EUクラウド・AI開発法案：正しい点とまだ必要な点

欧州委員会は本日、EU技術主権パッケージの一部として、EUクラウド・AI開発法案（CADA）とEUオープンソース戦略を公表した。CADAは、欧州のテクノロジーセクターにおいて長年にわたり最も期待されてきた政策の一つである。発表から数時間で内容を分析したところ、いくつかの点が明らかになった。まず、これは欧州委員会によるオープンソースへの最も野心的なコミットメントである。

法案では、「オープンソースファースト」が前文ではなく運用条文に法的原則として明記されている。また、EU公共部門OSPOネットワークの設立、4つの保証レベルを持つ構造化されたクラウド主権認証枠組み、20億ユーロの投資枠（重要共有インフラ向けの専用オープンソースメンテナンス手段を含む）が含まれる。説明覚書は「クラウドスタック全体にわたる自律性」を4つの核戦略目標の一つとして正式に位置づけ、EUの技術的自立アジェンダに法的根拠を与えている。

クラウド・AIリーダーシップイニシアチブの運用目標2（第4条）は、「戦略的セクター向けに、デバイスエッジ、接続性、データ・AIツール、バックエンド、サービス層をカバーする、安全で回復力があり高性能なオープンクラウドコンピューティングスタック」の開発とパイロット運用を義務付けており、これはまさにオープンソースインフラプロバイダーが既に提供しているアーキテクチャを記述している。さらに、全EU加盟国は国家クラウド戦略に「技術的主権を強化するためにオープンハードウェア及びソフトウェア上に構築されたクラウドコンピューティングスタック技術の発展を支援する措置」を含めることが法的に義務付けられる（第7条第2項(g)）。

サプライチェーンの信頼性は法的基準となりつつある。提案されたサイバーセキュリティ法の改正は、ハードウェア及びソフトウェアICTサプライチェーンを明確に対象としており、CADAがクラウド主権のために確立したのと同じ信頼性基準を強化する。オープンソースインフラは、すべてのコンポーネントが検査可能であり、すべての依存関係が宣言されているため、プロプライエタリなソフトウェアスタックよりも構造的にその基準を満たしやすい。

しかし、CADAの最大のテストは、「拘束力があり執行可能なオープンソースファースト要件」を含むかどうかである。第41条は、「EU及び加盟国は、クラウド及びAIエコシステム又はスタックを構築する際に、EUの団体及び公共部門機関がオープン標準及びオープンソースライセンスでリリースされたコンポーネントを使用し、再利用することを奨励するために必要な措置を講じる」としている。方向性は正しいが、立法枠組みは「拘束力があり執行可能」というテストを満たしていない。オープンソースは単なる調達の優先事項であってはならない。必要なのは、公共資金がプロプライエタリソフトウェアに使われる前に、適格なオープンソースソリューションが存在するかどうかを契約当局が判断するという明確な手続き要件である。その評価は文書化され、監査可能でなければならず、証明責任は依存関係を回避する選択ではなく、依存関係を生み出す選択に課されるべきである。オープンソースこそが欧州の主権を現実にする唯一のアーキテクチャ条件である。シグナルは出ているが、構造と行動へのコミットメントが依然として必要であり、100近い署名を集めた公開書簡がその具体的な要求を提示している。