IT・ベンチャーの企業法務

OSSを含む納品物にベンダーはどこまで責任を負うのか？契約類型ごとに民事責任と対策を解説

2025.06.30

オープンソース・ソフトウェア（OSS）は、コスト削減や開発スピードの向上といった利点から、現代のソフトウェア開発において広く活用されています。しかし、OSSをプロジェクトに組み込むことによって、ライセンス違反や不具合に起因する法的責任をめぐる問題も生じます。特に、ソフトウェア開発契約に基づいて成果物を提供するベンダーにとっては、OSS由来の問題でユーザーから損害賠償等を請求されるリスクが現実的なものとなっています。

本記事では、OSSを利用したソフトウェア開発における責任の基本的な法律関係から、契約形態ごとのベンダーの責任、免責の可否、などについて解説します。

この記事の目次

ベンダーとユーザーの間にある契約は請負契約または準委任契約

ソフトウェア開発に関する契約は、成果物を完成させる義務を負う「請負契約」と、一定の業務を遂行する「準委任契約」のいずれかの形態をとるのが一般的です。OSSを含んだ納品物に関しても、これら契約類型に基づいてベンダーの法的責任が判断されます。

請負契約とは

請負契約とは、民法第632条以下に規定される契約形態で、受注者（ベンダー）が成果物を完成させることに対して、発注者（ユーザー）が報酬を支払う契約です。この契約では、成果物に欠陥があれば債務不履行責任を問われることになります。例えば、請負契約においては、完成したソフトウェアが仕様通りに動作しないなどのケースこれに該当し、その欠陥がOSSに由来するか否かは問われません。

参考：民法｜e-Gov法令検索

準委任契約とは

準委任契約とは、民法第656条以下に規定され、請負契約とは異なり「結果の完成」までは求められず、「一定の行為」そのものが目的となります。システムエンジニアの常駐作業や要件定義といった業務等がこれに該当します。準委任契約に基づくソフトウェア開発では、成果物そのものに瑕疵があった場合でも、ベンダーが債務不履行責任を負うには、注意義務違反（善管注意義務違反）があったといえる必要があります。

ソフトウェアに不具合があるとベンダーは債務不履行責任を負う

請負契約において、ソフトウェアに不具合が存在すれば、ベンダーは修補義務や損害賠償責任を負う可能性があります。たとえその不具合がOSSに起因するものであっても、ベンダーがそのOSSを納品物に組み込んだ以上、契約上の責任から逃れることは難しい場合が多いです。

準委任契約であっても、OSSの選定・導入が明らかに不適切であれば、注意義務違反として責任を問われる可能性があります。OSSのリスク評価と、利用ライセンスの確認はベンダー側の重要な義務といえるでしょう。

OSSを含んだプログラムを納品するベンダーの対策

では、ベンダーがOSSを含んだプログラムを納品する際、民事責任の発生を回避・限定するためには、どのような対策が考えられるでしょうか。対策として考えられる契約上の措置として次のものが挙げられます。

ベンダーが債務不履行責任を負わないとする免責条項を設ける

どのような場合に契約責任を負うかは、基本的には当事者同士の協議で自由に設定することが可能です。そのためOSSに起因する不具合やライセンス問題についてはベンダーが責任を負わない旨の免責条項を設けることで債務不履行責任を回避できる可能性があります。

この場合、契約書には、「OSSに起因する不具合については一切責任を負わない」といった条項を盛り込むことが考えられます。

ユーザーが消費者である場合には消費者契約法により免責条項は無効

ユーザーが法人ではなく個人であり、かつ業務としてではなく消費生活の一環としてソフトウェアを依頼している場合、その契約には消費者契約法が適用されます。

消費者契約法第8条第1項第1号では「事業者の債務不履行により消費者に生じた損害を賠償する責任の全部を免除」する条項を置いても無効とすることが定められています。そのため、ユーザーが消費者である場合には、たとえ契約書に免責条項があったとしても責任追及は免れないでしょう。

参考：消費者契約法｜e-Gov法令検索

ユーザーの属性を問わず公序良俗違反となる可能性も

ユーザーが個人の消費者か否かに関係なく、一方的な免責条項については民法第90条で無効とされる可能性があります。

民法第90条は「公の秩序又は善良の風俗に反する法律行為は、無効とする」としています。例えば、ベンダーが故意または重過失でOSSに関するリスクを隠していた場合、たとえ免責条項を規定していたとしても無効とされる可能性があり、損害賠償責任を免れないことになります。

契約上の免責条項を設けるだけではなく、OSSの選定・管理・説明責任を果たすことが、現実的なリスクマネジメントの観点からも不可欠といえるでしょう。

ユーザーがOSSの利用を指定してきた場合のベンダーの責任

実務上、ユーザー側からOSSの使用を指定してくることもあります。この場合、請負契約の場合は民法第636条本文によって注文者の指示が不適切であるとして責任を免れることができます。

ただし、注文者の指示が不適切であることを請負人が知っていた場合には、民法第636条但書によって責任を免れることができません。

準委任契約の場合には善管注意義務違反が否定され免責される可能性があります。ただし、請負契約の場合と同様、委任者の指示が不適切であることを知っているような場合には、請負と同様に善管注意義務違反とされる場合があります。

指定されたOSSが既知のセキュリティリスクを抱えていたり、ライセンス上の問題があると分かっていながら、それを指摘せずに採用したような場合、責任を問われる可能性があります。ベンダーとしては、ユーザーの指示を鵜呑みにせず、専門家としての観点から再確認し、問題があれば指摘・報告する義務があるといえます。仮に使用を拒否できなかったとしても、書面で懸念事項を伝え、リスクを共有しておくことで、後々の責任追及に備える必要があります。

OSS開発者はOSSライセンスで責任を負わないとされている

なお、OSSに不具合があった場合でも、OSS（オープンソース・ソフトウェア）は無償で利用可能なソフトウェアであり、開発者は通常、そのライセンス文書において「現状有姿（AS IS）」での提供を明記し、バグやセキュリティ上の不具合について責任を負わないとしています。

これはOSSライセンスの基本的な考え方であり、例えばMITライセンスやApache License、GPLなどでも、ライセンスの末尾に「明示黙示を問わず、いかなる保証も行わない」といった免責条項が盛り込まれています。そのため、OSSそのものに不具合があった場合に、OSS開発者が損害賠償請求などの民事責任を問われることは、通常ありません。

まとめ：OSSを利用したソフトウェア開発の契約は弁護士に相談を

OSSは多くの開発現場で活用されている反面、法律や契約に関わるリスクも内包しています。OSSライセンスにより開発者が責任を負わないとしても、それを利用して納品物を構成するベンダーは、契約関係に基づいて民事責任を問われることがあります。特に請負契約の場合は、成果物に不具合があれば債務不履行責任が発生し、準委任契約でも注意義務を怠れば債務不履行責任追及されかねません。

こうしたリスクに備えるには、契約書で責任を制限したり、OSS選定とライセンス遵守の体制の構築、そしてユーザーとの透明な情報共有が欠かせません。OSSの恩恵を最大限活かしつつ、ベンダーとしての責任を適切にマネジメントするためにも、法的リスクへの備えは不可欠です。