オープンソースコミュニティの健全性のためにPythonソフトウェア財団がEUの法律に警鐘

EUのCyber​​ Resilience Act(サイバーレジリエンス法)およびProduct Liability Act(製造物責任法)がオープンソースコミュニティの健全性を危険にさらしかねないとして、Pythonソフトウェア財団(PSF)が警鐘を鳴らしています。

Python Software Foundation News: The EU's Proposed CRA Law May Have Unintended Consequences for the Python Ecosystem
https://pyfound.blogspot.com/2023/04/the-eus-proposed-cra-law-may-have.html

Python foundation slams pending EU cyber security rules • The Register
https://www.theregister.com/2023/04/12/python_management_eu/

PSFは、EUが推進しようとしている2つの法律において、ソフトウェア消費者のセキュリティと説明責任を高めるというポリシーは支持しつつも、過度に広範なポリシーが、保護しようとしているユーザーに対して意図せず害を及ぼすことを懸念しているとのこと。

現代のソフトウェア企業の多くは、作者に通知することなく、また作者と商業的・契約上の関係を結ぶことなく、公開リポジトリのオープンソースソフトウェアに依存しています。PSFによると、もし法律がこのまま手直しなく施行された場合、オープンソースコンポーネントが何らかの商用製品に用いられた場合に、コンポーネントの制作者が法的および財政的責任を負う可能性があるそうです。

たとえば、PSFはコアPythonプログラミング言語や標準ライブラリ、インタープリターをホストし、使用を希望するすべての人に無料で提供しています。ダウンロード数は1日3億回以上に上ります。また、何千もの異なる組織や個人によって書かれたソフトウェアパッケージの膨大なライブラリであるPython Packaging Index(PyPI)をホストしており、すべてのパッケージは自由に利用できます。PyPIはエコシステム全体にとって重要なインフラストラクチャであり、何千もの個人や企業が依存していて、平均して月に100億個のパッケージがダウンロードされています。

しかし、PSFは、管理するリポジトリからダウンロードされるパッケージのいずれからも、お金を受け取っていません。一見すると、PythonやPythonのパッケージでお金を稼いでいるようには見えませんが、実際には利益を生むテクノロジーの重要な部分がPythonに依存しています。具体的にはYouTube、Instagram、SpotifyなどはいずれもPythonのコードで構築されています。

サイバーレジリエンス法および製造物責任法において「製品に大幅な変更を行う人または企業を製造業者と見なす」という旨の文言があるのですが、PSFは、このままだとオープンソースプロジェクトに実質的な変更を加えた人はすべて変更結果に責任を負うという意味に解釈できると指摘。また、「商業活動」を「製造業者が他のサービスを収益化するためのソフトウェアプラットフォームを提供すること」という定義では、Tシャツやイベントチケット、コーディングクラスなどあらゆる種類の有料製品やサービスを提供するPSFのような組織にも法律が適用されることになります。

これについてPSFは、EUのような立法者は公共の利益に役立つ公開ソフトウェアリポジトリと、公開リポジトリでパッケージをホストする組織および開発者に対して、明確な免除を提供する必要があると主張しています。

ニュースサイト・The Registerに対して、Software Freedom ConservancyのポリシーフェローであるBradley Kuhn氏は、「フリー＆オープンソース(FOSS)コミュニティは、求められている適用除外の範囲について、慎重に考えるべきです。私は、FOSSの人々が、この問題に関して営利企業が仕掛けようとしている罠に陥っていることを心配しています。FOSSに対する包括的な例外は、表面的にはFOSSにいいことのように思えますが、実際には、これは企業がFOSSコミュニティに通常の製造物責任を回避する手助けをしてもらおうとするものです。FOSSを展開する営利企業は、プロプライエタリなソフトウェア企業と同じように、ユーザーに対するセキュリティと確実性の義務を負うべきでしょう」と述べています。