第三者からの不正アクセスによって仮想通貨であるビットコインが外部に不正送付された事案において、ユーザーのパスワード管理が不十分であったことなどから、利用規約によって不正送付に係る各取引の効力がユーザーに及ぶと判示した事例(控訴審係属中)
【事案の概要】
(1)原告は、インターネットにおける成功報酬型広告業務及び広告代理店業務を目的とする株式会社である。
被告は、仮想通貨交換業党を目的とする株式会社であり、被告の開設する仮想通貨取引に用いられるウェブサイト(以下「本件ウェブサイト」という。)において、①「ビットコイン販売所」及び「アルトコイン販売所」を運営し、被告との間でサービスを利用する旨の契約を締結した者(以下「登録ユーザー」という。)が保有する仮想通貨の買取り及び被告が保有する仮想通貨の登録ユーザーに対する販売を行うサービス、②登録ユーザー同士で仮想通貨を取引する場を提供するAという名称のサービス、上記①及び②のサービスの前提として③登録ユーザーの仮想通貨の取引用アカウント(以下「登録ユーザーアカウント」という。)における金銭や仮想通貨の預入れ及び登録ユーザーアカウントからの金銭や仮想通貨の払出しに関するサービス(以下、①ないし②を併せて「本件サービス」という。)を提供している。
(2)原告は、平成29年8月10日、本件ウェブサイトを通じて、本件サービスを利用するためのユーザー登録を行なって登録ユーザーアカウント(以下「本件アカウント」という。)を作成し、被告との間で、原告が被告の定める利用規約(以下「本件規約」という。)に従って本件サービスを利用する旨の契約(以下「本件利用契約」という。)を締結した。
本件規約の定め(抜粋)は、以下のとおりである。
ア 第5条 パスワード及びユーザーI Dの管理
2項 パスワードまたはユーザーI Dの管理不十分、使用上の過誤、漏洩、第三者の使用、盗用等による損害の責任は登録ユーザーが負うものとし、当社(注:被告。以下同じ。)は一切の責任を負いません。登録ユーザー本人が入力したか否かにかかわらず、パスワードまたはユーザーI Dの一致により当社が本人認証を行い、本サービス(注:本件サービス。以下同じ。)の利用が行われたこと(例えば、登録ユーザーが利用するメールサービス等の他社のサービスでパスワードまたはユーザーI Dが盗まれる等した結果、本サービスの利用が行われたことを含む)を直接または間接の理由として損害が生じた場合を含みます。
第7条 本サービスの利用
6項 登録ユーザーアカウントへの金銭または仮想通貨の預入、および同アカウントからの金銭または仮想通貨の払出しに関する利用条件は以下の通りです。
2号 当社は、登録ユーザーの要求により、当社所定の方法に従い、ユーザーアカウントからの金銭の払出しまたは仮想通貨の送信に応じます。(以下略)
(3)被告は、本件サービスのセキュリティーについて以下の仕組みを採用していた。
ア 登録ユーザーは、①自身の登録ユーザーアカウントにログインするとき、②ログイン後、新たに仮想通貨の出金用外部コインアドレスを作成するとき、③仮想通貨を出金用外部アドレスに送金するときに、登録ユーザーが一定の条件の下で任意に設定したパスワード(以下「ログインパスワード」という。)を入力する方法による認証を行う必要がある。
初回ログインパスワードは、登録ユーザーアカウントを作成すると、同作成時に登録するメールアドレス(以下「登録メールアドレス」という。)に対してメールを送信する方法で発行される。被告は、初回ログインパスワードの発行に併せて、登録メールアドレスに対し、登録ユーザーアカウントへの初回ログイン後に初回ログインパスワードを変更するよう求めるメールを送信しているが、初回ログインパスワードを変更せずに利用することも可能である。
イ さらに、登録ユーザーは、上記ア③のときには、ログインパスワードによる認証方法に加えて、取引段階ごとにその都度発行されるパスワード(以下「ワンタイムパスワード」という。)を入力する方法による二段階認証を行う必要がある。同①及び②のときに二段階認証を要するかは、登録ユーザーが任意に設定することができる。
ワンタイムパスワードの発行方法には以下のものがあり、登録ユーザーが選択することができる。
a)登録メールアドレス宛てにメールを送信する方法(以下「メール発行」という。)
b)携帯電話のショートメッセージサービス(携帯電話会社のネットワークを使用して、登録携帯電話番号に足しいてメッセージを送信する方法(以下「S M S発行」という。)。
c)スマートフォン等にインストールされたアプリケーションを利用してスマートフォンを利用してスマートフォン等にいてワンタイムパスワードを生成する方法(以下「認証アプリ発行」という。)
ウ メール発行を選択した場合、登録メールアドレスのアカウントが第三者によりハッキングされると二段階認証のいずれも突破されるおそれがあるため(注:ハッキングをした者は、ログイン後に他の方式に変更することが可能である。)、上記ア③のとき及び二段階認証の設定を変更するときに限り、二段階認証に加えて登録ユーザーが任意に設定する4 桁の暗証番号(以下「P I Nコード」という。)を入力することによる認証を行う。
(4)原告は、登録メールアドレスとして自身のメールアドレス(以下「本件メールアドレス」という。)を登録し、上記ア①〜③のいずれの場合にも二段階認証を要する設定とし、初回ログインパスワードを変更せずに使用し、ワンタイムパスワードについてメール発行を選択し、同c)により要求されるP I Nコードを設定し、本件アカウントを使用していた。
(5)本件アカウントは、平成30年1月27日午後5時46分及び49分、大韓民国のI Pアドレスからのログインを受け、同日午後5時50分には、新たな出金用外部コインアドレス(以下「本件コインアドレス」という。)が作成された。その後、本件アカウントにおいて、同日午後5時50分から57分までに、別紙3取引目録(略)記載の各取引が行われた(以下、同目録1、3及び5の取引を併せて「本件各取引」という。)。その結果、同日午後5時57分時点で本件アカウントに保管されている金銭及び仮想通貨の残高は、別紙2資産目録(略)記載2のとおりとなった。
別紙3取引目録記載の各取引は、本件アカウントの正しいログインパスワード、ワンタイムパスワード及びP I Nコードが入力されて行われた。
(6)原告は、本件訴えを提起して、本件アカウントに第三者からの不正アクセスを受け、仮想通貨であるビットコイン(単位:B T C)が外部に不正送付されたなどと主張して、被告に対し、主位的に、ビットコインを寄託の目的物とする寄託契約(以下「本件寄託契約」という。)の債務不履行に基づき、損害賠償950万8080円及びこれに対する遅延損害金の支払を求め(以下「主位的請求」という。)、予備的請求の一つとして、本件利用契約の本件規約7条6項2号に基づき、本件コインアドレスに送付されたビットコインの合計7.9234B T C(うち手数料0.0024B T C)(以下「本件ビットコイン」という。)(注:本件ビットコインは、本件各取引の効果が原告に及ばないとすれば、原告が、本件アカウントにおいて保有していることとなる。)について、電子情報処理組織を用いた原告への権利移転手続を求めた(以下「予備的請求3」という。)。
【争点】
多岐に渡るが、下記の争点についての裁判所の判断の概要を示す。
(1)予備的請求3は訴訟上の請求として特定されているか(以下「予備的請求3の適法性」という。)
(2)登録ユーザーのパスワード管理が不十分であったため第三者が登録ユーザーアカウントのパスワードを盗用したことを原因として登録ユーザーに損害が発生した場合、被告が責任を負わないこと等を定める本件規約5条2項によって被告が免責され、本件各取引の効力が原告に及ぶ結果、原告が本件ビットコインを喪失したといえるか(以下「予備的請求3の当否」という。)
なお、主位的請求について、裁判所は、ビットコインを含む仮想通貨は有体物(民法85条)とはいえず、仮想通貨を寄託の目的物とする寄託契約は成立し得ないから、被告が本件寄託契約によって生ずる本件ビットコイン返還義務の債務不履行責任を負うとは認められないと判示した(注:詳細については、省略する。)。
【裁判所の判断】
(1)予備的請求3の適法性について
予備的請求3は、原告が、被告に対して、本件アカウントにおいて本件ビットコインを保有していることを前提として、本件規約7条6項2号に基づき、電子情報処理組織を用いて本件ビットコインの権利移転手続を行うことを求めるものであり、原告の指定する送付先に対する本件ビットコインの送付手続きを求めるものと理解することができるから、訴訟上の請求として特定されているということができる。
(2)予備的請求3の当否について
ア 原告は、本件各取引時点において、本件ビットコインを保有していたものであるところ、本件各取引は、原告自身又は原告から本件アカウントへのアクセス権限を付与された者によって行われたものではなく、本件アカウントのログインパスワード、ワンタイムパスワード及びP I Nコードを盗用した第三者によって行われたものであると認めるのが相当である(注:理由の詳細については、省略する。)。
イ そこで、続いて、登録ユーザーのパスワード管理が不十分であったため第三者が登録ユーザーアカウントのパスワードを盗用したことを原因として登録ユーザーに損害が発生した場合、被告が責任を負わないこと等を定める本件規約5条2項によって被告が免責され、本件各取引の効力が原告に及ぶ結果、原告が本件ビットコインを喪失したといえるかを検討することとする。
原告のパスワード管理が不十分であったことを原因として本件各取引が行われたものか否かを検討するに、
原告は、本件アカウントについて、初回ログインパスワードを変更せずに使用し、ワンタイムパスワードのメール発行を選択し、本件メールアドレスに送信されたメールが自身の用いる別のメールアドレスに(以下「転送先メールアドレス」という。)に転送されるように設定した上、転送先メールアドレスのアカウントへのログイン用パスワードの一部として用いられていた4桁の数字を本件アカウントのP I Nコードとして使い回していたことが認められる。
原告による本件アカウントのパスワードの上記管理状況からすれば、一たび転送先メールアドレスのアカウントがハッキングされて同アカウントへのログイン用パスワードは盗用されてしまえば、本件メールアドレスより転送されたメールから本件アカウントのログインパスワード及びワンタイムパスワードが盗用され、P I Nコードも容易に推認される可能性が高いものであったといえる。
これらの事情によれば、本件各取引が行われた原因は、原告が本件アカウントの初回ログインパスワードを変更せずに使用した上、転送先メールアドレスのアカウントで用いていたパスワードの一部をP I Nコードに使い回したため、転送先メールアドレスのアカウントがハッキングされただけで本件アカウントの全ての認証が突破されてしまったことにあると解され、原告のパスワード管理が不十分であったことを原因として本件各取引が行われたものというべきである。
したがって、本件各取引は、本件規約5条2項によって、その効力が本件アカウント作成者である原告に及ぶものというべきである。
ウ これに対し、原告は、本件サービスにおける認証方法は、多要素認証(知識を用いた認証に、所有物を用いた認証や生態的特徴を用いた認証を組み合わせる認証方法)などといった暗証番号の使い回しに起因するハッキングを防止する対策が講じられていない上、第三者による不正なものである疑いのある取引について被告がその内容を審査した上で実行に移す仕組みが適切に構築されていなかったこと等を理由として、被告には本件各取引が行われることを防止する対策を怠った過失があるから、本件規約5条2項は適用されないなどと主張する。
しかし、上記イのとおり、本件各取引は転送先メールアドレスのアカウントがハッキングされたことに起因して行われたものと解されるところ、
被告は、本件サービスについて、初回ログインパスワードを変更しないまま利用することが可能な仕組みを採用してはいたものの、原告を含む登録ユーザーに対し、初回ログインパスワードを変更するよう注意を喚起するメールを送信するとともに、ワンタイムパスワードについてメール発行を選択する場合、登録メールアドレスのアカウントがハッキングされると二段階認証が突破される可能性があることを説明し、S MS発行又は認証アプリ発行を選択することを推奨する旨のメールを送信していたことが認められる。
さらに、メール発行を選択した場合に登録メールアドレスのアカウントがハッキングされると二段階認証が突破される可能性があることへの対策としてメール発行を選択した場合に限り、資産を出金用外部コインアドレスに送付する際に、二段階認証に加えてP I Nコードによる認証を要することとしていたものである。
これらの事情に鑑みれば、被告は、登録ユーザーの利便性の見地からワンタイムパスワードのメール発行の方法を選択することも可能としつつ、メール発行を選択した場合に登録メールアドレスのアカウントがハッキングされると二段階認証が突破される可能性があることに対する適切な対策を講じていたものであって、本件各取引が行われることを防止する対策を怠った過失があるということはいえないから、原告の上記主張は採用できない。
エ したがって、本件規約5条6項によって、本件各取引の効力が原告に及んだ結果、原告は本件アカウントにおいて本件ビットコインを喪失したものといえるから、原告が本件アカウントにおいて本件ビットコインを保有しているとは認められない。
よって、原告が、被告に対し、本件規約7条6項2号に基づき、本件アカウントに保管されている本件ビットコインについて電子情報処理組織を用いた権利移転手続請求権を有するとは認められない。
(3)結論
原告の主位的請求及び予備的請求1ないし3をいずれも棄却し、予備的請求4に係る訴えを却下する(一部棄却、一部却下)。
【コメント】
本裁判例は、原告のパスワード管理が不十分であったことを指摘して、本件規約5条2項によって、本件各取引の効力が原告に及ぶ旨判示したものです。このパスワードには、転送先メールアドレスのアカウントで用いていたパスワードの一部をP I Nコードに使い回したことの問題点を指摘していることから、本件アカウントのパスワードのみならず、転送先メールアドレスのアカウントで用いていたパスワードを含むものと考えられます。
また、本裁判例は、被告において、ワンタイムパスワードについてメール発行を選択する場合、登録メールアドレスのアカウントがハッキングされると二段階認証が突破される可能性があることを認識していたことを前提としつつ、メール発行を選択した場合に限り、資産を出金用外部コインアドレスに送付する際に、二段階認証に加えてP I Nコードによる認証を要することとしていたことなどから、上記の可能性があることに対する適切な対策を講じていたものと判示しました。このように二段階認証に加えてP I Nコードによる認証を要するとしたことで、登録メールアドレスのアカウントがハッキングされた場合の対策として十分なものと評価できるかについては、議論の余地があると思われます。