「GitHubなどクラウドサービス利用の萎縮につながらないように」、一般社団法人コンピュータソフトウェア協会が「GitHubに関する対応とお願い」を企業に向け発表

三井住友銀行が開発を依頼したシステムのソースコードが、当時開発を請け負っていた企業の元従業員によってGitHubに公開されていた、という事象が1月末に発生し、IT業界に広く衝撃を与えました。

この事象の背景には、IT業界の悪しき慣習ともいえる多重下請けの構造、本来強固な管理下にあったはずのソースコードが持ち出されていたというセキュリティ上の問題、業務内で作成されたソースコードの所有権という基本的な知識に欠けたプログラマの存在など、現在のIT業界が抱えるさまざまな問題が重なっています。

それゆえに、今回のような事象が今後起こらないようにするには、その複雑さを理解しつつ対応していく必要があるはずです。

そうした丁寧な対応策を顧みることなく、「従業員には今後GitHubの仕様を一切禁止する」あるいは「外部のクラウドサービスの利用はすべて上司の許可を必要とする」といった単純な防止策に走る企業が出るとも限りません。

単純な防止策がさまざまな企業に広まってしまえば、日本のIT業界はかえって硬直化し、進化を阻害することにもつながるでしょう。

CSAJが「GitHubに関する対応とお願い」を公開

そうしたことを危惧し、公開されたのが般社団法人コンピュータソフトウェア協会（CSAJ）の文書「GitHubに関する対応とお願い」です。

この文書の中でCSAJは今回の事象を理解する背景として「日本の産業構造の象徴ともいえるのが「多重下請け構造」（≒サプライチェーン）であり、委託や再委託を行わないとソフトウェア開発は行えない現実」と指摘。

そのうえで、「GitHubはソースコードを共有し合うサービスであり、ソフトウェア開発に求められるスピードや質の観点からも欠かすことのできないサービスである」として、むやみにGitHubやクラウドの利用を企業が制限しないよう、警鐘をならしています。

そして「組織はどのように向き合うべきか？」の項目において「経営者は、DXを積極的に推進するとともに、DXの根幹にはソフトウェア開発があることや、その開発の環境やプロセスなどの現状を理解する。」と、まず経営者がソフトウェア開発のプロセスなど現状を理解すべきと指摘。

さらに「道具（ツールやサービス等）を利用することは「人」であることを理解し、常にリテラシーの向上や教育を実施し、「人」に起因するセキュリティ事故をなくす（最小限にする）ようにする」と、人の教育が重要であることを説明しつつ「組織内外の開発エンジニアへの敬意を示すとともに、働き方（環境、待遇、ワークバランス等）の改善に継続して努める。」と、ソフトウェア開発者の環境への配慮を求めました。

現実にこうしたことを実現しようとすれば、多重下請け構造のなかでは難しいことに経営者は気づくはずでしょうし、セキュリティを高めるにはルールで縛ることよりも継続的な教育とリテラシの向上こそ重要だという理解も進むのではないでしょうか。

≫GitHubに関する対応とお願い | CSAJ 一般社団法人コンピュータソフトウェア協会