「うちはSaaSだから、ソフトを配布していない。だからGPL系も関係ない」——多くのケースで正しいのですが、AGPLだけは例外です。AGPLは「配布していなくても」ソース提供義務を生む、SaaS事業者にとって最も注意すべきライセンスです。
ネットワークコピーレフトとは
通常のGPLは「配布」を義務の引き金にします。だから自社サーバで動かすSaaSは、配布がない限りソース公開義務が生じません。
ところが AGPL(GNU Affero GPL)第13条は、「ネットワーク越しに利用者へサービスを提供すること」も引き金にします。つまり——
AGPLのソフト(を改変したもの)でSaaSを提供すると、その利用者に対してソースコードを提供する義務が生じ得る。
「配布していないから安全」という論理が通じない唯一の類型です。
どこで踏むのか——「依存への混入」
自社が意図的にAGPLを採用していなくても、依存パッケージの奥にAGPLのコンポーネントが紛れ込むことがあります。とくに:
- データベース・管理ツール・可視化ツール系にAGPL採用例がある
- 推移的依存(依存の依存)の奥に潜んでいる
SaaS事業者ほど、SBOMで依存全体を棚卸しし、AGPLの混入が無いかを確認することが重要です。
確認ステップ
- 依存関係(推移的依存を含む)を棚卸し
- AGPL-3.0 が含まれていないかを検出
- 含まれる場合:その利用形態(改変の有無・サービス提供の形)を確認
- リスクがあれば、代替コンポーネントへの置換や商用ライセンスの検討
まとめ
- GPL系の中でも AGPLはSaaSに効く(配布不要で義務発生)
- 自社採用していなくても 依存に混入し得る
- SBOM+ライセンス点検で早期発見するのが唯一の予防策
当社の無料診断では、AGPLのようなネットワークコピーレフトを含む注意ライセンスを検出し、フラグでお知らせします。まずは試してみてください。