2022年6月30日に公正取引員会が発表した資料「株式会社サイネックス及び株式会社スマートバリューから申請があった確約計画の認定等について」によると、二社は市町村のCMS導入に際し「オープンソースはセキュリティ的に危険であるから、オープンソースではないCMSを導入すること」を必須要件として仕様に盛り込むよう働きかけたとして、公正取引員会は確約手続きに付したとのことだ。該当する違反行為は独占禁止法第19条(不公正な取引方法第14項(競争者に対する取引妨害))とのこと。
確約手続きとは、「独占禁止法に軽微な違反が認められたので速やかに修正することでお目こぼしをする」という司法取引であり、厳重注意的な行政処分にあたる。スマートバリュー社はSMART L-Govなどの自社CMSを持っているようなので、その売り込みで「オープンソースはセキュリティ的に危険」という営業行為を行っていたのだろうか。これにより、WordPressやDrupalなどを排除することができていたが、ついに怒られが発生した、ということなのかもしれない。
この「オープンソースはセキュリティ的に危険」という嘘情報を吹き込まれた自治体がどうなるかについて、公取委は次のような見解を示している。
⑴ オープンソースソフトウェアについては、ソースコードが公開されている点で、脆弱性が発見されやすく第三者からの攻撃の標的になりやすいとの指摘がある。しかしながら、オープンソースソフトウェアではないソフトウェアについても、脆弱性が存在している場合はある。このため、情報システムにおける情報セキュリティ上の問題への対応においては、使用するソフトウェアがオープンソースソフトウェアであるか否かにかかわらず、適切に管理されたソフトウェアを使用して情報システムを構築すること及び構築後、使用するソフトウェアを最新版にアップデートしておくこと等の脆弱性を解消する運用・保守が欠かせないものである。
したがって、市町村等において導入されるCMSを、情報セキュリティ対策からオープンソースソフトウェアではないCMSとしなければならない理由はないものと考えられる。⑵ 前記2の行為〔引用者註・冒頭に紹介した違反行為〕を受けた市町村等の中には、オープンソースソフトウェアのCMSは情報セキュリティ対策上問題があるものと認識し、本件業務の仕様において、オープンソースソフトウェアのCMSの導入を認めない旨を定めた上で発注を行ったものがあり、これにより、オープンソースソフトウェアのCMSを取り扱う事業者は、当該本件業務の受注競争に参加することができないこととなっていた。
報道資料より、強調は引用者
おそらく、さまざまな案件において「WordPressはオープンソースでセキュリティ的に危険」ということは言われているのだろうが、それは自明ではなく、ともすれば独占禁止法違反にもなりかねないということは周知しておく価値があるだろう。「オープンソースは危ないんでしょう?」と言われたときの反証としてもよい事例になりそうだ。
筆者がなんどか書いたように、オープンソースコミュニティは法人ではないので、外部から悪口を言われ続けても反抗しづらい状況がある。特定の企業の製品が「セキュリティ的に危険」と吹聴すれば訴訟されるリスクさえあるが、なぜかオープンソースには悪口を言いたい放題という状況だ。ただし、WordPressにも広報チームができたことだし、今後、この状況は変わってくるかもしれない。