や特許が含まれていないことを確認してください。

2.機密性の高い技術分野への関与を避ける。

• プロジェクトが「人工知能チップの設計や軍事関連技術」など、米国が重要に管理する分野に関係している場合は、「二次制裁」を誘発する可能性があるため（米国とのつながりがない場合でも）特別な注意が必要です。

3.コード内の潜在的なリスクを慎重に処理します。

• コードがサードパーティのオープンソース コンポーネントに依存している場合は、そのライセンスに米国の輸出管理制限 (特定の暗号化アルゴリズム ライブラリなど) が含まれているかどうかを確認する必要があります。
• 制裁対象国のデータやテクノロジーをコードに埋め込むことは避けてください (ロシア向けのカスタム モジュールなど)。

4. 予防

• 開発ツール: 「米国の接続ポイント」を減らすために、国内または米国以外のプラットフォーム (GitHub の代わりに Gitee など) の使用を検討してください。
• コード コンテンツ: 提供されたコードに、米国特許または関連する SDN リストに記載されている組織によって保護されているテクノロジが含まれていないことを確認します。
• パートナー: 制裁対象地域の開発者にコードを送信したり、ディスカッションに参加したりしないでください。
• コンプライアンス条項: エンタープライズ レベルのオープン ソース コラボレーションに参加する場合、契約には「OFAC 制裁への準拠」の条項を明記し、コラボレーション パーティにコンプライアンス証明の提供を求める必要があります。

—Liu Tiandong、オープンソースソサエティの共同創設者、2024年理事、ASFメンバー

オープンソースは、ソフトウェアのサプライチェーンと生産システムの基盤です。そのため、複雑な世界に対応するための新たな方法が必要となる成熟段階に達しています。Linux Foundationは、オープンソースソフトウェアおよびオープンスタンダード関連の活動におけるオープンなコラボレーションの促進と保護に常に尽力してきました。世界中の優秀な技術者がオープンコモンズに貢献できるモデルは、過去数十年にわたりその価値を繰り返し証明してきました。このコモンズの保護は不可欠であり、Linux Foundationは今後もそれを守り続けます。

オープンソースは、ソフトウェアのサプライチェーンと生産システムの基盤となる要素です。そのため、オープンソースは相当な成熟段階に達しており、世界の複雑な状況に対処するための新たなアプローチが求められています。Linux Foundationは、オープンソースソフトウェアおよびオープンスタンダード関連の活動において、オープンなコラボレーションを一貫して推進し、保護してきました。過去数十年にわたり、世界中の優秀な技術者がオープンな公共資源に貢献できるモデルの価値が繰り返し実証されてきました。これらの公共資源の保護は極めて重要であり、Linux Foundationは今後もその保護に尽力していきます。

しかし、サイバーセキュリティリスクの増大と規制遵守は、オープンソースコミュニティにとって対応が求められる負担となっています。EUのサイバーレジリエンス法など、新たな規制もあり、私たちをはじめとするオープンソースエコシステムの関係者は、規制当局に対し、これらの問題や懸念事項について啓蒙活動を行い、オープンソースに明確な例外を設けることに多大な労力を費やしてきました。制裁措置に関する規制は往々にして非常に古く、現代の日常生活、社会システム、そしてビジネスを支えるオープンなコラボレーションに対する例外規定を全く考慮していません。Linux Foundationは、オープンソースとグローバルなコラボレーションに尽力しており、財団とコミュニティメンバーが活動する地域の法令を遵守しながら、責任を持ってこれを行っています。私たち全員が協力する法的枠組みを理解することは、グローバルなコラボレーションを維持するために不可欠です。

しかし、サイバーセキュリティリスクの増大と規制遵守は、オープンソースコミュニティに大きな負担をかけています。EUのサイバーレジリエンス法など、新たな規制も登場しており、私たちはオープンソースエコシステムに関わる他の組織と共に、これらの課題や懸念事項について規制当局への啓蒙活動を行い、オープンソースに明確な例外を認めることに多大な労力を費やしてきました。制裁措置に関する規制は往々にして非常に古く、現代の日常生活、社会制度、そしてビジネスを支えるオープンコラボレーションに対する例外措置は考慮されていません。Linux Foundationはオープンソースとグローバルコラボレーションに尽力しており、Foundationとコミュニティメンバーが活動する地域の法律と規制を遵守しながら、責任を持ってこれを行っています。私たちの共同コラボレーションのための法的枠組みを理解することは、グローバルパートナーシップを維持するために不可欠です。

こうした分野の一つは、多くの国が制定している貿易および制裁規制です。これらの貿易および制裁規制の多くは数十年前に制定されましたが、近年ではテクノロジープロバイダーを標的にするために利用されています。世界中で制裁プログラムが実施されていますが、多くの開発者は米国OFAC（外国資産管理局）の制裁のような法律や規制に留意する必要があります。OFACの制裁プログラムとオープンソースに関する問題はそれほど一般的ではありませんが、認識しておくことが重要です。これらの制裁は、特定の国、団体、個人との交流（いわゆる「取引」）を規制するものです。

これらの国々の多くは、貿易および制裁に関する規制を制定しています。これらの規制の多くは数十年前に制定されたもので、近年ではテクノロジープロバイダーを標的とするために利用されています。制裁プログラムは世界的に存在していますが、開発者は米国外国資産管理局（OFAC）が課すものと同様の法律や規制に注意する必要があります。OFACの制裁プログラムは通常、オープンソースには適用されませんが、これらの問題に注意を払うことは非常に重要です。これらの制裁は、特定の国、団体、個人との交流（いわゆる「取引」）を規制しています。

OFAC制裁の問題は、オープンソースコミュニティではあまり認識されておらず、理解もされていません。制裁対象は特定の団体、個人、国、または地域です。歴史的に、これらの対象はオープンソースコミュニティとは関わりがありませんでした。米国および国際的な制裁がロシアに拠点を置くテクノロジー企業を標的としているため、この問題は、制裁対象となった団体が参加する特定のオープンソースコミュニティで話題となっています。

OFACによる制裁はオープンソースコミュニティでは一般的ではなく、コミュニティはこうした問題にほとんど気づいていません。OFACによる制裁は、特定の団体、個人、国、または地域を対象としています。歴史的に、これらのOFAC制裁対象団体はオープンソースコミュニティには関与していませんでした。しかし、米国および国際的な制裁措置がロシアに拠点を置くテクノロジー企業を標的としていることから、この問題は、制裁対象団体が関与するオープンソースコミュニティ内で議論の的となっています。

OFACの制裁規定は「厳格責任」であり、その規定を知っているかどうかは関係ありません。これらの規定に違反すると重大な罰則が科せられる可能性があるため、オープンソース活動にどのような影響があるかを理解することが重要です。OFACの制裁制限の多くは、ソフトウェアや技術が公開されているかどうかは関係ありません（ただし、米国の輸出規制は一般的に関係します）。また、 LFが過去にガイダンスを公開している輸出管理規則（EAR） [1]とは完全に別個かつ独立しています。制裁プログラムのためのOFAC SDNリストは、輸出管理のためのBISエンティティリストとは大きく異なることに注意することが重要です。BISのエンティティリストに掲載されているエンティティは、OFACによってSDNリストにも追加されない限り、OFACの制裁の影響を受けません。

OFAC の制裁規則は「厳格に拘束力がある」ため、知っているかどうかは関係ありません。違反すると厳しい罰則が科せられる可能性があるため、オープンソースの作業にどのような影響を与えるかを理解することが重要です。OFAC の制裁制限の多くは、ソフトウェアや技術が公開されているかどうかとは関係ありません (ただし、米国の輸出規制は通常公開されています)。また、Linux Foundation が過去にガイダンスを発行している輸出管理規則 (EAR) とは通常完全に独立しています [2] 。制裁プログラムの OFAC SDN リストは、BIS の輸出管理エンティティ リストとは大きく異なることに注意することが重要です。BIS エンティティ リストに掲載されているエンティティは、OFAC が SDN リストにも追加しない限り、OFAC の制裁の影響を受けません。輸出規制と貿易制裁はそれぞれ異なる効果を持つ別のプログラムであるため、各リストを個別に評価する必要があります。

以下の情報は、発生する可能性のある問題と現在のコンプライアンス義務についての認識を高めるために提供されています。このガイドは法的助言を提供することを目的としたものではありません。問題が発生した場合やご質問がある場合は、弁護士にご相談ください。この記事で取り上げている点は、米国の制裁法に従う必要がある開発者、または米国の制裁法に従う必要がある他者と協力したい開発者を対象としています。米国外でオープンソース活動を行う開発者や企業は、自身およびプロジェクトコミュニティに適用される制裁法と関連する制裁法を判断する必要があります。このような判断には、弁護士または勤務先の法務チームへの相談が必要になる可能性があります。

以下の情報は、潜在的な問題と現在のコンプライアンス義務に関する認識を高めることを目的としています。このガイドは法的助言を提供することを目的としたものではありません。問題が発生した場合やご質問がある場合は、法律顧問にご相談ください。この記事で紹介する重要なポイントは、米国の制裁法を遵守する必要がある開発者、または米国の制裁法を遵守する必要がある他者と協業したいと考えている開発者を対象としています。米国外でオープンソースを運営する開発者や企業は、自身およびプロジェクトコミュニティに適用される制裁法を判断する必要があります。その判断には、法律顧問または勤務先の法務チームへの相談が必要になる場合があります。

OFAC制裁は、特定の国、団体、個人（以下「制裁対象」）との取引を制限または禁止する米国政府の規制[3]です。これらの規則は通常、経済危機、外交政策、国家安全保障上の目標を達成するために制定されます。これらの規則は金融取引だけでなく、オープンソースコミュニティにおける取引も含め、制裁対象とのほぼすべてのやり取りに適用されます。

OFAC制裁は、特定の国、団体、個人（「制裁対象」）との取引を制限または禁止することを目的とした米国政府の規制[4]です。これらの規則は通常、経済危機、外交政策、国家安全保障上の目的に対処するために策定されます。金融取引だけでなく、オープンソースコミュニティ内の取引を含む、制裁対象との事実上あらゆるやり取りに適用されます。

開発者にとって、これは、誰と交流し、どこから貢献しているのかについて注意する必要があることを意味します。OFAC の制裁は特定の国、地域、個人または組織を対象とすることがあり、多くの個人および組織は特別指定国民および資産凍結者 (SDN) リストに掲載されています。OFAC はこのリストを定期的に更新し、世界情勢の変化に応じて名前を追加または削除しています。OFAC の制裁は、所有されている事業体が SDN リストに掲載されているかどうかに関係なく、1 人以上の SDN 個人または事業体によって直接的または間接的に 50% 以上所有されているすべての事業体にも適用されます。OFAC の制裁を受けている政府によって所有または管理されている事業体など、一部の事業体も制裁を受ける可能性がありますが、SDN リストには掲載されていません。さらに、包括的に制裁されている少数の政府、地域、国も SDN リストには掲載されていません。

開発者にとって、これは、やり取りする相手やコードの貢献元について注意することを意味します。OFAC の制裁は特定の国、地域、個人または組織を対象とすることがあり、多くの個人と組織が特別指定国民および資産凍結者 (SDN) リストに掲載されています。OFAC はこのリストを定期的に更新し、世界情勢の変化に基づいてエンティティを追加または削除しています。OFAC の制裁は、所有されているエンティティが SDN リストに掲載されているかどうかに関係なく、1 人以上の SDN 個人またはエンティティによって直接的または間接的に 50% 以上所有されているすべてのエンティティにも適用されます。SDN リストに掲載されていない特定のエンティティ (OFAC によって制裁されている政府によって所有または管理されているエンティティなど) も制裁の対象となる場合があります。さらに、包括的制裁の対象となる少数の政府、地域、国も SDN リストに掲載されていません。

これらの制裁措置に違反すると、多額の民事罰金や刑事罰を含む深刻な結果を招く可能性があります。一般的に、米国市民または米国に拠点を置く組織、あるいは禁止されている取引のために米国原産の商品、サービス、または米ドルを扱っている場合は、世界のどこにいてもこれらの規則に従う必要がある可能性があります。

これらの制裁措置に違反すると、高額な民事罰金や刑事罰を含む深刻な結果を招く可能性があります。一般的に、米国市民または米国組織の場合、あるいは禁止取引のために米国原産の商品、サービス、またはドルを取り扱う場合、世界のどこにいてもこれらの規則を遵守することが求められる場合があります。

米国OFACによる制裁は、米国の制裁プログラムのみを反映しています。欧州連合（EU）、英国、日本、オーストラリア、スイス、中国など、他の多くの国でも同様の制裁プログラムが実施されています。本記事は米国の制裁について具体的に取り上げていますが、世界の他の地域にお住まいの場合は、お住まいの国でも同様の制裁が実施されている可能性があることにご留意ください。

米国OFACによる制裁は、米国の制裁プログラムのみを反映しています。EU、英国、日本、オーストラリア、スイス、中国など、他の多くの国も同様の制裁プログラムを実施しています。この記事は米国の制裁に特化していますが、世界の他の地域にお住まいの場合、お住まいの国でも同様の制裁が実施されている可能性があることをご留意ください。

オープンソースコミュニティが国際的な制裁プログラムから独立して活動できないのは残念ですが、これらの制裁は各国の法律で定められており、選択の余地はありません。多くの開発者は、余暇や趣味でオープンソースプロジェクトに取り組んでいます。米国や国際的な制裁への対応は、オープンソース開発者のほとんど（あるいはほぼ全員が）が、自らが引き受けることになると想定していたリストにはおそらく含まれていなかったでしょう。関係当局が、オープンソースと標準化活動が滞りなく継続できることを、いずれ明確にしてくれることを願っています。しかし、それまでは、企業が開発者を直接的または間接的に支援する中で、企業に対する制裁が重なり合うことで、潜在的なリスクを無視できない状況に陥ります。

残念ながら、オープンソースコミュニティは国際的な制裁プログラムから独立して活動することはできません。これらのプログラムは各国の法律によって規制されており、参加は任意ではありません。多くの開発者は、余暇や興味本位でオープンソースプロジェクトに取り組んでいます。オープンソース開発者のほとんど（あるいはおそらく全員）は、単にオープンソースプロジェクトに登録して参加しているだけで、米国や国際的な制裁措置への対応は当然のことと考えています。関係当局がこの点を適時に明確にし、オープンソースおよび標準化活動が継続されることを願っています。しかし、それまでは、企業が開発者に直接的または間接的に資金提供していることから、企業に対する制裁の潜在的なリスクを無視することはできません。

厳格な責任に加えて、OFACの制裁は、米国の輸出管理規則が一般的にほぼすべての輸出管理対象取引に対して行っているように、「公開されている」技術を含むすべての取引に対して必ずしも包括的な免除を与えるわけではありません[5]。

OFAC制裁には、「厳格責任」に加えて、他の特徴もある。「公開されている」技術に関しては、米国の輸出管理規則は通常、ほぼすべての輸出管理取引に包括的な適用除外を設けている[6]が、OFAC制裁にはそのような適用除外は規定されていない。

これらの制裁プログラムの基本を理解することが重要です。OFACの禁止取引には、多くの場合、以下が含まれます。

これらの制裁プログラムの基本を理解することが重要です。OFACによって禁止されている取引には、通常、以下のようなものがあります。

• 金融投資および取引（例：サービスの支払い）

  金融投資および取引（サービス支払いなど）

• 商品、技術、またはサービスの貿易（輸入または輸出）

  商品、技術、またはサービスの貿易（輸入および輸出）

• その他の財産取引（知的財産および契約を含む）

  その他の財産権取引（知的財産権および契約を含む）

OFACの制裁は、ソフトウェア変更案に関する双方向の協力といった、コミュニティの一般的な行動に影響を与える可能性があります。これは、サービス提供の禁止と解釈される可能性があります。開発者が、SDN、またはSDNが直接または50%以上所有する事業体に（直接的または間接的に）雇用されている開発者にサービスを提供することは、問題となる可能性があります。

OFACの制裁は、コミュニティの根本的な行動に影響を与える可能性があります。例えば、ソフトウェアの変更提案に関する双方向のコラボレーションは、禁止されているサービス提供の一種と解釈される可能性があります。つまり、開発者がSDNに（直接的または間接的に）雇用されている開発者、またはSDNが直接的または間接的に50%以上を所有する事業体にサービスを提供することは、問題となる可能性があります。

米国の制裁措置（禁止事項と免除事項の両方を含む）のオープンソースソフトウェアまたは標準化関連活動への適用は、OFACが米国の制裁措置がオープンソースまたは標準化関連活動に適用されるか否か、またどのように適用されるかについて明確なガイダンスをまだ発行していないため、完全に明確に定義されていません。したがって、これらの制裁措置をオープンソースに適用するかどうかは、多くの場合、解釈と、同様の状況における過去の制裁措置の適用状況の調査に依存します。問題が発生した場合、またはご質問がある場合は、直ちに法律顧問にご相談ください。以下に記載されている情報は、オープンソースプロジェクトコミュニティに役立つ免除事項を含む、注意すべき一般的な事項について、皆様の理解を深めていただくことを目的としています。

OFACは、オープンソースまたは標準化関連の活動に米国の制裁が適用されるか否か、また適用される場合の方法について明確なガイダンスをまだ発行していないため、これらの活動への米国の制裁（禁止措置や適用除外を含む）の適用は100%明確に定義されていません。したがって、これらの制裁プログラムをオープンソースに適用するかどうかは、多くの場合、同様の環境で過去に制裁がどのように適用されたかの解釈と検討に依存します。問題が発生した場合やご質問がある場合は、直ちに法律顧問にご相談ください。以下に記載されている情報は、オープンソースプロジェクトコミュニティに役立つ適用除外を含む、注意が必要な一般的な問題について、皆様の理解を深めることを目的としています。

OFACはSDNリスト[7]を公開しており、OFAC SDNリスト検索ツール[8]も提供しています。この検索ツールを使用すると、ユーザーは組織がOFAC SDNリストに掲載されているかどうかを確認できます。OFAC SDNリストに掲載されている組織は、「リスト」列に「SDN」と表示されます。なお、このツールは、このブログで概説されている禁止「取引」の影響を受けない「非SDNリスト」も検索対象としており、検索結果が必ずしもOFAC SDNリストに該当するとは限りません。

OFACはSDNリスト[9]を公開しており、OFAC SDNリスト検索[10]を提供しています。この検索ツールを使用することで、ユーザーは組織がOFAC SDNリストに掲載されているかどうかを確認できます。OFAC SDNリストに掲載されている組織は、「リスト」列に「SDN」という単語が表示されます。なお、このツールは、本書で説明する「取引」の禁止事項の影響を受けない他の「非SDNリスト」も検索します。また、検索結果のすべてが必ずしもOFAC SDNリストに関連するとは限りません。

OFACのSDNリストと検索ツールも網羅的ではなく、いかなる分析もこのリストのみに依拠することはできません。まず、ある事業体が1つ以上のSDNによって直接的または間接的に50%以上所有されている場合、50%ルールが適用されます。このルールでは、事業体の所有者を特定し、さらに（多くの場合）すべての所有者が特定されるまで、その事業体の所有者も特定する必要があります。次に、一部の制裁は国全体（例：イラン）、地域全体（例：ウクライナのクリミア地域）、または政府全体（例：ベネズエラ政府）に適用されますが、これらの国、地域、政府はSDNリストに掲載されていません。さらに、SDNリストは常に変更されています。個人または事業体が今日SDNリストに掲載されていないからといって、明日その個人または事業体、あるいはその所有者が追加されないということではありません。数週間のうちに、OFACは数百の個人または事業体をリストに追加することもあります。最後に、個人または事業体が米国OFACの制裁の対象になっていないからといって、他の国がその個人または事業体を制裁していないということではありません。オープンソースはグローバルであり、プロジェクトの開発者の所在地に応じて、他の制裁プログラムが適用される場合があることに注意してください。

OFAC の SDN リストと検索ツールは網羅的なものではなく、このリストのみに頼って分析を行うべきではありません。まず、事業体が 1 つ以上の SDN によって直接的または間接的に 50% 以上所有されている場合、その事業体は 50% ルールの対象となります。そのためには、事業体の所有者を特定し、(多くの場合) すべての株主が特定されるまで、他の人もその事業体を所有しているかどうかを確認する必要があります。次に、一部の制裁は、SDN リストに掲載されていない国全体 (イランなど)、地域 (ウクライナのクリミアなど)、または政府 (ベネズエラ政府など) に適用されます。さらに、SDN リストは常に変更されています。個人または事業体が今日 SDN リストに掲載されていないからといって、明日はその個人または所有者が追加されないということではありません。OFAC は、ある時点で、数百の個人または事業体をリストに追加することがあります。最後に、個人または事業体が米国 OFAC によって制裁されていないからといって、他の国がその個人または事業体を制裁していないということではありません。オープンソースはグローバルであり、プロジェクトの開発者の所在地に応じて他の制裁プログラムが適用される場合があることに注意してください。

OFACの制裁措置のほとんどには、「情報資料」の輸出入に関する免除規定が含まれています。オープンソースコードは一般的にOFACによって「情報資料」とみなされているようで、SDNを介した一方的なソースコードの受領はOFACの制裁措置の対象外となるべきです。しかし、これはSDNから送信された既存のコードにのみ適用され、SDNで働く開発者に新規コードの作成や修正を依頼した場合には適用されません。簡単な例として、SDNがメモリバグを発見し、その問題を修正するための非請求パッチを提出した場合、このパッチを受け取った開発者は、そのパッチの技術的メリットを評価し、必要に応じて修正し、自身のリポジトリに適用できる必要があります。パッチを提出するSDNの開発者は、パッチが適用されていることを確認することはできますが、パッチの内容、技術的メリット、またはパッチの改善方法について議論する双方向のコミュニケーションを行うべきではありません。

OFACの制裁措置のほとんどには、「情報資料」の輸出入に関する免除規定が含まれています。オープンソースコードは、OFACによって一般的に「情報資料」とみなされているようです。したがって、SDNを介して一方的にソースコードを受け取ることは、OFACの制裁措置の対象外となるべきです。ただし、これはSDNから送信された既存のコードにのみ適用され、SDNで働く開発者への新規コードの作成または修正の依頼には適用されません。簡単な例として、SDNがメモリバグを発見し、その問題を修正するためのパッチを積極的に提案した場合、パッチを受け取った開発者は、その技術的価値を評価し、適切な修正を行い、パッチを自社のコードリポジトリにマージできる必要があります。パッチを提出したSDNの開発者は、パッチが機能していることを確認しますが、パッチの内容、その技術的利点、または改善方法に関する双方向のコミュニケーションには参加すべきではありません。ソースコード自体は情報資料ですが、焦点は国境を越えてSDNにサービスを提供する開発者に向けられるべきです。

制裁対象地域の貢献者からの一方的なパッチをレビューすることは、一般的には問題ありませんが、問題の理解を深めたり、診断したり、パッチの改善やコード修正に協力したりするために積極的に関与することは、おそらく許容範囲を超えているでしょう。貢献者が制裁対象地域や組織に関係している場合、一般的に、コミュニケーションは一方通行に留めるのが最善です。パッチを受け取って改良し、アップストリームに送信することは問題ありませんが、SDN開発者とのやり取りは必ずしも適切とは言えません。

制裁対象地域の貢献者が積極的に提出したパッチをレビューすることは、一般的には問題ありませんが、コミット内容の理解を深めたり、問題を診断したり、パッチの改善に協力したり、コードを修正したりすることを目的として、積極的に連絡を取ることは、問題となる可能性があります。貢献者が制裁対象地域または組織に所属している場合、一般的には一方通行のコミュニケーションを維持するのが最善です。パッチを受け取り、改善してアップストリームに提出することは問題ありませんが、SDN開発者とのコミュニケーションは困難を伴う可能性があります。

オープンソースプロジェクトの一般的な問題を修正する、一方的なパッチを受け入れることは問題ありません。しかし、その変更が規制対象企業の製品やサービスに直接利益をもたらす場合は、問題となる可能性があります。例えば、AcmeSDN（AcmeSDNはOFAC制裁の対象となっているSDNです）の開発者が、AcmeSDNプロセッサをあなたのソフトウェアで動作させるドライバを提供した場合、その提供は問題となる可能性があります。ソースコードだけでなく、こうした一方的なパッチの影響についても慎重に検討してください。

オープンソースプロジェクトの一般的な問題を修正するために、積極的に提出されたパッチを受け入れることは問題ありません。しかし、これらの変更が規制対象者の製品やサービスに直接利益をもたらす場合は、問題が発生する可能性があります。例えば、AcmeSDN（AcmeSDNはOFAC（米国独立行政法人）の認可を受けているSDNです）の開発者が、AcmeSDNプロセッサをあなたのソフトウェアで動作させるドライバを提供した場合、その貢献は問題となる可能性があります。ソースコード自体だけでなく、積極的に提出されたパッチの影響も考慮することが重要です。

制裁対象者は、第三者や「個人」として活動する開発者を通じて間接的に貢献しようとする可能性があります。開発者は他の貢献者の所属関係を理解し​​、懸念事項があればコミュニティや弁護士に相談する必要があります。例えば、前述の例で、AcmeSDNが制裁対象ではない国の開発者に、AcmeSDNのプロセッサを有効にするドライバの貢献を依頼し、報酬を支払った場合も、依然として問題となる可能性があります。よくあるパターンとして、SDNの開発者が貢献をブロックされた後、別のアカウントまたはメールアドレスから非常に類似した（または同一の）パッチがプロジェクトに提出されるというものがあります。匿名のメールアドレスが使用される場合もあります。貢献者が匿名化されたからといって、状況の評価が変わるわけではありません。

制裁対象者は、第三者や「単独」で行動する開発者を通じて間接的に貢献しようとする可能性があります。開発者は他の貢献者の関係性を認識し、懸念事項があればコミュニティや弁護士に相談する必要があります。例えば、前述の例でAcmeSDNが制裁対象外国の開発者にAcmeSDNプロセッサのドライバを提供する報酬を支払った場合、依然として問題が発生する可能性があります。よくあるパターンとして、SDN開発者は貢献をブロックされた後、別のアカウントまたはメールアドレスから非常に類似した（または同一の）パッチをプロジェクトに送信することが挙げられます。これは匿名のメールアドレスである可能性もありますが、貢献者を単に隠蔽するだけでは状況の評価は変わりません。

多くのオープンソースプロジェクトではCLA（共同契約書）の締結が義務付けられており、OFACの制裁対象組織からの貢献は認められません。OFACの制裁は知的財産権の取引、特にSDN（特定事業者識別番号）とのあらゆる知的財産権に関する契約やその他の契約を禁じています。オープンソースプロジェクトでCLAを義務付ける場合は、CLA検証プロセスにSDNリストへの準拠チェックが含まれていることを確認してください。

多くのオープンソースプロジェクトでは、貢献者ライセンス契約（CLA）の締結が義務付けられており、OFACの制裁対象組織からの貢献者が参加できない場合があります。OFACの制裁は、知的財産に関わる取引、特にSDNとの知的財産契約やその他の契約を禁止しています。オープンソースプロジェクトでCLAの締結が義務付けられている場合は、CLA署名検証プロセスにSDNマニフェストに対するコンプライアンスチェックが含まれていることを確認してください。

オープンソースコミュニティはコラボレーションを基盤としていますが、開発者が知らないうちに法律違反を犯してしまう可能性があるため、制裁プログラムへのコンプライアンスは必須です。不明瞭な状況に遭遇した場合は、コンプライアンス問題を回避するために、早めに法的助言を求めてください。Linux Foundationの目標は、開発者がこれらの複雑な問題を乗り越え、法的な問題に悩まされることなく優れたソフトウェアの開発に集中できるよう支援することです。Linux Foundationは、多くのプロセスとツールにコンプライアンスまたは検証チェックを既に組み込んでいます。LFプロジェクトのメンテナーの方は、LFのアプローチに関するご質問や、プロジェクトへのサポートについてご不明な点がございましたら、LFの担当者（またはmailto:[email protected]）までお問い合わせください。常に注意を払い、積極的に行動することで、世界的な規制を遵守しながら、自信を持ってオープンソースに貢献することができます。

开源社区建立在协作的基础上，但遵守制裁计划是必要的，否则开发人员可能在不知不觉中违反法律。如果您遇到看不清楚的情况，请尽早寻求法律咨询以避免合规问题。Linux 基金会的目标是帮助开发人员驾驭这些复杂性，这样您就可以避免法律上的麻烦、同时专注于构建伟大的软件。Linux 基金会已经在其许多流程和工具中构建了合规性或验证检查。如果您是一个Linux 基金会项目的维护人员，无论您对我们的处理方法或我们为您的项目提供任何支持存在任何疑问，请联系您的Linux 基金会联系人（或mailto:[email protected]）。只要保持警惕和主动性，您可以自信地在遵守全球法律法规的同时贡献开源。

As stated at the beginning, the Linux Foundation's position is that open source and open standards are the most inclusive collaborative innovation model in the world. We hope that developers will begin to understand sanctions programs and regulations on the one hand, and at the same time, understand when to reach out to experts for help. It's important to not overreact and to ensure open source communities take informed action when presented with a possible issue. For the vast majority of developers around the world, regardless of their nationality, country of residence, political system, cultural beliefs, or ideology, the open source community is still the most open collaboration ecosystem, just as it has always been before. In open source, communities are not used to having to exclude or curtail anyone's ability to participate. It is understandable that trade and sanctions regulations may cast a different light on many people's interpretations of the neutrality and equality of open source. We also hope that enactors of sanctions programs in the US and around the world will provide clear exemptions for open source cooperation in the future.

正如开头所说，Linux 基金会认为开源和开放标准是世界上最具包容性的协同创新模式。我们希望开发人员一方面逐渐了解制裁计划和法规，同时也要明白何时应该向专家寻求帮助。重要的是不要反应过度，并确保开源社区在遇到可能的问题时采取明智的行动。对于全球绝大多数开发人员而言，无论其国籍、居住国、政治体制、文化信仰或意识形态如何，开源社区到目前为止仍然是最开放的协作生态系统。开源社区仍然不习惯必须排除或限制任何人的参与能力。贸易和制裁条例可能会给许多人对开源中立性和平等性的观念带来影响，这是可以理解的。我们也希望美国和世界各地的制裁计划的制定者能够为未来的开源合作提供明确的豁免条款。

滑动查看全部参考资料

[1] which the LF has published guidance about in the past: https://www.linuxfoundation.o...

[2] 在过去曾发布过EAR 相关指南: https://www.linuxfoundation.o...

[3] US government regulations: https://www.ecfr.gov/current/...

[4] 美国政府法规: https://www.ecfr.gov/current/...

[5] as the US export control regulations generally do for nearly all export-controlled transactions: https://www.linuxfoundation.o...

[6] 美国出口管制条例通常会对几乎所有的出口管制交易有一个全面的豁免: https://www.linuxfoundation.o...

[7] publish an SDN List: https://sanctionslist.ofac.tr...

[8] OFAC SDN list search: https://sanctionssearch.ofac....

[9] 发布SDN 清单: https://sanctionslist.ofac.tr...

[10] OFAC SDN 清单搜索: https://sanctionssearch.ofac....

转载自| Linux基金会

编辑| 李楠

関連資料

ウルトラマン: オープンソースAIについて、私たちは間違っていました！DeepSeekがOpenAIの優位性を侵食しました。次はGPT-5です。

【縁起の良い蛇は幸運をもたらす】 | 2024年中国オープンソース年次報告書が正式に発表されました！

オープンソース協会の紹介

2014年に設立されたオープンソース協会（KAIYUANSHE）は、オープンソースの理念に献身的に貢献する個々のボランティアで構成されるオープンソースコミュニティであり、「貢献、合意、そして共同統治」の原則に基づき活動しています。KAIYUANSHEは、「ベンダー中立性、公益性、非営利性」の原則を堅持し、「中国を拠点とし、世界に貢献し、新時代のライフスタイルとしてオープンソースを推進する」というビジョンを掲げています。その使命は「オープンソースのガバナンス、国際的な連携、コミュニティの発展、そしてプロジェクトのインキュベーション」であり、健全で持続可能なオープンソースエコシステムの共創を目指しています。

オープンソース協会は、オープンソースを支援するコミュニティ、大学、企業、政府機関と積極的に連携しています。また、世界的なオープンソースライセンス認証組織であるOSIの中国初の会員でもあります。

2016年以降、中国オープンソースカンファレンス（COSCon）が毎年開催され、「中国オープンソース年次報告書」が継続的に発表されています。また、「中国オープンソースパイオニアリスト」と「中国オープンソースコードパワーリスト」も共同で立ち上げ、国内外で幅広い影響力を発揮しています。