2018年1月に生じた暗号資産取引所における流出事件後に、ユーザが暗号資産(ETH)の送金指示を行ったが、サービスを停止して送金しなかった取引所の責任が問題となった事例。
事案の概要
2018年1月26日にY(仮想通貨交換業。当時の名称。)がサイバー攻撃を受けて、仮想通貨NEMが大量に流出するという事件(本件事件)が発生した。Yに口座を有するXは、この事故の直後の同日に、イーサリアム1000ETHを海外の取引所に送信するよう指示(本件送信指示)をしたが、Yは、送信手続を行わなかった。この時点の価値は、1ETHが約11万円だった。
Yは、同年3月12日に、本件送信指示をキャンセルしたと通知した。この時点の価値は、1ETHが約7.5万円だった。
その後、Yは、同年3月30日に、保有するイーサリアム約1200ETHを、約4800万円で売却した。
Xは、Yに対し、本件送信指示に従わなかったことは債務不履行に当たり、本件キャンセルがなされるまでの間に1000ETHを売却することができなかったとして、価格下落相当分等の約3500万円の損害賠償をもとめた。
なお、Yのサービスの利用規約には、下記のような条項(本件条項)があった。
Yは,ハッキングその他の方法によりYの資産が盗難された場合,登録ユーザーに事前に通知することなく,サービスの利用の全部又は一部を停止又は中断することができる。
また、ユーザに配られていた説明書には、仮想通貨の価格変動によって大きく下落し、ゼロになったり、サイバー攻撃によって消失する可能性があったりすることなどが書かれていた。
ここで取り上げる争点
【Yの債務不履行の有無】
Yは、本件事件の直後に、本件条項に基づいてサービスの停止が行われていたのだから、本件送信指示が行われた時点では本件送信指示に従わなかったとしても、債務不履行責任を負わないと主張していた。
これに対しては、Xは、サービス停止が行われた時期を争うとともに、仮に本件条項に基づく停止が行われていたとしても、善管注意義務違反があると主張していた。
裁判所の判断
Yは,本件利用契約上,原則として,登録ユーザーの依頼に基づき,Y所定の方法に従い,ユーザー口座からの金銭の払戻し又は仮想通貨の送信に即座に応じる義務があった(本件規約8条3項前段)から,Yが即座に本件送信指示に対応しなかったことは,本件規約に掲げられたサービスの停止が許容される場合に該当しない限り,Xに対する債務不履行を構成するというべきである。
サービス停止が許容される場合にあたるかどうかが問題となった。
そして、本件事件当時の状況について、
- 2018年1月26日AM0:02に本件事件が発生し、Yは同日AM11:25頃異常を検知した
- これを受けてYはAM11:42には全通貨の送金停止を指示し、AM11:48には、本件条項に基づく停止措置が行われた
と認定し、本件送信指示が行われた時点では、すでに停止措置が行われていた(つまりその時点では送信指示に従う義務がなかった)と認定した。
また、仮にそうであったとしても、Xは、
Yには,善良なる管理者として安全かつ安定的なシステムを構築するとの注意義務に違反し,かつ,その態様の悪質性が重大であったから,Yが,本件送信指示に従わず,イーサリアムを即時に送金しなかったことについて債務不履行責任を免れるものではない
と主張していたが、この点については、まず、おおよそ下記のような事実を認定した。
- 本件事件当時、ビットコインと違って歴史が浅いNEMは、(1)ビットコインとはハッシュ関数が異なっているなど、対応するシステムの開発は一般的に困難であったこと、(2)コールドウォレットの実装には手間と時間で、国内ではこれを実装した事業者はいなかったこと、(3)マルチシグネチャ*1の導入も他の通貨よりも手間を要したことなどが挙げられる
- 全世界で4番目に多くNEMを取り扱っていたc社でもホットウォレットで管理しており、そのc社でも近接する時期に流出する事故が生じていた
Xは、Yは善管注意義務の内容として、NEMをコールドウォレットまたはマルチシグネチャで管理すべきであったという点について、
(ア) 前記ア(イ)dのとおり,Cは,本件事件発生当時,NEMに対応した既存のコールドウォレットとして,平成29年12月下旬に発売されたコールドウォレットが存在していたものの,同ウォレットは個人向けであり,未だ仮想通貨交換業者である被告が利用できるコールドウォレットの開発に必要なNEMの暗号化の方式及びハッシュ関数の情報や知見の蓄積が十分でなく,NEMのソフトウェア開発キットにおいてもソースコードを読み解くことに困難があったとの意見を述べていること(前記ア(イ)),本件事件当時,被告以外で唯一,国内でNEMを取り扱い,世界的に見ても多量にNEMを保有していたc社も,これらをホットウォレットで管理していたこと(前記ア(ウ)),Yがコールドウォレット対応を終え,同年6月7日にNEMの出金及び売却のサービスを再開するまでに約4か月を要したこと(前提事実(4)オ)に照らせば,本件事件当時,仮想通貨交換業者において,顧客のNEMを保管することができるような機能と安全性を備えたコールドウォレットが存在したとは認められない。
Yが加入するa協会において定められていた本件自主基準についても,(略)本件自主基準の対象はビットコインを想定していたものと考えられ,これにNEMのコールドウォレットの整備が含まれていたとは直ちに解されない。金融庁による事務ガイドラインにおいても,コールドウォレットについて明示的に言及した箇所においては,「利用者の利便性を損なわない範囲で,可能な限り」との記載になっていること(前記ア(ア)b)からすれば,NEMを含む全仮想通貨をコールドウォレットで管理することが容易であることは前提とされていなかったといえ,現に,Y以外の仮想通貨取引所についても,本件事件発生当時,取り扱う全ての仮想通貨をコールドウォレットで管理していたものではなかった(前記ア(ウ))との事情も認められる。
そうすると,本件事件発生当時,仮想通貨取引所において,NEMをコールドウォレットで管理することが容易であったとか,それが通常の取扱いであったとはいえないから,Yが,善良なる管理者として,NEMをコールドウォレットで管理すべき義務を負っていたとは認められない。
本件事件後に、金融庁がYにおいて不十分なシステムが常態化していたことを指摘したり、ホットウォレットで秘密鍵を管理することによるリスクをしてきする研究会があったことなどの事実を認めつつも、
しかしながら,これらの声明等による指摘は,いずれも本件事件発生後に,コールドウォレットに対応していれば本件事件を防ぐことができたという観点からされたものにすぎず,これらの指摘をもって,本件事件当時,現実にコールドウォレットによってNEMを管理することが容易であったと認められるものではない。
として、コールドウォレットによる管理をしていなかったことが善管注意義務違反を構成するものではないとした。
同様に、マルチシグネチャの採用についても、これを採用すべき注意義務があったものではないとした。
(ウ) マルチシグネチャの採用についても,ホットウォレットで保管している場合にマルチシグネチャを採用しても本件事件を防ぐ効果は乏しかったとのCの意見(前記ア(イ)e)や他の仮装取引所においても必ずしもマルチシグネチャを採用していたものとはいえないこと(前記ア(ウ))からすれば,ホットウォレットで管理していたNEMについて,マルチシグネチャを採用すべき注意義務があったとは未だ認められない。
さらには、十分な対策が取られないのであれば、NEMの取扱いを控えるべきであったというXの主張についても、そのような義務はないとした。
その結果、
以上によれば,Yが,善良なる管理者として安全かつ安定的なシステムを構築するとの注意義務に違反したと認めることはできないし,そもそも,本件条項が定められた主たる目的は,悪意の外部侵入者からXを含む顧客財産を保護するためのものと解されるところ,本件事件により現にYの資産が盗難された以上,何らの手当てもしないままサービスの提供を続ければ,更なる盗難の可能性を否定できないことからすれば,Yは,顧客の財産を善良なる管理者としで保護すべき注意義務を果たすために,本件条項に基づき本件停止措置を実施したといえるのであって,Yが,本件事件発生を受けて本件条項に基づき本件停止措置をとった結果,本件送信指示に従わなかったことをもって,本件利用契約に違反する債務不履行があったということはできない。
として、Xの請求を棄却した。
若干のコメント
2018年1月に起きたコインチェック(Y)からのNEMの流出事件に関して、多数の訴訟が提起されていますが、本件は、それによってNEMが失われてしまったユーザではなく、Yによる事故直後の対応により、他の暗号資産(ETH)の送信手続ができなくなり、その間に価値が下落して、売却機会を失ったというユーザからの損害賠償請求です*2。
裁判所は、単純に、「サービスを停止または中断できる」という利用規約の条項のみを以って、債務不履行はない、とするのではなく、より全体的にみて、当時のYにおいて十分なセキュリティ対策が取られていたかどうか(善管注意義務違反はないか)ということを審理しました。
契約書に明示的に定められていない事項について、具体的にどのレベルのセキュリティ対策をとるかどうか、サービス提供者の義務内容になっているか、ということについては、これまでもいくつかの裁判例で争われたことがあります。
有名なところでは、東京地判平26.1.23ですが、この事件では、ECサイトにおいてSQLインジェクション対策を取るべきかどうか、暗号化するべきかどうか、などの点について一つ一つ当時の技術水準などから義務の範囲・水準を認定しました。ほかにも、東京地判平30.1.29では、ECサイトにおいて3Dセキュアによる本人認証システムを導入しておくべきだったかどうかが論点になっています。また、同じ暗号通貨交換業のログイン認証システムの対策の水準が争いとなった例として東京高判令2.12.10があります。
これらの義務の範囲や水準の高低は、サービス提供契約の場合には、事故が起きた際を基準時として行うケースが多いですが、システム構築者の責任を問う場合には、開発契約締結時、あるいは仕様確定時が基準時となるでしょう。また、世間一般の水準として、何をソースとするか(鑑定、公的機関のガイドライン、学術論文等)というのも重要ですが、サービスの価格、広告、説明なども考慮され、それらの総合的な判断になるでしょう。
*1:仮想通貨を保管するアドレスの1つに対して,複数の秘密鍵を設けること
*2:類似のケースとして コインチェック事件 東京地判平31.2.4(平30ワ14724) - IT・システム判例メモ があります。