AI生成コードの法的責任は提出者に：Linuxカーネル開発が新たなガイドラインを策定

Linuxカーネルの開発コミュニティは、数か月にわたる激しい議論を経て、AIが生成したコードの寄稿に関する正式なプロジェクトポリシーを策定しました。この規定は、AIを単なるツールとして実用的に受け入れる姿勢を基本としていますが、その責任の所在を明確に定めています。主要なポイントは、AIエージェント自身がコードに「Signed-off-by」タグを付与することを厳格に禁止した点です。

「Signed-off-by」タグは、開発者がそのコードが自作であるか、または適切なオープンソースライセンスの下で再配布する権利を持つことを法的に宣言するもので、開発者起源証明書（Developer Certificate of Origin）への同意を示す極めて重要な法的ステップです。新しい規定では、この証明書への認定は法的責任を負える人間のみに限定されました。したがって、AI生成コードを含む寄稿であっても、提出者はその内容を完全にレビューし、ライセンス要件への準拠を確認した上で、自らの「Signed-off-by」タグによって全ての責任を負う必要があります。

さらに、透明性を確保するため、AIツールが開発に関与した場合、新しく「Assisted-by」タグの使用が義務付けられました。このタグには、使用したエージェント名、モデルのバージョン、具体的なツール名を指定されたフォーマットで明記することが求められます。

このポリシー策定の背景には、著作権が不明確な学習データに基づくAIコードが、オープンソースのライセンスや開発者起源証明書の枠組みを揺るがす法的リスクへの懸念があります。また、質の低い生成物（「AIスロップ」）や不具合を含むパッチが大量に提出されることで、メンテナーの査読負担が限界に達している現状も大きな要因です。コミュニティは、コードの品質を維持し、オープンソースの信頼性を守ることを最優先課題としています。

---

背景

オープンソース開発、特にLinuxカーネルのような巨大なプロジェクトでは、コードの品質とライセンスの明確さが極めて重要です。AIツールの急速な進化に伴い、AIが生成したコードの著作権やバグ責任の所在が曖昧になり、コミュニティの根幹を揺るがす法的・技術的な課題が生じていました。

重要用語解説

• Signed-off-by: 開発者がコードを提出する際に、自身が作成したか、再配布権を持つことを法的に宣言するタグ。開発者起源証明書への同意を示す。
• Developer Certificate of Origin: コードの出所と、開発者がそのコードの著作権やライセンスについて責任を持つことを示す規約。オープンソースの信頼性を保つための法的根拠。
• AIスロップ: AIが生成した、品質が低く、不具合や誤りが含まれるコードの総称。オープンソースコミュニティの査読負担を増大させている問題点。

今後の影響

本ポリシーにより、AI利用は完全に禁止されるわけではなく、あくまで「人間が責任を持って利用する」という枠組みが確立されました。これにより、オープンソース開発におけるAIの利用は合法化されますが、提出者は全ての責任を負うため、開発プロセスにおける人間のレビューと責任の重要性が一層高まります。今後の開発フローに大きな影響を与えるでしょう。