英国の国民保健サービス(NHS)が、これまで公開していたオープンソースリポジトリの大部分を非公開化する方針を示したと報告されている。世界有数の公共医療システムが培ってきたデジタル資産が、なぜ「鍵のかかった引き出し」に収められようとしているのか。その背景と、日本の公共セクターDXへの示唆を考える。

NHSとオープンソース——これまでの関係

NHSは英国国民に無償で医療を提供する巨大な公共機関だ。2010年代以降、NHS Digital(現在はNHS Englandに統合)を中心にデジタル変革を推進し、GitHubには診療予約システム、電子患者記録連携、APIゲートウェイなど多岐にわたるコードが公開されてきた。

オープンソース化の意義は複数あった。まず納税者への説明責任——公的資金で開発されたコードを国民がレビューできることは、ガバナンスの観点から正当性があった。次に開発コミュニティとの協力——外部の開発者がバグを発見・修正し、NHSの限られたエンジニアリングリソースを補完する効果があった。そして国際的な知見共有——NHSの実装はほかの国の医療システムにとっても参考となる先行事例だった。

なぜ今、非公開化なのか

今回の方針転換には複数の要因が絡んでいるとみられる。

第一に財政的プレッシャー。英国の公共機関は現在、厳しい財政制約下にある。オープンソースリポジトリの維持——Issue対応、セキュリティパッチの適用、ドキュメント整備——には専任のエンジニアリコストが必要だ。「公開しっぱなし」では却ってセキュリティリスクになる。管理できないなら閉じる、という判断はリソース制約の観点では合理的に映る。

第二にセキュリティレビューの強化。医療データに関連するシステムは、コードの公開がアタックサーフェスの増大につながるリスクをはらむ。近年、公共インフラへのサイバー攻撃が増加する中、「公開コードを解析してゼロデイを探す」攻撃者へのフィードポイントを減らす判断は理解できる。

第三に組織再編の影響。NHS Digitalの統合やNHSX廃止を経て、オープンソース戦略を推進してきた担当者や文化が失われた可能性がある。技術的な負債と組織的な記憶喪失が重なると、「ひとまず全部非公開」という消極的な選択肢が浮上しやすい。

オープンソースコミュニティへの影響

この決定に対し、オープンソースコミュニティからは懸念の声が上がっている。NHSのコードをベースに開発していた外部プロジェクトは参照先を失い、改善コントリビューションのルートも閉ざされる。「公共のために作られたものが、公共から見えなくなる」という矛盾は、デジタル公共財の議論において象徴的な事例となりうる。

ただし、全てのリポジトリが非公開になるわけではないとされており、重要度や依存関係を精査した上での段階的対応の可能性も残る。詳細の公式発表が待たれる状況だ。

実務への影響——日本のエンジニア・IT管理者へ

日本の文脈では、デジタル庁・自治体・医療機関のシステム開発において以下の点が参考になる。

  • オープンソース化は「公開して終わり」ではない: 公開後の維持管理コストを事前にバジェット化しなければ、NHSと同じ状況に陥る。「誰が、いつ、どのコストで維持するか」を最初に決めること。
  • セキュリティレビューの仕組みを組み込む: 公開リポジトリには定期的なシークレットスキャン、依存関係の脆弱性チェック、不要なリポジトリのアーカイブ化を標準プロセスとして組み込む。
  • ライセンスと依存関係の把握: 外部が依存しているリポジトリを突然非公開にすると、OSSエコシステム全体に影響を与える。段階的移行計画と十分な事前告知が不可欠だ。
  • 「公開しない」という選択肢も戦略の一つ: 全てをオープンにすることが正解ではない。内部ユースケース特有のロジックや、セキュリティに直結するコンポーネントは非公開のまま管理するほうが賢明な場合もある。

筆者の見解

「オープンソースは善、クローズドは悪」という単純な二項対立に飛びつきたい気持ちはわかる。だが、これは組織のリソースと責任のバランスの問題だ。

公共機関がコードを公開することの価値は本物だ。透明性、再利用性、コミュニティとの協働——いずれも捨てがたい。だが「公開リポジトリを維持する専任チームがいない」状態で公開し続けることは、むしろリスクを積み増す行為になりうる。放置された公開リポジトリは、攻撃者にとってむしろ好都合だ。

私が気になるのは、こうした後退が「戦略的な判断」ではなく「予算削減の副作用」として起きているかもしれないという点だ。オープンソースへの投資を削ることは、短期的には節約に見えて、長期的には再開発コストや外部知見の喪失という形で跳ね返ってくる。

日本の公共DXを見ていても似た構造を感じる。オープン化の方針を掲げながら、維持のための人とお金の手当てが後回しになるケースは少なくない。NHSの今回の決断は、「公開すること」と「責任を持って運用すること」を切り離して考えてはいけないという教訓として、重く受け止めたい。

NHSがオープンソース文化を完全に手放したわけではないことを願う。正面から取り組む体力は、きっとまだあるはずだ。

出典: この記事は Is this the end? NHS is apparently shutting down most of its open source repos. Here’s why の内容をもとに、筆者の見解を加えて独自に執筆したものです。