This advent calendar has been created by our Japanese Work Group as part of their community outreach. We hope you enjoy their recap of compliance topics to end the year.

About me

Hello. I am Takashi Ninjouji.
I mainly participate in Tooling Sub-Group (Tooling-SG) of OpenChain Japan-WG, and I am this SG leader since April 2020.
This article introduces the activities of Tooling-SG.

Tooling-SG

The Tooling-SG group is to use OSS for OSS management operations to achieve the following in Open Source Compliance:

• Build workflows according to your organization.
• Automation
• Quality improvement (on tools, workflows, and compliance)

Most of the participants are engineers. Many of them actually use the tools in their work, are developers of the tools, and even participate in the development community. On the other hand, because toolchain is also a means of handling open source compliance information, there will also be people from the compliance management departments such as legal and intellectual property, which are the relevant departments.

You may also want to read the article “About the activities of OpenChain Japan WG Tooling Sub-WG” by Kobayashi-san, the first leader at the time of its establishment in 2019, which was published in the 2019 Advent Calendar project. That article introduces why we wanted to create a place to exchange opinions about Open Source Compliance toolchain in Japanese and collaborate with global communities such as the OpenChain Reference Tooling Workgroup.

Activities

As in the previous year, the following activities and guiding principles have been established.

• Compile/disseminate information about the tool (in collaboration with the global community)
• Provide a place to study and discuss while using the tool (e.g., introducing the tool, holding seminars and hands-on sessions)
• Information distribution and tool mapping (identify issues and collaborate to improve workflow implementation)
• Promotion to expand membership (presentations at non-OpenChain meetings, use GitHub and other media)

We are welcome to feel free to participate and feel free to make a presentation (or talk).

At the meeting on 2020/11/24, we decided that we will have presentations in foreign languages. We would like to have a more active exchange of information.

You may arrange for your interpreter and translation of the materials in advance, or we would be happy to have volunteers to help you. If you are considering presenting in a foreign language, we would be glad to discuss this with you. Also, we may ask you to give your presentation at Tooling-SG.

How to participate

We use the following three means:

Mailing list

• https://lists.openchainproject.org/g/japan-sg-tooling
• Register: japan-sg-tooling+subscribe@lists.openchainproject.org

Slack

• Slack#10_tooling-sg (mainly for announcements, etc.)
• Slack#10_tooling-sg-random

Virtual Meeting

Starting in April 2020, we are holding virtual meetings in conjunction with the Japan-WG meetings. Currently, we meet every other week for about an hour, alternating between the following meetings.

We are flexible in practice, so please feel free to join us if you have questions. If you have a topic to present, please contact us via the mailing list or Slack.

• Monthly Meeting
  • about 1 or 2 presentations
  • Fourth Tuesday of every month 16:00-17:00 (JST)
• Casual Meeting
  • anyone is welcome to talk about any topic.
  • Second Tuesday of each month 16:00-17:00 (JST)

Meetings

We have had these meetings in FY 2020 so far.

Meeting	Topics
10th	Feature study: OSS Review Toolkit
11th	“Sharing the challenges of field deployment (usage) of FOSSology“and “the results and impressions of the FOSSA OSS license management trial”
12th	Tern by VMware (ACT) (Article on Qiita)
13th	SW360 v11 (Article on Qiita)
14th	Exchange of opinions on future initiatives

Upcoming events

As SW360, a component cataloging tool, becomes multilingual and a Japanese kit is provided, it is expected to spread to Japan in the future.

Tooling-SG is planning to hold a hands-on session for SW360 Chores, a version of SW360 available in containers, in early 2021. We discuss the content and timing on the mailing list and Slack, so please join us if you are interested.

What is the next article?

Morishita-san will introduce OSS toolchain for Open Source Compliance. With the OpenChain specification being ISO standard, there has been a lot of discussion about automation of compliance practices in various tool communities. Don’t miss it!

はじめに

こんにちは、忍頂寺と申します。
OpenChan Japan-WGでは主に Tooling Sub-Group (Tooling-SG) に参加し、2020年4月から同SGのリーダーを務めています。
本稿はTooling-SGの活動を紹介します。

Tooling SGとは

このTooling-SGは、OSS管理運用のためのOSS(ツール)を利用して、Open Source Compliance において次を実現することを目的とします。

1. 組織に応じたワークフローの構築
2. 省力化 (オートメーション)
3. 質の向上 (ツール、ワークフロー、コンプライアンスについて)

参加者の多くはエンジニアで構成されます。実際に業務で利用している方、ツールの開発者さらには開発コミュニティに参加している方などです。一方で、ツールがオープンソースコンプライアンス情報の取り扱い手段でもあることから、関係部門となる法務・知財などのコンプライアンス管理部門の方々の参加もあります。

なお、2019年のAdvent Calendar企画にあった、2019年設立時の初代リーダーの小林さんによる活動紹介記事「OpenChain Japan WG Tooling Sub-WGの活動について」もご一読頂けると幸いです。Japan-WGの活動趣旨に沿ってツールについて日本語で気軽に意見交換する場を設けたいとする経緯や、OpenChain Reference Tooling Workgroup などのグローバルコミュニティとの連携などを紹介しています。

活動内容

昨年度に引き続き、次を活動内容とその指針としています。

1. ツールの情報をまとめる / 発信する (Globalコミュニティと連携)
2. 実際に使いながら勉強や議論する場の提供 (ツール紹介、セミナーやハンズオンの開催など)
3. 情報流通とツールのマッピング (ワークフロー実現のために課題を洗い出し、他と連携して改善)
4. 活動に賛同するメンバ拡大のためのプロモーション (OpenChain以外の会合での発表、GitHubやその他メディアの活用)

気軽な参加、気楽な発表(発言)、をお願いしています。

なお、2020/11/24会合にて、今後は外国語での発表もアリになりました。
より活発な情報交換をしていきたいと考えています。

通訳や事前の資料の翻訳などは発表者ご自身で手配や検討を頂くでもよいですし、参加メンバーのボランティアで対応できればとも考えています。外国語での発表をご検討の際はまずは相談頂ければ幸いです。また、Tooling-SGから発表をお願いすることもあると考えています。

参加方法など

次の3つの手段を活用しています。

メーリングリスト

• https://lists.openchainproject.org/g/japan-sg-tooling
• 登録：japan-sg-tooling+subscribe@lists.openchainproject.org

Slack

• Slack#10_tooling-sg (主に連絡・周知など)
• Slack#10_tooling-sg-random

Virtual会合

2020年4月からは、Japan-WG会合に合わせてVirtual開催にしています。
現在は隔週で1時間ほど、次の会合を交互に開催しています。

実際は柔軟に運用しているので、質問がある場合は気軽にご参加ください。
また発表ネタがある場合は気軽に上記のメーリングリストかSlackでご連絡ください。

• 月例会
  • 発表は１または２件程度
  • 毎月第４火曜日 16:00-17:00 (JST)
• カジュアル会
  • どんな話題でも、どなたでも、お話しください。
  • 毎月第２火曜日 16:00-17:00 (JST)

会合実施内容

2020年度はおよそ次の内容で開催しました。

回	内容
第10回	OSS Review Toolkit 機能調査
第11回	FOSSologyの現場展開(利用)における課題点の共有、OSSライセンス管理「FOSSA」の試用結果および所感
第12回	VMware社による Tern について (Qiita投稿記事)
第13回	SW360 v11 について (Qiita投稿記事)
第14回	今後の取組について意見交換

今後開催予定のイベント

コンポーネントカタログツールであるSW360が多言語対応となり日本語キットも提供されることから、今後の普及が期待されています。

Tooling-SGでは、SW360をコンテナで利用できる SW360 Chores を対象に起動や操作のハンズオンを、2021年早々に開催しようと計画中です。メーリングリストやSlackにて実施内容や時期を検討しているので、興味のある方はぜひご参加ください。

次回の記事

明日(2020/12/17) は森下さんが、Open Source Compliance のための OSS を紹介してくれます。OpenChain仕様がISO化されたことで、様々なツールコミュニティでコンプライアンス実務のオートメーションの議論が活発になってきています。お楽しみに！

This advent calendar has been created by our Japanese Work Group as part of their community outreach. We hope you enjoy their recap of compliance topics to end the year.

About me

Hello. I am Takashi Ninjouji.
I mainly participate Tooling-SG of OpenChain Japan-WG.
This article is part 4 of introducing OpenChain Spec v2.1 (functionally identical to ISO/IEC 5280:2020).
(2020.12.14: “Status”is “Under development”, “Life cycle” is “60.00 International Standard under publication” at ISO/IEC)
(2020.12.15: “Status”is “Published”, “Life cycle” is “60.60 International Standard under published” at ISO/IEC!)

“OpenChain Self Certification” provides the Online Self-Certification. You can see the questionnaire in several languages in this repository: “OpenChain-Project/conformance-questionnaire”

OpenChain Spec v2.1 §3.3 “Open source content review and approval”

§3.3.1 Bill of Materials

§3.3.1 is about the Bill of Materials (BOM), which is a list of OSS that compose a software package, and an organization needs to have a process in place to create and manage that BOM.

Here is the questionnaire for Self-Certification:

Number	Spec Ref	Question Text
3.a	3.1, 3.1.1	Do you have a documented procedure for identifying, tracking and archiving information about the open source components in a Supplied Software release?
3.b	3.1, 3.1.2	Do you have open source component records for the Supplied Software which demonstrate the documented procedure was properly followed?

§3.3.2 License compliance

§3.3.2 is about use cases. Internal processes need to be in place for each use case, such as distribution in binary form and distribution in source code form. Each organization can define use cases freely. In order to the efficiency of creation of BOMs and of open source license compliance using BOM, compliance tooling are needed and are discussed along with its development and its workflows as well.

Here is the questionnaire for Self-Certification:

Number	Spec Ref	Question Text
3.c	3.2, 3.2.1	Do you have a documented procedure that covers these common open source license use cases for open source components in the Supplied Software?
3.c.i	3.2, 3.2.1	– Distribution in binary form;
3.c.ii	3.2, 3.2.1	– Distribution in source form;
3.c.iii	3.2, 3.2.1	– Integration with other open source that may trigger additional obligations;
3.c.iv	3.2, 3.2.1	– Containing modified open source;
3.c.v	3.2, 3.2.1	– Containing open source or other software under incompatible licenses for interaction with other components in the Supplied Software;
3.c.vi	3.2, 3.2.1	– Containing open source with attribution requirements.

What is the next?

Kobota-san will introduce part 5 on 12/18. Don’t miss it!

In tomorrow’s article (12/16), I will introduce the Tooling SG of Japan-WG. This subgroup aims to share information about the compliance tooling and the know-how to use them.

はじめに

こんにちは、忍頂寺と申します。
OpenChan Japan-WGでは、主にTooling-SGなどに参加しています。
本稿は国際規格 ISO/IEC 5230:2020 に相当する OpenChain Spec v2.1 を紹介するシリーズの第4回となります。
(2020.12.14: ISO/IEC にて、進捗(Status)は “Under development”, “Life cycle” は “60.00 International Standard under publication” です。)
(2020.12.15: ISO/IEC にて、進捗(Status)は “Published”, “Life cycle” は “60.60 International Standard published” です! )

なお、自己認証の手続は“OpenChain Self Certification” でできます。 また、確認項目はGitHubの “OpenChain-Project/conformance-questionnaire”で確認できます。英文や和文などで用意されています。

OpenChain Spec v2.1 §3.3 “Open source content review and approval”

§3.3.1 Bill of Materials

§3.3.1 は、BOM (Bill of Materials) に関する章です。BOMは各ソフトウエアを構成するOSSのリストを指します。OpenChain適合を果たす組織は、このBOMの作成および管理するためのプロセスを整備する必要があります。

ここでの自己認証のための確認項目は次になります：

Number	Spec Ref	Question Text
3.a	3.1, 3.1.1	Do you have a documented procedure for identifying, tracking and archiving information about the open source components in a Supplied Software release? (供給ソフトウェアのリリースに含まれるすべてのオープンソースコンポーネントに関する情報を特定し、追跡し、リストとして保管するための手順書がありますか？)
3.b	3.1, 3.1.2	Do you have open source component records for the Supplied Software which demonstrate the documented procedure was properly followed? (手順書に適切に従っていることを証明する、各供給ソフトウェアのリリースに関するオープンソースコンポーネントの記録がありますか？)

§3.3.2 License compliance

§3.3.2は、ライセンスコンプライアンスの実務におけるユースケースに関する章です。バイナリ形式での頒布、ソースコード形式での頒布等の各ユースケースに対応できるよう社内プロセスを整備する必要があります。ユースケースの定義については各組織が自由に設定することができます。BOMの作成やBOMを利用してのオープンソース ライセンス コンプライアンス業務については、ツールによる効率化が検討されています。

ここでの自己認証のための確認項目は次になります：

Number	Spec Ref	Question Text
3.c	3.2, 3.2.1	Do you have a documented procedure that covers these common open source license use cases for open source components in the Supplied Software? (各供給ソフトウェアのリリースに関するオープンソースコンポーネントについて、少なくとも次の共通オープンソースライセンスのユースケースを扱った手順を実施していますか？)
3.c.i	3.2, 3.2.1	– Distribution in binary form; (バイナリ形態で頒布されている)
3.c.ii	3.2, 3.2.1	– Distribution in source form; (ソースコード形態で頒布されている)
3.c.iii	3.2, 3.2.1	– Integration with other open source that may trigger additional obligations; (コピーレフトの義務を生じうる他のオープンソースと統合されている)
3.c.iv	3.2, 3.2.1	– Containing modified open source; (改変されたオープンソースを含んでいる)
3.c.v	3.2, 3.2.1	– Containing open source or other software under incompatible licenses for interaction with other components in the Supplied Software; (供給ソフトウェア内の他のコンポーネントとやりとりする、両立性のないライセンス下のオープンソースやその他のソフトウェアを含んでいる)
3.c.vi	3.2, 3.2.1	– Containing open source with attribution requirements. (帰属要求のあるオープンソースを含んでいる)

次回

次回仕様紹介となる第5回の記事は、小保田さんから 12/18 に公開予定です。お楽しみに！
明日(12/16)は、再び僕の投稿になりますが、ツールに関する情報共有を行っているTooling SGの活動を紹介します。

This advent calendar has been created by our Japanese Work Group as part of their community outreach. We hope you enjoy their recap of compliance topics to end the year.

Leaflet SubGroupの活動紹介 / Introduction of Leaflet SubGroup acts.

今年も残すところ後半月となりました。今日は、ネットワーク・セキュリティ系のエンジニアの経験を活かし、今は自社でオープンソースプログラムオフィスの一員として、OpenChain Projectの活動に参加させていただいている小保田が、OpenChain Project 日本グループのleafletグループの活動について、少しご紹介させていただきます。

Today, I would like to tell you about the activities of the leaflet group of the OpenChain Project Japan working group. I’m Norio Kobota who is now participating in the OpenChain Project activities as a member of the open source program office of my company, making use of my experience as an engineer in the network security field.

リーフレットって何? / What is the leaflet?

リーフレットは、OpenChain ProjectのReference Materialから取得可能な、オープンソースソフトウェアを取り扱う際の注意事項について記述された簡単なガイドブックです。日本語版は、こちらのgithubより取得できます。
OpenChain Projectにおいては当初より、そのソフトウェアサプライチェーンにおけるOSSライセンスコンプライアンスの難しさが重要視されており、それを解決する一つの手段として、企業における様々な立場の方々にとって、分かり易い簡単なガイドブックが必要だと、Japan Working Groupのメンバは考えました。
その後、グループメンバーの協力の元、2019/04 日本語版、2019/05 英語版をJapan Working Groupより提供することが出来ました。また素晴らしいことに、このリーフレットは世界中で必要とされることとなり、各国のサブグループの協力の元、今では、中国語(繁体字、簡体字)、ベトナム語への翻訳も済んでいます。

The leaflet is a simple guide book which describes useful information when dealing with open source software, available from Reference Material of OpenChain Project. You can obtain the Japanese version from github here.
In the OpenChain Project, the difficulty of OSS license compliance in the software supply chain has been emphasized from the beginning, and the members of the Japan Working Group thought that as a means to solve this problem, a simple guidebook that is easy to understand for people in various positions in the enterprise was necessary.
After that, with the cooperation of the group members, we were able to provide the Japanese version 2019/04 and the English version 2019/05. The great thing about this leaflet is that it has become global, and thanks to the cooperation of various subgroups, Chinese(Traditional and Simplified) and Vietnamese versions are now available here.

リーフレットサブグループって何してるの? / What are the activities of the leaflet subgroups.

リーフレット作成が昨年で一通り落ち着いたこともあり、何かドキュメントを作成したりといった活動は、最近は殆どありません。そのため、昨年(2019)の活動を少し、紹介させていただきたいと思います。
分かり易いリーフレットが作成できた、という事実はとても大きなものですが、本来、私たちが推進したいこと、必要だと考えていることは、その知識を持つ方々を増やすことであり、多くの方がガイドブックを必要とする時に利用していただくことです。その為、私たちは様々な講演会などの場に、リーフレットを印刷して持ちこみ、その目的と必要性を伝えています。
例えば、Linux Foundationが開催するOpen Source Summit/Embedded Linux Conferenceや、電子機器の祭典である、CES、果ては日本のほぼ裏側で開催されたDebConf 2019など、それぞれが主業務などで参加する様々なイベントにこのリーフレットを持ち込み、紹介すると共にリーフレットの配布を行っています。

Because the creation of leaflets was settled last year, there are not many activities such as creating documents rececntly. For this reason, I would like to introduce the activities of (2019) last year.
The fact that we were able to create a leaflet that is easy to understand is a great achievement. However, what we think is really important is to increase the number of people with that knowledge, and to have many people use the guidebook when they need it. For this reason, we print leaflets for various lectures and introduce their purpose and necessity.
For example, the Open Source Summit/Embedded Linux Conference held by the Linux Foundation, CES which is a festival for electronic devices, and DebConf 2019, which was held in almost the other side of Japan, have introduced and distributed leaflets at various events attended by members of the Japan Working Group.

これから / Future

コロナ禍の影響もあり、今は活動自体は停滞中です。しかし、今後また執筆活動や広報活動を他のサブグループと一緒に行っていくと思いますので、ご興味のある方は是非、ご参加ください。
明日は、忍頂寺さんによる、OpenChain Spec2.1の内容紹介 第4弾です。お楽しみに!

Due to the effects of the COVID-19, this subgroup activity itself is currently stagnating. However, I would like to invite you to join us. We will do some writing and public relations activities with other subgroups.
Tomorrow is OpenChain Spec2.1, 4th introduction by Ninjoji-san. Look forward to it!

This advent calendar has been created by our Japanese Work Group as part of their community outreach. We hope you enjoy their recap of compliance topics to end the year.

1. Introduction

Hello. I’m Masato ENDO.
Today, I would like to introduce the topics related to Promotion SG of OpenChain Japan WG.

As you can see in the article on December 6, we found that although awareness of the importance of OSS compliance is gradually increasing, each company is struggling to secure resources.
In order to secure resources, it is essential to promote the understanding of executives.
Therefore, the Japan Patent Office and the Cabinet Office created “Open source for ALL” as a tool to educate management about the importance of OSS itself, and released it in June.
I also participated as a member in the Expert Committee for the preparation of this material.
So, I would like to introduce it.

You can access the materials from the links below.(Sorry, Japanese only)

・ Executive Summary of enlightenment tools (presentation materials)
・ Detailed report

2. Background of realization

The beginning of the story was that in May 2019, I made a presentation at the Intellectual Property Headquarters Verification, Evaluation, and Planning Committee, which is a policy meeting of Japanese government.
At this time, Mr. Nakauchi of the current Imabari City officer, who was at the Intellectual Property Headquarters at that time, was interested in it, and a committee of experts was formed.
Therefore, we decided to create OSS enlightenment materials for managers, and we asked Mr. Shinozaki of PwC, who was selected as the secretariat based on discussions at the committee, to compile the materials.
It is assumed that this material will be used as it is or arranged for use in internal executives and symposiums in which executives participate.
This material is supported not only by Japanese companies but also by foreign companies such as Google, Microsoft, Qualcomm, and Siemens.
I introduced these companies to the Committee through OpenChain connection.

3. Interesting information

Here, I will pick up and introduce the topics that I found interesting from the report.
In this survey, we conducted a questionnaire to the executives of the system development and software development departments of large companies, mainly non-IT companies, and added analysis from various angles.
Among them, what I am paying attention to is the figure below that summarizes the answers to the question “Will the expansion of OSS utilization expand in the future?”
As the result, we can confirm that executives in almost all industries responded that they would “expand in the future.”
On the other hand, in this report “It became clear that the approach to OSS was individual-dependent and that activity was sluggish overall.”
From the perspective of promoting DX, it is thought that the issue for Japanese companies will be how to systematically handle OSS in the future.
Overseas, it is becoming a trend to establish OSPO (Open Source Compliance Office), which is a specialized organization that formulates OSS utilization strategies and rules regardless of the type of industry.
At OpenChain, we have accumulated the know-how of leading companies overseas and in Japan, so if you have a need to deepen understanding within the company, please let us know! The project will support you free of charge.
(I also explained the importance of OSS community activities to the CTO of a IT company in such a context.)

4. Tomorrow’s theme is …

Tomorrow, Kobota-san will introduce the activities of Leaflet SG, which is creating an enlightenment leaflet for OSS compliance.
This leaflet has been distributed free of charge at events around the world such as CES2020 and has been very well received.
Stay tuned!

1. はじめに

こんにちは。
三度登場の遠藤です。
本日はOpenChain Japan WGのPromotion SG関連のトピックを紹介します。

12/6の記事にもありますように、OSSコンプライアンスの重要性への認識は少しづつ高まっているものの、
各社がリソーセスの確保に苦労していることがわかりました。
リソーセスを確保するためには、経営層の理解の促進が必須であると言えます。
そこで、経営層にOSSそのものの重要性も含めた啓発を行うためのツールとして「Opensource for ALL」を特許庁・内閣府が作成し、6月にリリースされました。
私も委員として本資料作成のための有識者委員会に参加しましたので、実現の経緯も含め紹介させて頂きます。

資料へは以下のリンクからアクセスできます。

・啓発ツール（プレゼン資料）のExective Summary
・詳細レポート

2. 実現の経緯

話の発端は、2019年の5月に私が政策会議である知的財産本部検証・評価・企画委員会でプレゼンさせて頂いたことです。この際、当時知的財産本部にいらっしゃった現今治市の中内さんに関心を持って頂き、有識者委員会が結成されました。
そこで経営者向けのOSS啓発資料を作ろうということになり、委員会での議論を基に、
事務局に選出されたPwCの篠崎さん中心に資料をまとめて頂きました。
この資料をそのまま、若しくはアレンジして社内の経営層や、経営層が参加するシンポジウム等で利用することを想定しています。
本資料には日本企業だけでなく、GoogleやMicrosoft、Qualcomm、シーメンスなどの外国企業にも協力頂いてますが、
これらの企業はOpenChainつながりで私から事務局に紹介させて頂きました。

出典：https://www.jpo.go.jp/resources/report/takoku/document/zaisanken_kouhyou/2019_06_2.pdf

3. 興味深い情報

基本的には上記リンクからレポートをご参照頂きたいと思いますが、
ここではその中から私が興味深いと思ったページをピックアップして紹介します。
本調査では非IT企業を主とする大企業のシステム開発・ソフトウエア開発部門の幹部層へのアンケートを実施し、
様々な角度から分析を加えています。
その中で私が注目しているのは、「OSSの利活用の拡大が今度拡大するか？」という質問に対する回答をまとめた下記の図です。

出典：https://www.jpo.go.jp/resources/report/takoku/document/zaisanken_kouhyou/2019_06_1.pdf

これを見ると、ほぼすべての業種の幹部が「今後拡大する」という旨の回答を行っていることがわかります。
その一方、本レポートでは
「OSSに対する取組が個人に依存し、かつ、全体として活動が低調であることが明らかとなった。」
という記載があり、DX推進の観点からも今後いかにして組織的にOSSに取り組んでいくのかが、日本企業の課題になっていくと考えられます。
海外では業種問わずOSSの利活用戦略策定やルール作りを行う専門組織であるOSPO(Open Source Compliance Office)を設置することがトレンドになってきてます。
OpenChainでは、海外や国内の先進企業のノウハウを蓄積していますので、社内の理解を深めたいというニーズをお持ちの方は是非お声がけください！プロジェクトが無償で支援いたします。
（私も、そのような文脈で某IT企業のCTOにOSSコミュニティ活動の重要性をご説明させて頂いたこともあります。）

4. 明日のテーマは・・・

明日は、OSSコンプラの啓発リーフレットを作成しているリーフレットSGの活動について小保田さんから紹介頂きます。
このリーフレットはCESなど世界中のイベントで無償配布され、大好評頂いているものです。
乞うご期待！

This advent calendar has been created by our Japanese Work Group as part of their community outreach. We hope you enjoy their recap of compliance topics to end the year.

OpenChain Specification v2.1, Clause 2.

Today I am writing about the third part of the OpenChain Specification v2.1 Chap 3.2 (that is under the ISO/IEC pending). If you want to know the OpenChain Spec
correctly, please read the original documents from the linke at the end of this page.

Chapter 3.2.1 is about dealing with external inquiries, and requires that a third party has a reasonable path to contact the organization for OSS license compliance, and that the organization is prepared to respond to such inquiries.

Chapter 3.2.2 is about resources. Adequate staffing and resources should be allocated to compliance program-related roles, legal experts should be assigned, and a process for resolving concerns should be maintained.

OSS license compliance will continue to become more important, but it is necessary to make executives aware of its importance in order to ensure resources are available.

Tomorrow, Mr. Endo of Promotion SG will share with us some examples of such educational activities conducted for the public and private entities.

Resources (Links) / 関連リンク

• OpenChain Specification (執筆時点 v2.1): https://www.openchainproject.org/contribute-to-the-standard
• OpenChain Specification 日本語訳 (v2.0 RC-1): https://github.com/OpenChain-Project/Specification-Translation-JP/tree/master/RC-1/v2.0

OpenChain Specification v2.1 の紹介 §3.2

本日は、ISO/IECに申請中のOpenChain Specification v2.1の中身の紹介第3弾（2章）です。著者の適当な和訳ですので、本格的にOpenChain Specを知りたい方は巻末のリンクより原文をお読みください。

また、このページから見た方は OpenChain Japan Advent Calendar 2020 より他の記事もご覧ください。他の章や関連する情報が書かれています。

§3.2 Relevant Tasks Defined and Supported

2章では、OSS に関連する業務の定義とそれを実行するための支援に関する内容が書かれています。大きくは2つです。

§3.2.1 Access

2.1章は、”Access”という章題で、外部からの問い合わせ対応に関する章です。

1. 外部からOSSに関する問合せるための方法（たとえば専用のメールアドレスとか）が公開されている。
2. 問い合わせがあったときにどう回答するかの手続きを規定した文章が組織内部にある。

といったことが規定されています。つまり、OSSライセンスコンプライアンスに関して第三者がその組織にコンタクトできる合理的な手段があり、またその組織が当該問合せに対してきちんと対応するように準備がされている必要があります。

§3.2.1 Effectively resourced

2.2章は、”Effectively resourced”という章題で、リソースに関する章です。

コンプライアンスプログラム関連役割への適切な人員・十分な活動資源の割り当て、法律専門家のアサイン、懸案事項解決プロセスの整備を行うことが必要です。
OSSライセンスコンプライアンスは今後もより重要になってくるものであると考えられますが、リソースを確保するためには、経営層にその重要性を認識して頂く必要があります。つまり、

1. コンプライアンスプログラムの業務が明確で確実に実行するために役割／担当／組織が決まっている
2. 業務を実行する時間と十分な予算が配分されている
3. ポリシーと支援業務に関して、レビューして更新するプロセスがある
4. 必要なときにオープンソースのコンプライアンスについて法的な内容を話し合える専門家がいる（すぐ話せる相手がいる）
5. オープンソースのコンプライアンス問題が発生した際に、それを解決するためのプロセスが規定されている

といったことを満たす必要があります。

つづく

明日は、そのような啓発活動を官民で行った例について、Promotion SGの遠藤さんから紹介いただきます。

This advent calendar has been created by our Japanese Work Group as part of their community outreach. We hope you enjoy their recap of compliance topics to end the year.

Introduction of FAQ subgroup

Today, I would like to introduce the FAQ subgroup of the OpenChain Japan WG.

FAQ Subgroup Activities

The FAQ subgroup creates and publishes “common misunderstanding FAQs related to OSS licenses“, which is mainly targeted at beginners of OSS licenses.

The members of the FAQ subgroup are consist of those who are in charge of OSS license consultation and license compliance support at each company / organization, those who are not in charge but are volunteer-based, and those who are about to start studying OSS licenses or those who are just starting (<-this is important).

There are various QA candidates, such as those that the members actually consulted, those that the members wondered, and those that are generally misunderstood.

How to make QA

To create a QA, first create a base for Questions and Answers using Slack and give your opinion. After that, the QA will be finalized by making corrections at a meeting (which used to be actually gathered, but recently it is online in view of recent circumstances). (<- This is actually the most fun because we have a lot of opinions and discussions.) Then, after confirming with the attorney attorney, we will publish it.

In this way, each QA is verified and nurtured from the perspectives of various companies, organizations, and roles, so I think that the QA collection is relatively homogeneous and has few mistakes.

It’s been about 10 years since I was involved in OSS licensing, but I’m still studying through this FAQ subgroup every time. In particular, I often get noticed from the perspectives and opinions of companies whose business types are different from those of my company.
People who participated for the purpose of studying also commented, “I am studying because I am trying to convey it in an easy-to-understand manner.” and “I will be able to understand by listening to the discussion.” and so on.

Conclusion

It’s been about 10 years since I was engaged in OSS license compliance, but I still study through this FAQ subgroup every time. In particular, I often get noticed from the perspectives and opinions of companies whose business types are different from those of my company.
People who participated for the purpose of studying also commented, “I am studying because I am trying to convey it in an easy-to-understand manner.” and “I will be able to understand by listening to the discussion.” and so on.

If you are interested in the activities of the FAQ subgroup, please join us at any time. Those who want to participate by trial rather than immediately, and those who can not contribute much to the creation of FAQ but want to participate for study purposes are also welcome.
For details, please contact japan-sg-faq@lists.openchainproject.org.

FAQサブグループの紹介

本日は、OpenChain Japan WGのFAQサブグループについてご紹介します。

FAQサブグループの活動

FAQサブグループはOSSのライセンスの初心者を主なターゲットとした、「OSSライセンス関連でよくある誤解FAQ」というものを作成・公開しています。

FAQサブグループのメンバーは、各所属企業・団体で日頃からOSSライセンスに関する相談対応やライセンス遵守支援を担当業務として行なっている方、本来の担当業務ではないがボランティアベースで相談対応されている方、そして、これからOSSライセンスを勉強を始めようとしている方、または、始めたばかりという方（←ここ重要）などで構成されています。

インプットとなるQAの候補も、メンバーの方が実際に相談を受けたもの、メンバーの方が疑問に思ったもの、一般的に誤解されがちなものなどさまざまです。

QAの作りかた

QAの作り方は、まずSlack上でQuestionとAnswerのたたき台を作成、意見出しをします。その後、会合（以前は実際に集まっていましたが 最近は昨今の事情を鑑みオンラインです）で再度揉みなおしてFIXします。（←喧々諤々議論をかわすので実はここが一番楽しい）そして仕上げに弁護士の先生にご確認いただいたものを公開するという流れで行っています。

このように一つ一つのQAをさまざまな企業・団体・役割の方の目線から検証して育てていますので、比較的均質で、また間違いも少ないQA集にできていると思います。

おわりに

私自身、OSSライセンスに関わるようになって10年ほど経ちますが未だにこのFAQサブグループを通じて毎回勉強させていただいてます。特に自分の所属企業と業種業態が違う企業さんからの目線やご意見から気づきをいただくことが多いです。
勉強目的で参加いただいている方からも、「わかりやすく伝える努力をしているので誤解が解けていくような感じがして勉強になる。」、「聞いてなるほどと思う。」などのご感想をいただいています。

FAQサブグループの活動に興味がある方はいつでもご参加ください。どっぷり参加ではなくまずは様子見したいという方や、FAQの作成にはあまり貢献できそうにないけど勉強目的で参加したいという方も大歓迎です。
詳しくは japan-sg-faq@lists.openchainproject.org まで。

This advent calendar has been created by our Japanese Work Group as part of their community outreach. We hope you enjoy their recap of compliance topics to end the year.

Today, we will introduce the contents of the OpenChain spec v2.1 (Chapter 1.4-1.5).

Chapter 1.4 is about the scope of the OSS Compliance Program. Th e OSS compliance program gives you the freedom to choose whether it covers your entire organization or just some product lines.

Chapter 1.5 is a chapter on reviewing each OSS license within your organization. Organizations should establish a process for reviewing and documenting OSS license obligations, restrictions, and rights for each use case.
Reviewing OSS licenses in Chapter 1.5 is a very important task for an organization, but a difficult task for an unfamiliar organization.
Therefore, the FAQ subgroup of the Japan WG is working to publish “common misunderstanding FAQs related to OSS licenses” together.

Tomorrow we will introduce the activities of this FAQ subgroup.

本日は、OpenChain spec v2.1 の中身の紹介第2弾（1.4～1.5章）です。

1.4章は、OSSコンプライアンスプログラムの対象範囲に関する章です。OSSコンプライアンスプログラムは、組織全体を対象にしたり、一部のプロダクトラインのみを対象したりと、自由に対象範囲を選択することができます。

1.5章は、各OSSライセンスの組織内でのレビューに関する章です。組織はユースケースに応じてOSSライセンスの義務、制約、および権利についてレビューし、文書として記録するプロセスを定める必要があります。
1.5章のOSSライセンスのレビューは、組織にとって非常に重要な業務ですが、慣れていない組織にとっては難易度が高い業務です。
そこで、Japan WGのFAQサブグループでは「OSSライセンス関連でよくある誤解FAQ」を纏めて公開する活動を行っています。

明日はこのFAQ SGの活動を紹介します。

This advent calendar has been created by our Japanese Work Group as part of their community outreach. We hope you enjoy their recap of compliance topics to end the year.

The research team in OpenChain Japan WG about OSS compliance made academic presentations at two conferences, “Intellectual Property Association of Japan” and “Japan Society for Research Policy and Innovation Management” in 2020.

Today, I would like to introduce the “Framework for Skill Standards on OSS Compliance” presented at “Intellectual Property Association of Japan”.

Necessity of skill standards for OSS compliance

Work related to OSS compliance is complex and needs to be carried out in cooperation with various departments in the company, such as development and intellectual property departments.

On the other hand, OSS-related tasks are often relatively new to the people in each department, and therefore, in order to promote human resource development, we have developed a systematic index to clarify and systematize the skills required to perform these tasks. In other words, we thought a “skill standard” was necessary.

The skill standard framework for OSS compliance

The table below shows the framework of skill standards about OSS compliance. On the left side, tasks related to OSS compliance are extracted for each of planning, development, and maintenance (operation) of the system, and on the right side, tasks to be handled by each department are organized.

In this presentation, we have only presented the overall picture above. In the future, we will further subdivide each task, and organize the skills required to perform each task and the evaluation method.

Finally

The OpenChain Specification 2.0, which was adopted by the ISO, also defines the roles, responsibilities, and suitability of personnel to achieve OSS compliance in Chapter 1.2, and specifies that the results of the suitability assessment must be retained. (Article link.)

However, OpenChain does not mention the specific items and indices of what roles each department should play and how to evaluate each person in charge, and it is left to each company to decide. We hope to create a tool that can be used to facilitate compliance work.

Tomorrow, Mr. Shima of FAQ SG will introduce the contents of chapter 1.4 to 1.5 in OpenChain.

Advent Calendar、2回目の登場となる山田です。今回は、先日紹介した12/6に遠藤さんが投稿したOSSコンプライアンスの調査に関連する話題を投稿します。

OpenChain Japan WG Promotion SGの有志メンバーを中心に立ち上げたOSSコンプライアンスについての研究チームでは、2020年に「日本知財学会」と「研究・イノベーション学会」の2つの学会で学術発表を行いました。今日は、その中から日本知財学会で発表した「OSSコンプライアンスに関するスキル標準のフレームワーク(全体マップ)」について紹介しようと思います。（研究・イノベーション学会で行った発表に関しては、12/21の記事で土手さんから紹介いただく予定です）

*Please scroll down for the English version.

OSSコンプライアンスに関するスキル標準の必要性

OSSコンプライアンスに関連する業務は複雑かつ、開発部門や知的財産部門など社内の様々な部署が連携して実施する必要があるため、各部署に属する担当者が担うべき業務を適切に認識する必要があります。

一方で、OSSに関する業務は各部署の担当者にとって比較的新しい業務であることが多く、人材育成を推進する上で、当業務遂行に必要とされる能力を明確化・体系化した指標、即ち「スキル標準」が必要であるのではないかと考えました。

既存のスキル標準としては、ITスキル標準 、知財人材スキル標準、標準化人材スキル標準などがありますが、OSSコンプライアンス業務のスキル標準を策定するに当たり、社内の関係者が部署の枠を超え連携し、さらに他社や業界団体等と共に実施するという共通点を持つ「標準化人材スキル標準」を参考に、OSSコンプライアンス業務に関するスキル標準策定の第一歩として、業務遂行に必要となる細分化された業務フェーズを明確化し、スキル標準フレームワークを作成し、その内容を発表しました。

OSSコンプライアンスに関するスキル標準のフレームワーク

下の表が知財学会で発表したスキル標準のフレームワークです。左側でシステムの企画～開発～保守（運用）ごとにOSSコンプライアンスに関連する業務を抽出し、右側に各部門ごとに担当する業務を整理した形になります。

今回の発表では上記の全体像を提示するところまでとなっており、今後は各業務をさらに細分化しつつ、各業務を実行するのに必要な能力やその評価方法などを整理していくことになります。

最後に

今回ISOに採択された「OpenChain Specification 2.0」においても、1.2章でOSSコンプライアンスを実現する人員の役割と責任および適性を定義し、その適性評価の結果を保管する必要があると規定しています。（記事リンクを貼る）

ただし、各部署がどのような役割を果たすべきか、各担当者をどのように評価すべきかの具体的な項目や指標についてはOpenChainでは言及されておらず、各社に委ねられている形となります。OSSの利活用が企業の競争戦略に重要となっている中、各社のOSSコンプライアンス業務を円滑に進めるために利用できるツールとして活用してもらえるものを作れればと思っています。

明日はOpenChainの中身（Specification）紹介第2弾として、FAQ SGの島さんから1.4～1.5章の内容について紹介いただきます。明日以降もぜひOpenChain Japan Advent Calendar 2020をご覧ください！

This advent calendar has been created by our Japanese Work Group as part of their community outreach. We hope you enjoy their recap of compliance topics to end the year.

Yoshitaka Iwata of Hitachi, Ltd. will be on duty for the Advent calendar on December 8th. I am the leader of the “Educational Materials for Role” SWG of the Open Chain Japan WG. Thank you in advance.
By the way, what are you careful about when using OSS? Also, what kind of structure and content will you use when conducting education for using OSS within the company or team? What should software developers know to use OSS need? In order to answer these questions, I decided to think about what kind of educational materials would be good for each role related to OSS. The following content is, of course, based on the Open Chain specifications and curriculum.

1. Collection and analysis of education cases
   It seems that some companies have been educating on OSS even before the establishment of Open Chain. Therefore, we investigated the system, target member, form (lectures, group training, e-learning, material browsing, etc.), timing, and the existence of the English version of four companies. We analyzed the table of contents of each education and the outline of chapters / sections, and summarized the structure for software developers. The structure example is as follows.
   (1) What is OSS?
   (2) Intellectual property rights
   (3) OSS license
   (4) OSS compliance program
   (5) Examination when introducing OSS
   (6) OSS review
   (7) OSS distribution
   (8) Summary
   (9) Contact information
   (10) References / organizations
   First of all, we targeted software developers because we thought that software developers would be the first to use OSS internally or within a team.
2. Development of examples of specific educational materials
   Actually specific examples of educational materials for software developers were examined by the “Educational materials for Role” SWG.
   (1) What is OSS?
   Considering software developers who have never used OSS, how about telling them about general OSS definitions, usage examples of OSS in the target business (different for each business targeted by the company or team), the advantages and disadvantages of using OSS, and others?
   (2) Intellectual property rights
   In particular, intellectual property rights related to OSS include copyrights and patent rights. Since OSS is software, each OSS is copyrighted. Copyright means the right to modify, distribute, and copy. I hope you can explain these things in an easy-to-understand manner.
   (3) OSS license
   Why don’t you explain copyright rights obtained by the OSS license compliance(in other words, it is necessary to protect the OSS license in order to modify, distribute), examples of OSS licenses, permissive OSS licenses, copyleft and reciprocal OSS licenses, etc?
   (4) OSS compliance program
   The Open Chain specification recommends creating an OSS compliance program consisting of policies, processes, training, tools, etc. First, let’s share the policy for using OSS within the company and within the team. (The policy may differ depending on the use cases of target businesses.) Next, let’s show the organization related to OSS and the role of each member related to OSS. Then explain how OSS-related processes (OSS listing, OSS review, OSS distribution review) are incorporated into our software development process.
   (5) Examination at the time of introduction
   Let’s explain the points to be noted in the characteristics of the license and the points to be noted regarding intellectual property rights (patent rights, etc.).
   (6) OSS review
   Let’s explain the information collected in the OSS review, the content of the review, the available tools, and others.
   (7) OSS distribution
   Let’s explain what precess will be applied to distribute OSS in the target business form, including examples. Also, explain the implications of improper use of OSS and lack of license information in the software supply chain.
   (8) Summary
   (9) Contact information
   (10) References / organizations
   I think that (9) to (10) are effective for deepening the understanding of OSS within the company and the team.

Then, especially if (2) and (3) are explained to software by using analogy to legal terms that are common within the company and within the team, software developers will understand more easily. Also, in (4) to (7), if you explain by applying it to the system within the company or team and the software development process actually used, I think that you can deepen the understanding of software developers. Please devise.

An example of actual educational materials is shown in the markdown format at the following URL. Please refer to.
Https://github.com/OpenChain-Project/OpenChain-JWG/tree/master/Education_Material/Training/chapters

Tomorrow, tech_nomad_ will talk by the title “Framework for Skill Standards on OSS Compliance”. Among the roles related to the use of OSS, what kind of skills each person in each role should have is a difficult theme, isn’t it? I am also very interested in this theme and am looking forward to it.

１２月８日のアドベントカレンダを担当するのは、株式会社　日立製作所の岩田です。Open Chain Japan WGの「役割ごとの教育資料」SWGのリーダを担当しています。宜しくお願いします。
　さて、皆さんはOSSを利用する上で、一体何に気を付けていますか。又、社内やチーム内でOSSを利用するための教育を行う場合、どんな構成、内容にするでしょう。OSSを利用するソフトウェア開発者は、どんな事を知っておけば良いのでしょう。こんな疑問に答えるために、OSSに関係する役割ごとにどんな教育資料が良いかを、考えてみる事にしました。下記内容は、もちろんOpen Chainの仕様やカリキュラムを参考にしています。

１．教育事例の収集と分析
　Open Chainの設立前から、OSSに関する教育を実施している会社もある様です。そこで４社から、教育の体系、対象者、形態(講演会､集合研修､e-learning､資料閲覧､他)､タイミング、英語版有無、等を調べました。各教育の目次、章/節の概要を分析し、ソフトウェア開発者向けの構成を纏めました。その構成例は下記の通りです。
　(1)OSSとは
　(2)知的財産権
　(3)OSSライセンス
　(4)OSSコンプライアンスプログラム
　(5)OSS導入時の検討
　(6)OSSレビュー
　(7)OSS配布
　(8)まとめ
　(9)問い合わせ先
　(10)参考文献･団体
　先ずは、ソフトウェア開発者向けをターゲットにしたのは、OSSを社内やチーム内で一番最初に利用するのはソフトウェア開発者であると考えたからです。

２．具体的な教育資料の例の作成
　実際に具体的な、ソフトウェア開発者向けの教育資料の例を、「役割ごとの教育資料」SWGで検討してみました。
　(1)OSSとは
　　OSSを一度も利用した事が無いソフトウェア開発者を意識して、一般的なOSSの定義や、対象としているビジネス上でのOSSの利用事例（会社やチームが対象としているビジネス毎に相違）、OSSを利用するメリットやデメリット、他について教えてあげてはいかがでしょう。
　(2)知的財産権
　　特にOSSに関係する知的財産権は、著作権、特許権があります。OSSはソフトウェアなので、それぞれのOSSは著作権で保護されていています。著作権には、改変、配布(頒布)、複製する権利があります。これらの事が、わかり易く説明出来ると良いですね。
　(3)OSSライセンス
　　OSSライセンスを守る事で著作権上で得られる権利（言い換えれば、改変、配布(頒布)するためにはOSSライセンスを守る必要があるという事）、OSSライセンスの例や、パーミッシブなOSSライセンス、コピーレフト・互恵的なOSSライセンスの特徴、等を説明してはどうでしょう。
　(4)OSSコンプライアンスプログラム
　　Open Chainの仕様では、ポリシー、プロセス、トレーニングやツール等から成るOSSコンプライアンスプログラムを作る事を推奨しています。先ずは、社内やチーム内でOSSを利用する上でのポリシーを共有しましょう。（ポリシーは、対象とするビジネスのユースケース毎に異なるかもしれません。）次に、OSSに関係する体制、それぞれのメンバーがOSSに関係する役割を示してあげましょう。それから、自分たちのソフトウェア開発プロセスの中で、OSSに関係するプロセス（OSSリスト作成、OSSレビュー、OSS配布物確認）がどの様に組み込まれているかを説明しましょう。
　(5)導入時の検討
　　ライセンスの特徴で注意すべき点、知的財産権（特許権他）に関して注意すべき点、を説明しましょう。
　(6)OSSレビュー
　　OSSレビューでの収集する情報とレビュー内容、利用可能なツール、他について説明しましょう。
　(7)OSS配布
　　対象とするビジネス形態の中で、その様にOSSが配布されるかを、事例も含めて説明しましょう。又、ソフトウェアサプライチェーンの中で、OSSの不適切な利用やライセンス情報の不足がもたらす影響について、説明しておきましょう。
　(8)まとめ
　(9)問い合わせ先
　(10)参考文献･団体
　　(9)～(10)は、更に社内やチーム内でOSSに関する理解を深めるために有効だと考えています。

　それから、特に(2)、(3)は、社内やチーム内で共通している法律用語の解釈を使うと、よりわかり易くソフトウェア開発者に説明出来るかもしれません。又、(4)～(7)では、社内やチーム内の体制や、実際に使用しているソフトウェア開発工程に当てはめて説明すると、よりソフトウェア開発者の理解を深める事が出来ると思います。工夫して下さい。
　
　実際の教育資料の例を、マークダウン形式で下記URLに示しています。参考にして下さい。
　https://github.com/OpenChain-Project/OpenChain-JWG/tree/master/Education_Material/Training/chapters
　
　明日は、tech_nomad_さんが、『論文チーム(スキル標準)』というタイトルで語ってくれます。OSSの利用に関係する役割の中で、それぞれの役割の人がどういうスキルを持っていた方が良いか、ってなかなか難しいテーマですよね。私も大変興味あるテーマで、楽しみにしています。