不正アクセスによってビットコインが外部に不正送付されたユーザが、暗号資産（仮想通貨）交換業者に対して損害賠償等を求めた事案において、利用規約中のパスワード管理に関する免責条項によって免責されるか否かが問題となった事例。

事案の概要

Ｘは、Ｙが運営する仮想通貨*1の取引、売買等を行うサービス（本件サービス）を利用するためにユーザー登録を行った（Ｘのアカウントを「本件アカウント」という。）。

平成30年1月27日に、何者かが韓国のＩＰアドレスから本件アカウントにログインをし、短時間の間に本件アカウントに保管されているビットコイン（合計で、約7.9BTC）が外部に送付（窃取）された。

本件サービスでは、外部コインアドレスに仮想通貨を送付するときには、二段階認証を行う必要があり、二段階認証は、ログインパスワードの入力に加えて、ワンタイムパスワードを入力する方法だった。ワンタイムパスワードの発行方法は、ユーザの選択により、３種類提供されていたが、Xは、登録メールアドレス宛にメールする方法を選択していた。さらに、この方法の場合、登録メールアドレスがハッキングされると二段階認証が突破されるため、これに加えて４ケタの暗証番号（PINコード）を入力する必要があった。なお、Xは、初回登録時のログインパスワードをそのまま使用していた。

なお、上記の外部へのビットコインの送付には、正しいログインパスワード、ワンタイムパスワード、PINコードが入力されて行われた。

本件サービスの利用規約５条２項には、

パスワードまたはユーザーＩＤの管理不十分、使用上の過誤、漏洩、第三者の使用、盗用等による損害の責任は登録ユーザーが負うものとし、当社は一切の責任を負いません。登録ユーザー本人が入力したか否かにかかわらず、パスワードまたはユーザーＩＤの一致により当社が本人認証を行い、本サービスの利用が行われたこと（例えば、登録ユーザーが利用するメールサービス等の他社サービスでパスワードまたはユーザーＩＤが盗まれる等した結果、本サービスの利用が行われたことを含む）を直接または間接の理由として損害が生じた場合を含みます。

との規定があった。

本件訴訟におけるＸからの請求は、仮想通貨取引に関する法的構成がまだ確立していないことに鑑みて、多くの法律構成が立てられていた。

• 【主位的請求】ビットコインの寄託契約に基づくビットコインの返還債務の履行不能による損害賠償請求
• 【予備的請求１・２】ビットコインの売買契約／売買契約締結義務の債務不履行による損害賠償請求
• 【予備的請求３】本件サービスの利用契約に基づくビットコインの電子処理組織を用いた権利移転請求（※ビットコインの引渡請求）
• 【予備的請求４】Ｘが本件アカウントに約7.9BTCのビットコインを保有していることの確認請求

なお、原審判決（東京地判令2.3.2金商1598-42）は、原告の請求をいずれも棄却したため、原告が控訴したのが本件判決である。ただし、控訴審判決は、ほぼそのまま原審判決を引用しているため、以下の判旨引用部分は、原審判決のものである。

ここで取り上げる争点

メインで取り上げるのは実質的な争点である（２）だが、仮想通貨取引に関しては契約の性質が論じられやすいため（１）も取り上げる。

（１）寄託契約の成否

（２）Ｙが規約5条2項によって免責されるか否か

裁判所の判断

争点（１）寄託契約の成否

裁判所は、以下のように述べて、本件サービスにおいては寄託契約は成立しないとした。

寄託契約は，物の保管を目的とする契約であるところ（民法６５７条），民法上，物とは有体物のことをいい（民法８５条），有体物とは，空間の一部を占めて，有形的な存在のものをいうと解されるのに対し，ビットコインを含む仮想通貨は，電子的方法により記録される財産的価値であるにすぎず（資金決済法２条５項１号），空間の一部を占める有形的なものではないことが明らかである。したがって，ビットコインを含む仮想通貨は有体物とはいえず，仮想通貨を寄託の目的物とする寄託契約は成立し得ないものである。

Ｘは、金銭や電子化されている株式も寄託契約が成立していることから、仮想通貨についても同様であると主張していたが、裁判所は民法上は金銭も有体物として扱われているから寄託の目的物になり得ること、株式については寄託の目的物とされていることは立証されていないとして退けた。

争点（２）Ｙが規約5条2項によって免責されるか否か

まず、Ｘのアカウントがハッキングされたことについて、Ｘのパスワード管理が不十分であったと認定した（以下、適宜証拠番号等の引用個所を省略して引用）。

Ｘは，本件アカウントについて，初回ログインパスワードを変更せずに使用し，ワンタイムパスワードのメール発行を選択し，本件メールアドレスに送信されたメールが自身の用いる別のメールアドレス（以下「転送先メールアドレス」という。）に転送されるように設定した上，転送先メールアドレスのアカウントへのログイン用パスワードの一部として用いていた４桁の数字を本件アカウントのＰＩＮコードとして使い回していたことが認められる。Ｘによる本件アカウントのパスワードの上記管理状況からすれば，一たび転送先メールアドレスのアカウントがハッキングされて同アカウントへのログイン用パスワードが盗用されてしまえば，本件メールアドレスより転送されたメールから本件アカウントのログインパスワード及びワンタイムパスワードが盗用され，ＰＩＮコードも容易に推知される可能性が高いものであったといえる。
これらの事情によれば，本件各取引が行われた原因は，Ｘが本件アカウントの初回ログインパスワードを変更せずに使用した上，転送先メールアドレスのアカウントで用いていたパスワードの一部をＰＩＮコードに使い回したため，転送先メールアドレスのアカウントがハッキングされただけで本件アカウントの全ての認証が突破されてしまったことにあると解され，Ｘのパスワード管理が不十分であったことを原因として本件各取引が行われたものというべきである。

Ｘは、Ｙが免責されるためには、（規約の文言には明記されていないとしても）Ｙが善意無過失であったことを要し、Ｙにはハッキング防止対策が不十分であったという過失があったと主張していた。

裁判所は、善意無過失であることを要することを正面から認めたわけではないが、以下のようにＹが講じていた事情を挙げて「過失があるとはいえない」とし、Ｘの主張を退けた。

Ｙは，本件サービスについて，初回ログインパスワードを変更しないまま利用することが可能な仕組みを採用してはいたものの，Ｘを含む登録ユーザーに対し，初回ログインパスワードを変更するよう注意を喚起するメールを送信するとともに，二段階認証の設定を強く推奨し，ワンタイムパスワードについてメール発行を選択する場合，登録メールアドレスのアカウントがハッキングされると二段階認証が突破される可能性があることを説明し，ＳＭＳ発行又は認証アプリ発行を選択することを推奨する旨のメールを送信していたことが認められる。さらに，メール発行を選択した場合に登録メールアドレスのアカウントがハッキングされると二段階認証が突破される可能性があることへの対策として，メール発行を選択した場合に限り，資産を出金用外部コインアドレスに送付する際に，二段階認証に加えてＰＩＮコードによる認証を要することとしていたものである。

これらの事情に鑑みれば，Ｙは，登録ユーザーの利便性の見地からワンタイムパスワードのメール発行の方法を選択することも可能にしつつ，メール発行を選択した場合に登録メールアドレスのアカウントがハッキングされると二段階認証が突破される可能性があることに対する適切な対策を講じていたものというべきであって，本件各取引が行われることを防止する対策を怠った過失があるとはいえないから，Ｘの上記主張は採用することができない。

以上より、すべての主位的請求、予備的請求１から３を棄却し、予備的請求４は確認の利益を欠く不適法なものであるとして却下した。

若干のコメント

上記の争点の前提として、本件判決では、金銭による損害賠償請求によらず、権利移転請求（請求の趣旨「被告は，原告に対し，ビットコイン７．９２３４BTCについて，電子情報処理組織を用いた権利移転手続をせよ。」）を適法だとした点に意義があります*2。この請求の趣旨からは、ブロックチェーン上の権利移転手続を求めたのか、交換業者における登録ユーザーアカウント上の処理を求めたのかは明らかではありませんが、本件におけるＸの意思は後者であると思われます。結果的に請求は棄却されていますが、仮に認容された場合、直接強制することは困難で、間接強制することになろうと考えられます。

続いて、本件におけるメインの論点ですが、暗号資産に限らず、ウェブサービス全般において、アカウントの不正利用に関する免責条項が置かれています。これは、民法478条（下記）と趣旨を同じくするもので、Ｘも、それに準じて、Ｙが免責を主張するにあたっては善意無過失であることを要すると主張していました。

（受領権者としての外観を有する者に対する弁済）
第四百七十八条　受領権者（略）以外の者であって取引上の社会通念に照らして受領権者としての外観を有するものに対してした弁済は、その弁済をした者が善意であり、かつ、過失がなかったときに限り、その効力を有する。

裁判所は、善意無過失の要否は特に明らかにはしていませんが、Ｙのセキュリティ体制などを認定して「過失があるとはいえない」と述べてＸの主張を退けたので、規約文言には書かれていないが善意無過失であることを要すると考えていたことになります*3。

仮に、この種の条項においてサービス提供者の善意無過失を要するとした場合、どの程度の対策を講じればよいかということについては、サービスの内容によるとしかいえませんが、本件では初期パスワード変更を促す連絡をしていたことや、メールによる二段階認証はSMSなどの場合と比べて相対的に危険性が高いということでPINコードを必要としていることなどは参考になるでしょう。