ヒヤリ・ハットの発生を契機にOSSの混入確認を必須化

2025年11月に発表した新経営戦略のもと、イノベーションによる成長、シンプル化、責任ある行動の3つを柱に事業を推進するオリンパス株式会社。開発現場では、AI、ロボティクス、クラウドなどのデジタル技術の融合により、医療の質や効率を高めるソリューションの構築に注力している。

制御系の組み込みソフトウェアから医療機器ソリューションまで、OSSの利用が欠かせない中、同社では10数年前にグループ内において、ベンダーに開発を依頼していたソフトウェアでOSSを利用していたことが発覚し、出荷直前に緊急対応を実施する「ヒヤリ・ハット」が発生した。再発防止に向けて、法務部門からの問題提起により、コンプライアンス違反の発生を防ぐことを目的としたOSS利用時の確実なライセンス対応と、意図しないOSS混入防止の2つを徹底するための仕組み作りに着手した。

まずは2011年に「OSS委員会」を発足させ、事務局(現：OSSコンプライアンス室)やインフラ、法務、知財、標準化部門が連携してサポートする体制を構築した。その体制のもとで各製品部門にOSS管理責任者を置き、製品の特性に合わせた最適な管理と運用を実現した。同時に教育体制も整え、経営者、ソフトウェア開発者、法務担当者、知財担当者、開発委託者など、それぞれの立場に合わせたOSS研修やツール研修を実施している。事務局長を務める小泉悟氏は「発足して10数年が経った現在は、コンプライアンスの維持管理がOSS委員会の中心業務で、体制もコンパクトになっています。研修は対象者に応じて集合研修、オンライン研修などを組み合わせ、定期的に実施しています」と説明する。

さらに、OSS管理責任者が自律的に管理運用できるよう、OSSライセンスの管理プロセスを全社標準として定めた。ソフトウェアを頒布する際はOSSの利用有無に関わらず、OSS混入の確認を必須とした。OSS混入の確認はツールの利用を推奨し、OSS利用の記録として「OSS報告書」の作成を義務付けて保管するプロセスとなっている。

同社では、OSS報告書のフォーマットがSBOM(Software Bill Of Materials：ソフトウェア部品表)のフォーマットとほぼ同一であることに着目し、OSS限定ではあるもののOSS報告書をSBOMとして扱っている。きっかけは、小泉氏がOSSのコンプライアンスに関する活動をしているOpenChain Japan Work Group^【1】でOSS報告書を紹介した際、参加者から「フォーマットを揃えれば国内で業界を問わず使えるのでは？」という意見が出たことだった。

「そこで、Work Group内でまとめる作業に着手したところ、国内に限定しなくてよいのでは？という話になりました。海外に話を持っていくと、SPDX(System Package Data Exchange：Linux Foundation傘下のプロジェクトで開発されたフォーマット)の簡易版として扱える、つまりSPDX Liteでいいということで、SPDXのサブセットとして簡易版のSPDX Liteが生まれました」と小泉氏は語る。

^{【1】OpenChain Japan Work Groupは、OSSのコンプライアンスに関する活動をしている日本のコミュニティです。}

FossIDは検出精度が高く誤検出が少ない「スニペット検出」「操作性」「コスト」の3つを評価

FossIDの導入の契機は、類似の既存ツールのサポート終了を迎えたことである。それに伴い、後継となるツールの調査を開始した。

「当社のソフトウェア開発は装置への組み込み系が主流、ハードウェア資源の制約の下で、OSSの利用に際しても必要な部分のみ利用し、さらに改変が高頻度で発生するため、スニペット検出ができるツールが必要でした」(小泉氏)

検討した同社は、スニペットスキャン機能を標準装備し、容量課金でなく開発者数に応じた料金体系を採用するFossIDを採用した。その理由について小泉氏は、「スニペットが検出できるツールとしてはFossID一択でした。大きかったのは、UIが既存ツールとよく似ていたことです。全ユーザーに再教育となるとコストが高くなると思っていましたが、これなら乗り換えコストも低いと感じました。利用料金も従来と大きく変わらないということで、迷うことなくFossIDに決めました」と語る。

事例の続きは、資料ダウンロードのお申し込みをお願いいたします。

---

＊ 掲載日：2026年3月
＊ 資料記載の担当部署は、取材時の組織名です。