IT・システム判例メモ

弁護士 伊藤雅浩が,システム開発,ソフトウェア,ネットなどのIT紛争に関する裁判例を紹介します。

決済サービス提供者における3Dセキュア導入の要否 東京地判平30.3.29(平28ワ13202)

カードの不正利用によってチャージバックされたネットショップ運営者が,決済サービス提供者に対して,立替払金の返還を求めたのに対し,セキュリティ対策が不備であるとして拒絶した事案

事案の概要

Xは,決済手段を含めたネットショップ開設サービスを提供しており,Yはその会員として,ネットショップを開設していた。


決済のルートは,下記の図のように,カード会社から加盟店,Xを経由してYに支払われるようになっていた。それぞれの契約において,一定の問題が生じた場合には立替払金を立替元に返金しなければならない旨の規定があった。


f:id:redips:20191103200329p:plain
関係者図


Yは,平成27年7月から9月頃までの間,合計55件のドローン関連製品を複数の顧客に販売したところ,後日クレジットカード名義人から身に覚えがないといったクレームが入ったため,カード会社から加盟店を経由してXに対して立替払金の返金を求め,Xはこれに応じた。


Xの担当者は,当時からYに対し,上記の過程で,Yの取引の中には不正利用の疑いがあるため,契約解除や配送停止をするよう注意するとともにチャージバックとなる可能性を指摘していた。同年9月7日にYからXに差し入れられた誓約書には,物品購入契約が「解除,取消し,無効等の理由により効力を失った」「実体がない又は金額相違などの疑義が生じた」場合には,立替払金を返金しなければならない旨が記載されていた。


Yが返金に応じなかったため,XはYに対し,立替払金の返還を求めた。


なお,決済時のセキュリティ手段としては,セキュリティコードの入力はあるもの,3Dセキュア等を利用した本人認証の仕組みまでは採用されていなかった。


本件の控訴審(東京高判平30.10.18(平30ネ2455))では特に大きな理由の変更もなく,原審が維持されている。


ここで取り上げる争点

Yの返金義務の有無。

Yは,返金事由該当性を争っていたほか,安全な決済手段を提供する義務を負っており,具体的には3Dセキュアによる本人認証システムを採用するなどして不正利用を防止する義務を負っていたのにこれを怠っており,そのようなXが返金を求めることは信義則に反すると主張していた。

裁判所の判断

安全な決済手段を提供する義務について裁判所は次のように述べた。

Xは,○○決済の提供者として,○○会員が○○決済に伴うリスクに徒らに晒されないように配慮すべき立場にあるから,○○決済がクレジットカードの不正利用に係るリスクとの関係で致命的な欠陥を有するにもかかわらず,Xがそれを殊更に放置しているような特段の事情がある場合には,そのリスクを一方的に○○会員に転嫁することが信義則違反と評価される余地はあるといえる。もっとも,○○会員には退会の自由も保障されている以上,その具体的な配慮の仕方については運営者であるXに一定の裁量が認められているというべきである。

と,Xには安全な決済を提供する責任があることを示唆しつつも,その具体的内容には裁量があると述べた。

そのような観点からすると,Xとしては,○○決済において,クレジットカードの不正利用に対する一般的な対策の一つであるカード利用者をしてセキュリティコードの入力をさせるシステムを整備した上で,クレジットカードの不正利用の疑いがある取引について情報を入手し次第,これをYに伝えて,契約解除及び商品発送の取りやめを慫慂したり,カード会社による返金請求(チャージバック)がされた場合でも,これに対する反証のための資料の収集・提出について被告を促したりしており,Yが無用な損失を被らないように一定の配慮をしていることが認められる。

この点について,Yは,3Dセキュアによる本人確認等を実施したり,○○会員にクレジットカードの名義人の情報等を共有したりするといった措置が採られていないとして,Xの配慮は最低限必要な水準に達していないと主張する。
しかし,XがYに対して決済手段(○○決済)を提供することの対価として得る手数料とXがb社決済を利用できることの対価としてb社に支払う手数料との間にはほとんど差がなく,Xにおいて○○決済を運営すること自体による利益は決済額の0.06パーセント余りにとどまることも考慮すると(注:前段の事実認定からすると,0.6%余りであるように思える。この点は,控訴審判決で訂正されている。),Xにおいて,(イ)で述べたような配慮をしているのであれば,Yの主張するような水準の措置まで講じていなかったとしても,Xの権利行使を法的に制限するような特段の事情があるとはいえないというべきである。

と述べて,Yの反論を退け,Xの請求を認容した。

若干のコメント

決済サービスを提供する事業者が,どの程度のセキュリティ措置を具備しておくべきかが争点の一つとなった事案です。どの決済事業者においても,カードの不正利用リスクを販売者に転嫁するような規定になっていますが,十分なセキュリティ措置を取っていなかった場合に,そのリスクを販売者に負わせてよいのかということが問題になり得ます。


本件では,Yは,3Dセキュアを採用していなかった点を問題にしましたが,裁判所は,一定の配慮をしていること,料率が非常に低かったことを挙げて,Yが主張するような仕組みを導入する義務まではないとしました。


どの程度の仕組みを導入するべきかは,そのときその時点の技術動向に応じて変わってくるものといえますが,料率も考慮されることからすると,「安かろう悪かろう」となる場合があることが示唆されています。


冒頭で述べたように,控訴審(東京高判平30.10.18)でも,Xの請求は退けられています。