不正にビットコインに交換されて出コインされたという事案における取引所運営者の責任が問題となった事例。
事案の概要
本件は,仮想通貨売買・取引所運営事業者Yにアカウントを開設していたX(個人)が,何者かにXの預託金約4500万円がビットコインに交換され,すべてXの了知しないビットコインアドレスに送付されたことについて,Yに対し,[1]消費寄託契約に基づく預託金の支払い,[2]不正取引防止等の義務に違反したという債務不履行に基づく損害賠償,[3]不法行為に基づく損害賠償として,約4500万円の支払いを求めたという事案である。
XとYは,平成28年8月5日にYが提供する仮想通貨売買・取引所サービスの利用契約(本件契約)を締結した。本件契約を構成する規約には,次のような免責規定があった。
(ア) 5条2項
パスワード又はユーザーIDの管理不十分,使用上の過誤,第三者の使用等による損害の責任は登録ユーザーが負うものとし,当社は一切の責任を負いません。
(イ) 13条1項1文
当社は,ビットコインの販売・買取,その他関連サービス並びにビットコインの価値,機能,使用先及び用途につき如何なる保証及び如何なる責任(瑕疵担保責任を含みます。)を負うものではありません。
(ウ) 14条2項
当社は,本サービスに関連して登録ユーザーが被った損害について,一切賠償の責任を負いません。なお,消費者契約法の適用その他の理由により,本項その他当社の損害賠償責任を免責する規定にかかわらず当社が登録ユーザーに対して損害賠償義務を負う場合においても,当社の賠償責任は,損害の事由が生じた時点から遡って過去1ヶ月の期間に登録ユーザーから現実に受領した本サービスの利用料金の総額を上限とします。
問題となった取引・交換の状況は次のとおりである。Xのアカウントには,平成29年2月10日時点では,4545万4702円,0.00472013BTCが残高として記録されていた。その後,同月22日午前6時14分から同日午前7時21分ころまでの間に,Xの預託金がビットコインに次々と交換され(本件交換),さらに出コイン(本件引出し)が行われ,残高は61円,0BTCになった(本件交換と本件引出しを合わせて「本件取引」)。
本件取引は,Yが提供するAPIを利用して行われており,本件引出しの送信元IPアドレスは,Yが提供している「プレイグラウンド」と呼ばれるテスト画面のものであった。
なお,Yは,平成30年6月22日に不正アクセスによる仮想通貨の不正流出の未然防止などの内部管理体制において問題が認められたとして,関東財務局から資金決済法63条の16に基づいて業務改善命令を受けたが,本件取引との関係は明らかになっていない。
ここで取り上げる争点
(1)本件契約の性質
Xは本件契約を消費寄託契約であると主張していた(請求[1])ことから,契約の性質が論点となっていた。
(2)債務不履行及び不法行為の成否
Xは,仮想通貨交換事業者であるYは,信義則上,不正取引を防止するために必要な水準のセキュリティを構築する義務等を負っているところ,これを怠ったと主張していた。
(3)免責規定の適用可否
Yは,仮に義務違反があるとしても,免責規定が適用されると主張していた。
なお,Yは抗弁として本件取引は,Xに割り当てられたAPIキー及びAPIシークレットが用いられたことから,XまたはXから許諾を受けた者が行ったと主張していたが,この点については裁判所からXの意に沿ったものではなく,不正に行われたものだと認定している。
裁判所の判断
争点(1)本件契約の性質について
消費寄託契約とは,当事者の一方が,相手方のために保管することを約し,ある物を受け取る旨の寄託契約において,受寄者が契約により寄託物を消費することができる旨を合意した契約をいい,寄託物の保管の合意がその本質的要素と解され,また,寄託契約の成立により,寄託者は,寄託物の返還義務を負い,消費寄託であっても,寄託者は,受寄者に対して,寄託物と同種,同品質,同量の返還義務を負うことからすれば,保管の合意に関しては,寄託物と同種,同品質,同量の返還を前提としているかが重要な考慮要素になるといえる。
と,消費寄託契約の要素について明らかにしつつも,ユーザーが預託する金銭は,仮想通貨の売買を即時にできるように,事前支払の手間を省くためのものであるとして,
ユーザーは,Yに対し,ビットコインの売買に使用されていない金銭の返還をいつでも求めることができるが,一旦ビットコインの売買に使用された金銭についてはその返還を求めることができないと解される。
そうすると,本件契約において,Yが,Xに対し,一旦ビットコインの売買に使用された金銭も含めてその返還義務を負っているとは認められないから,XがYに預託した金銭と同種,同品質,同量の返還を前提としているとはいえない。したがって,本件契約が消費寄託契約の性質を有するということはできない。
と,消費寄託契約ではないと認めたが,
もっとも,本件契約において,XがYに対し一旦ビットコインの売買に使用された金銭についてその返還を求めることができないのは,ビットコインの売買に使用することがXの意思に基づくものである場合に限られ,その意思に基づかない場合には,その返還を求めることができると解される。
争点(2)債務不履行及び不法行為の存否及び争点(3)免責規定の適用可否
Yが負っている義務と免責規定について,裁判所は次のように述べた。
Yのビットコインの取引の仕組みからすると,Yは,本件交換及び本件引出し当時,信義則上,利用者財産の保護のために十分なセキュリティを構築する義務を負っていたと解される(略)から,通常のウェブサイト上からユーザー自身のAPIキー及びAPIシークレットを入力して,Yのウェブサイトにあるユーザーのアカウント内の情報を呼び出して,ビットコインの取引が行われた場合や,通常のウェブサイト上からユーザー自身のユーザーID及びパスワードを入力して,Yのウェブサイトにあるユーザーのアカウントにアクセスして,ビットコインの取引が行われた場合であっても,Yにおいて,当該APIキー及びAPIシークレットの管理や,当該ユーザーID及びパスワードの管理が不十分であったなど,上記義務に違反していると認められる特段の事情がある場合には,本件免責規定は適用されないと解される(最高裁平成5年7月19日第二小法廷判決・集民169号255頁,判タ842号117頁参照)。
注目は,「当該APIキー及びAPIシークレットの管理や,当該ユーザーID及びパスワードの管理が不十分であったなど,上記義務に違反していると認められる特段の事情がある場合には,本件免責規定は適用されない」とした点である。ここで援用されている最高裁判例は,預金者以外の者が真正なキャッシュカードを使用して正しい暗証番号を入力して預金を引き出した場合における銀行による免責規定の適用可否について述べたものである*1。
そのうえで,Yにシステム構築義務違反があるかを検討した。そのうち,Xが主張した「異常取引の検知義務違反」と「二段階認証の推奨義務違反」について紹介する。まず,異常取引の検知義務違反については,
APIは,もともと通常のログイン取引に比して,複雑な取引条件を設定したり,大量又は自動的な取引をすることを希望するユーザー向けに設置されているサービスであり,Xの取引においても,短時間に多額の出金措置を講じたり,本件口座においてビットコインの売買をしたりするなどしていることからしても,API利用者には,ビットコインの取引に関し,多様なニーズがあることがうかがわれる。そして,そのようなAPI利用者の取引のうち,どのような取引をもって異常なものと判断することには困難を伴うと考えられ,また,Yとして,本件交換及び本件引出しがされた当時の技術水準からして,API利用者の通常の取引と比較して,異常な取引がされた場合に,そのような取引を注視させる措置を講ずることが技術的に可能であったとも認められない。
として,義務違反を否定した。続いて二段階認証については,Yは二段階認証を用意していたが,Xは,APIプログラムにおいて二段階認証を推奨する措置を講じなかったことを義務違反と主張していた。
YのCTOを務めるBの陳述書によれば,当時の仮装通貨業界では二段階認証を一般的に採用している会社はない旨の記載があり,Bも証人尋問において同旨の証言をするところ,Bの証言の信用性を左右するに足りる的確な証拠はなく,その信用性は否定し難い上に,APIが通常のログイン取引と異なり,API利用者の多様なニーズに対応する必要があり,二段階認証を通常の設定とすることが,複雑な取引条件を設定することや,大量又は自動的な取引を行うことを希望するユーザーにとって障害となる可能性も否定できないことからしても,本件交換及び本件引出しの当時,Yにおいて,API利用時に当然に二段階認証を通常設定とし,積極的に推奨する義務を負っていたとまでは認められない。
さらに,Yは,本件取引が行われた後である平成29年9月4日時点では,画面上に,二段階認証を強く推奨する旨の記載があったことも踏まえ,この点において義務違反はないとした。
Xのその他の義務違反の主張も否定され,システム構築義務違反は認められなかったことから,Xの請求はすべて棄却された。
若干のコメント
本件は,わずか1時間ほどの間に,何者かがユーザーのアカウント情報を利用してAPIを使用して4500万円相当のビットコインを購入し,当該ビットコインが外部に送られてしまったというハッキング行為について,取引所運営者の責任を否定しました。
セキュリティ事故が起きた場合に,事業者は,どの程度の措置を講じていれば免責されるのかということがしばしば問題になります。判決文でも援用されていたATMでの預金引き出しの事案は多数ありますし,ベネッセ事件をはじめとする個人情報の漏えい事故でも,この点が問題になります。本件は,正しい本人確認情報を用いて取引が行われたという場合において,当時の技術水準において必要な措置が講じられていたと認定されています。
ユーザーと事業者との間には,サービス利用契約締結時点において,通常のシステム開発委託契約のように仕様を合意するというプロセスがないため,サービスレベルの水準は社会通念に従って判断せざるを得ません。取り扱っている情報・取引の重要さ,サービスの価格(有償・無償も含め),利便性とのバランスなどが考慮されるものと思われます。
