kickflowのOSSポリシーを策定しました

こんにちは、CTOの小林です。表題の通り、kickflow社ではOSSポリシーを策定して公開しました。

今回ポリシーを公開したのは、同じようにスタートアップで OSS 活動を推進したい企業やエンジニアにとって参考になるのでは、という思いもあります。本記事では、OSSポリシー策定の背景や手順を紹介しようと思います。

OSSポリシーとは

OSSポリシーとは、企業がオープンソースソフトウェア（OSS）を「利用」「公開」「運用」する際のルールやガイドラインをまとめたドキュメントです。特に、業務の中でのOSS活動を勤務とみなすかどうかや、著作物の権利関係を明確化するために策定されることがあります。

我々Webサービスを提供するテック企業は、SaaS基盤・SDK・フロントエンド・インフラなど、あらゆるレイヤーでOSSに依存しています。また、私たち自身がOSSに貢献するケースも増えており、透明性と再現性のある方針が欠かせません。

kickflowでも直近でエンジニアが Nuxt i18nに対してパッチを送るなど業務の中でOSSに対してコミットする事例が出てきており、こうした活動の業務上の位置づけや著作権の扱いなどを整理してほしいというニーズが生まれていました。

このような背景から、今回正式にOSSポリシーを策定することにしました。

他社事例を調べる

すでに多くの企業がOSSポリシーを策定しており、ありがたいことにOSSポリシーをCreative Commons Zero（CC0）で公開してくださっている企業もいらっしゃいます。

まずは公開されている各社のOSSポリシーを確認し、どのポリシーが今のkickflowの求めるポリシーに最も近いかを調査しました。結果、ZOZOテクノロジーズ様のOSSポリシーが内容として求めているものに最も近かったため、こちらをベースに自社のOSSポリシーを作成することにしました。

AIに改善点を相談する

ZOZOテクノロジーズ様のOSSポリシーはそのまま採用しても問題ない内容だったのですが、せっかく自社のOSSポリシーとして公開する以上、何かしら改良したものを公開したいと思いました。

そこで、Claude CodeにOSSポリシーをレビューしてもらい、改善点を優先度順にいくつか提示してもらいました。その中から、kickflowのOSSポリシーに追加したい以下の2つの条項（AI生成コードとセキュリティ）を追加しました。

## 2.3. AI 生成コードの取り扱い

AI ツール（GitHub Copilot、ChatGPT 等）を利用して生成されたソースコードについては、以下の規定に従って取り扱うものとする。

1.  AI 生成コードを利用する場合、従業員は生成されたコードの内容を確認し、その品質およびセキュリティについて責任を負う。
2.  AI 生成コードを当社 OSS または他者 OSS へのコントリビューションに含める場合、当該 OSS のライセンスおよびコントリビューションポリシーに従う。
3.  AI ツールの利用規約および出力の著作権に関する条項を確認し、これに従う。

## 4.4. セキュリティ脆弱性の取り扱い

従業員が他者 OSS においてセキュリティ脆弱性を発見した場合、以下の規定に従って対応するものとする。

1.  発見した脆弱性を当該 OSS のメンテナーに対し非公開で報告する（責任ある開示）。
2.  メンテナーが定めるセキュリティポリシーまたは脆弱性報告手順がある場合は、それに従う。
3.  脆弱性の詳細を公開する前に、メンテナーと修正のタイムラインについて調整するよう努める。
4.  当社製品・サービスに影響を及ぼす可能性がある場合は、速やかに OSS 管理組織に報告する。