よくある質問
サービス・ライセンス・規制について、よくいただくご質問にお答えします。
サービス全般
何をしてくれるサービスですか? +
依存関係やSBOMをもとに、含まれるOSSの検出・ライセンス整理・一般的な義務と対応の指針を1枚のレポートにまとめます。社内説明や顧問弁護士への相談にそのまま使えます。
やってくれないこと(弁護士との違い)は? +
法的助言・適法性の保証・貴社固有の事情への当てはめは行いません。当社は技術的・事実的な整理(たたき台)を担い、最終的な法的判断は貴社の顧問弁護士が行う、という役割分担です。
なぜ信頼できますか?根拠は? +
判断はSPDX・OSI公式、FSFのGPL FAQ、SOFTIC「OSS Q&A集」、IPA・NIST・NTIA等の公的・標準の一次資料に接地し、出典を明示します。検出はScanCode等の標準エンジンとClearlyDefined・OSVに照合します。
料金と納期は? +
必要な分だけ段階的にご利用いただけます。単発のクリアランスレポートは3万円〜(目安・納期48時間)、変化を見張る継続モニタリングは定額(まずは四半期ごとの再レビューから)、人の伴走が必要な場合はOSS管理顧問が月10万円〜(目安)。独自開発物の混入検出やNOTICE作成などの深スキャンは規模により個別見積です。表示価格はいずれも目安で、正式金額はお見積りにてご提示します。まずは公開情報での無料サンプルからお試しいただけます。
ソースコードを渡す必要がありますか? +
基本は不要です。依存マニフェスト/ロックファイル(package-lock.json、go.sum 等)またはSBOMで診断できます。著作権表示の網羅(NOTICE作成)など深い解析が必要な場合のみソースを対象にします。
データの扱いは? +
提供情報は本業務目的以外に利用せず、秘密保持します(契約で明記します)。
ライセンスの基礎
MIT / Apache-2.0 の義務は? +
一般に、著作権表示とライセンス文の同梱で足ります。Apache-2.0 はNOTICEの保持と特許条項に留意が必要です。コピーレフトはありません。
GPLを使うと自社コードも公開が必要ですか? +
GPLは強いコピーレフトで、義務の一般的な契機は「配布」です。社内利用や自社SaaS(配布なし)なら一般に伝搬しません。配布時に自社コードへ及ぶかは結合形態(静的/動的・派生物該当性)次第で、具体的な当てはめは顧問弁護士の判断領域です。
LGPLは動的リンクなら専有のままでよいですか? +
一般に、動的リンク+利用者が差し替え可能(再リンク保証)であれば、専有アプリを非公開のまま配布できるとされます。静的リンクは要注意です。
AGPLはSaaSでも危険ですか? +
はい。AGPLは「ネットワーク越しの提供」も義務の契機となるのが一般的な解釈で、配布していなくてもソース提供義務が生じ得ます。依存に混入していないか確認が必要です。
SBOMとは何ですか? +
製品に含まれる全ソフトウェア部品の一覧(SPDX/CycloneDX形式)です。取引先要求・規制対応(EU CRA等)・脆弱性の影響特定に用います。
個別の判断について
「うちの製品で」GPLはどこまで伝搬しますか? +
一般的な枠組み(配布の有無→結合形態→派生物該当性)はご説明できますが、貴社の具体的構成への当てはめと結論は顧問弁護士の判断領域です。当社は判断に必要な技術事実の整理を提供します。
このまま配布して大丈夫ですか? +
一般的なリスクと対応の選択肢は整理できますが、適法かどうかの最終判断は保証できません。顧問弁護士の確認を前提にお使いください。
規制・取引先要求
取引先からSBOMを求められました。何をすべき? +
依存の棚卸し→SBOM生成(SPDX/CycloneDX)→含まれるOSSのライセンス・脆弱性の点検、が基本です。当社で一式お手伝いできます。
EU CRA(サイバーレジリエンス法)への対応は必要ですか? +
EU市場に製品を出す場合(取引先経由を含む)、SBOM整備・脆弱性管理が求められます。まずはOSSの棚卸しから始めるのが安全です。
本ページの回答は一般的な情報提供であり、法的助言ではありません。具体的な当てはめ・最終判断は貴社の顧問弁護士等にご確認ください。