英国政府デジタルサービス(GDS)は5月17日(現地時間)、国民保健サービス(NHS)がオープンソースリポジトリへのアクセスを停止した決定に対し、原則的な見解を表明した。NHSは「プロジェクト・グラスウィング(Project Glasswing)」の一部で報告された脆弱性に対応するため、該当リポジトリを閉鎖する措置を講じていた。GDSは5月14日に発表した文書の中で、「デフォルトでオープンを維持する」ことを公共部門における主要な推奨事項として強調している。サイモン・ウィリソンズ・ウェブログ(Simon Willison's Weblog)が報じた。
AI, open code and vulnerability risk in the public sectorと題されたGDSの文書は、公共部門における人工知能(AI)の利用、オープンソースコードの採用、そして潜在的な脆弱性リスクについて包括的な指針を示すものだ。この中でGDSは、政府機関が開発するソフトウェアやデータは、可能な限りオープンな形で維持されるべきだと強く主張している。全てを非公開とすることは、追加的な開発コストや政策決定コストを発生させるだけでなく、コードの再利用を阻害し、外部からの精査(レビュー)の機会を減少させる可能性があると指摘した。文書は、公共部門においてオープンネスがデフォルトの姿勢として維持されるべきであり、情報の閉鎖は控えめに、かつ意図的にのみ使用されるべきであると明記している。
NHSによるオープンソースリポジトリの閉鎖は、「プロジェクト・グラスウィング」と呼ばれる取り組みの一環で判明した脆弱性への対応として行われた。一般的に、オープンソースプロジェクトは透明性を高め、セキュリティの専門家やコミュニティによる広範な精査を通じて脆弱性を早期に発見し、修正する利点を持つと考えられている。しかし、NHSの決定は、特定の状況下で公共部門がセキュリティリスクを理由にオープンソース原則から一時的に距離を置く可能性を示唆している。
テレンス・エデン(Terence Eden)氏は、GDSの文書がNHSを直接名指ししていないものの、その内容が公共部門における主要な意見表明としてNHSの決定に向けられたものだと解釈している。エデン氏は、英国の公務員組織(UK’s Civil Service)においては、ビスケットなしの会議に招待されるという表現が、通常の会議で提供される丁寧な軽食を伴わない、より形式的で、時に冷ややかに感じられる議論や、暗黙の批判を意味する慣習があることを指摘。GDSが名指しを避けたのは、直接的な批判を避けつつも、その姿勢に疑問を呈するメッセージをNHSに送っていることを示唆していると分析する。この比喩は、英国公務員組織内の微妙なコミュニケーション文化と、GDSが公共部門全体のオープンソース実践に対する懸念を表明したことの重要性を浮き彫りにしている。
参考: Simon Willison’s Weblog — 2026年5月18日 00:59 (JST)