ブログ/ BLOG

  1. ホーム
  2. ブログ
  3. IT企業法務
  4. Zaifが70億円をハッキングされる前日に行っていた利用規約の変更は有効なのか

IT企業法務 インターネット 利用規約

Zaifが70億円をハッキングされる前日に行っていた利用規約の変更は有効なのか

杉浦健二 杉浦健二


【「AIと契約・知財・法律」セミナーのご案内】

2018年12月19日(水曜日)に東京で、2018年末時点におけるいわば「AI法務の総まとめ」として「AIビジネスの最前線からお送りする『AIと契約・知財・法律』」と題するセミナーを開催いたします。
過去の参加者の声や申込、詳細はこちらのページからどうぞ!

不正アクセスにより仮想通貨取引所Zaif(運営:テックビューロ株式会社)から約70億円の仮想通貨が外部流出した事件(当初約67億円と発表されたが後に約70億円に訂正)。

今年1月に約580億円分の仮想通貨NEM(ネム)が不正送金される事故を起こしたコインチェックの事件も記憶に新しいところですが、残念ながら大手取引所での仮想通貨ハッキング事故が続く結果となりました。

Zaifウェブサイトより https://zaif.jp/

Zaifの仮想通貨流出、70億円に 当初発表から3億円拡大(ITMedia)
http://www.itmedia.co.jp/news/articles/1809/22/news019.html

Zaif「67億円超ハッキング事件」信憑性ゼロのテックビューロに集まる疑念の声(Not-So-News )
http://nots.hatenablog.com/entry/2018/09/20/170000

Zaifはハッキング被害の確認までに4日を要していた

Zaifのプレスリリースから確認できる時系列は以下のとおり。

9月14日 17時頃から19時頃までの間、Zaifに外部からの不正アクセス。仮想通貨(BTC、MONA、BCH)が不正に送金される
9月17日 Zaif、サーバ異常を検知、翌18日ハッキング被害を確認。財務局へ報告を行うとともに、原因分析、捜査当局への被害申告等を行う
9月20日 午前2時15分 ハッキングにより約67億円の被害が生じた旨のプレスリリース
9月21日 被害額を約70億円に訂正するプレスリリース

以上の時系列によれば、

・9月14日に外部からの不正アクセスにより仮想通貨が不正に送金されたが、Zaifがサーバ異常を関知したのは17日、ハッキング被害を確認したのは18日。ハッキング被害確認までに4日を要している

・ハッキング被害を確認した18日から、プレスリリースまでに2日を要している

これらの点は後々に問題とされそうです。

Zaifは事件発生の前日に利用規約を改訂していた

今回のZaif70億円ハッキング事件では、クラウドサイン社のメディア「サインのリ・デザイン」様がZaifが外部から不正アクセスを受ける直前の9月13日に利用規約を改訂していたことを取り上げています。

驚くべきことに、「消費者保護の観点から」という理由で、「一切責任を負わない」と定めていた全部免責条項を削除する改訂を行なっていたことが、会社発表の新旧対照表から確認できました。

Zaif利用規約に見るコインチェック事件の教訓、そして事件前日の改訂に残る謎
https://www.cloudsign.jp/media/20180920-riyoukiyaku-zaif/(サインのリ・デザイン)

Zaifが9月13日付で利用規約の改訂を行った箇所のうち、今回のハッキング事件で問題になりそうな主な条項は以下のとおりです(変更内容はZaifの新旧対照表による)。

第9条 取引
2項
(変更前)
⑤当社は、当社による本サービスの提供の中断、停止、終了、利用不能又は変更、本会員のメッセージ又は情報の削除又は消失、本会員の登録の取消、本サービスの利用によるデータの消失又は機器の故障若しくは損傷、その他本サービスに関連して本会員が被った損害につき、賠償する責任を一切負わないものとします。
(変更後)
⑤当社は、当社による本サービスの提供の中断、停止、終了、利用不能又は変更、本会員のメッセージ又は情報の削除又は消失、本会員の登録の取消、本サービスの利用によるデータの消失又は機器の故障若しくは損傷、その他本サービスに関連して本会員が被った損害の填補を保証するものではありません。

(変更前)
⑦当社は、システムの異常による本サービスにおける本サービスで取り扱う仮想通貨に係る約定を取り消すことができます。その際、当社は、当該取消その他本サービスに関連して本会員が被った損害につき、賠償する責任を一切負わないものとします。
(変更後)
⑦当社は、システムの異常による本サービスにおける本サービスで取り扱う仮想通貨に係る約定を取り消すものとします。その際、当社は、当該取消その他本サービスに関連して本会員が被った損害の填補を保証するものではありません。

Zaif Exchange利用規約の一部変更のお知らせ・2018年9月13日付

つまりZaifは「当社は一切責任を負わない」と定めていた上記の箇所について、ハッキングがされる前日の9月13日付で「損害の填補を保証するものではありません」と改訂を行っていたことになります。

仮想通貨取引所のようなBtoC取引において、いかなる場合でも「当社は一切責任を負わない」と定める利用規約が消費者契約法に抵触するものとして無効となること(同法8条1項1号及び3号)は、当事務所の過去ブログで指摘したとおりです。

(STORIA過去記事)コインチェックの「当社は賠償責任を一切負わない」と定める利用規約は有効なのか
https://storialaw.jp/blog/3834

改訂後の「損害の填補を保証するものではありません」という文言は、消費者契約法上無効とされる「消費者に生じた損害を賠償する責任の全部を免除する条項」(第8条1項1号3号)にはストレートにあたらなくなったようにも思えます(完全に有効とまでいえるかはなお議論の余地が残りますが)。

このような利用者に損害が生じる直前になされた利用規約の変更は、はたして有効と判断されるのでしょうか。

利用規約の改定が有効になるためには適切な周知期間が必要

経済産業省が定める「電子商取引及び情報財取引等に関する準則」では、ウェブサイト利用規約の規約変更について、以下のように記載しています。

電子商取引及び情報財取引等に関する準則(平成30年7月)経済産業省 P26以下

(3)サイト利用規約の変更とその効力
③サイト利用規約の変更前に締結された継続的な契約の変更に対する黙示的な同意
(中略)この点、利用者による明示的な変更への同意がなくとも、事業者が利用規約の変更について利用者に十分に告知した上で、変更の告知後も利用者が異議なくサイトの利用を継続していた場合は、黙示的にサイト利用規約の変更への同意があったと認定すべき場合があると考えられる。
黙示の同意を認定する上では、変更の告知により、利用者が少なくともサイト利用規約に何らかの変更がなされる事実を認識しているであろうと認定できること、及び利用者に対して変更内容が適切に開示されていることがまず必要となる。
なお、上の(2)③に述べた利用者への説明に配慮すべき努力義務は、サイト利用規約の変更の告知にも当てはまる。
また、例えば、ⅰ)変更が一般の利用者に合理的に予測可能な範囲内であるか否か、ⅱ)変更が一般の利用者に影響を及ぼす程度、ⅲ)法令の変更への対応、悪意の利用者による不正やトラブルへの対応、条項・文言の整理など、一般の利用者であれば当然同意するであろう内容であるか否か、ⅳ)変更がサービスの改良や新サービスの提供など利用者にもメリットのあるものであるか否か、といった点は、サイト利用規約の変更への黙示の同意の成否を認定するにあたり考慮される可能性がある。

上記準則では、利用規約の変更について利用者に十分に告知した上で、変更の告知後も利用者が異議なくサイトの利用を継続していた場合は、黙示的にサイト利用規約の変更への同意があったと認定すべき場合がある、としています。そして十分に告知したと言えるためには、ウェブサイトへの掲載のみならず、利用者へのメール送信等による通知も行うことが望ましいものといえます。

ではZaifは今回の利用規約変更について、利用者に十分に告知していたと言えるでしょうか。
実は私はZaifのアカウントを持っています(アカウント開設のみで利用したことはなかったため、損害は生じませんでした)。Zaifユーザーである私のメールアドレスには、9月13日付で利用規約を一部変更した旨の通知が9月14日20時00分に届いています。

Zaifから届いた利用規約の変更を告知する旨のメール(9月14日20時00分受領)

9月14日17時頃~19時頃と発表されているハッキング事件発生時において、利用規約変更を告知するメールが(少なくとも私には)届いていませんでした。とすれば、損害発生時において、利用規約の変更について「十分に告知されていた」とは評価できない可能性が高いと思われます。

あわせて先に触れたサインのリ・デザイン様の記事(追記部分)によれば、9月13日付改訂前のZaif利用規約第18条では

第18条 本利用規約の変更
・Zaifは利用規約を変更する場合、その旨を「https://zaif.jp/」(これより下位の階層のウェブページを含む。)に掲載し、かつ、当社からの連絡先として指定された本会員のメールアドレス宛に通知する。この変更に同意できない場合は上記掲載から30日以内に本サービスの利用を終了し、本会員登録の抹消をしなければならないものとする(18条3項)
・Zaifは、前項の掲載から30日以内に本会員が本会員登録の抹消をしない場合、本会員が本利用規約の当該変更に同意したとみなすものとし、このようにみなされることについて本会員はあらかじめ同意するものとする(18条4項)

旨が記載されていたとのこと。上記のみなし同意に関する改訂前の条項が有効との前提に立ったとしても、本件ハッキング事件時点ではウェブサイトへの掲載とメールアドレス宛の通知、いずれからも30日が経過していない以上、上記の規約変更へのみなし同意(Zaif改訂前利用規約18条4項)がなされていたとは評価できない、と考えられます。

Zaifハッキング事故では変更前の利用規約が適用される可能性が高い

以上より、Zaif利用規約変更について利用者に十分な告知がなされていない段階(改訂前利用規約18条4項のみなし同意が成立する前の段階)で発生した今回のハッキング事故については、改訂前のZaif利用規約が適用される可能性が高いものといえます。

今回のハッキング事故に改訂前の利用規約が適用されるとすれば、改訂前のZaif利用規約のうち「当社は一切責任を負わない」と定めていた部分は消費者契約法に反して無効と判断され、「損害の填補を保証するものではありません」と定めた改訂後の利用規約は適用されないことになります。

ただ消費者を害するとして無効となるリスクの高い条項を含んでいた旧利用規約を改訂したこと自体は、消費者契約法の趣旨からすればむしろ利用者にとって有利に変更されたものとして評価されるべきではないかと思えますし、利用者に有利に利用規約を改訂した場合であっても、十分な周知されていなかったことを理由になお改訂前の規約が適用されるというのは事業者にとって酷(ひいては利用者にとっても酷)なようにも思え、この点は議論の余地が残るものと感じます。

実はこの点(利用者に有利な変更を行った場合も事前周知を要するか)については、以下のとおり、民法改正においては一定の手当てがされています。

民法改正では「定型約款」の規定が新たに設けられた

2020(平成32)年4月1日から施行が予定されている改正民法では、ウェブサービスの利用規約のような定型約款について新たに定めが設けられました。

改正民法においては、定型約款の変更は
①変更が相手方(利用規約におけるサービス利用者)の一般の利益に適合するときか、または
②変更が契約をした目的に反せず、かつ、変更の必要性、変更後の内容の相当性、この条の規定により定型約款の変更をすることがある旨の定めの有無及びその内容その他の変更に係る事情に照らして合理的なものであるとき
についてのみ、利用者と個別に合意をすることなく変更後の条項について合意があったものとみなせる旨を定めています(改正548条の4第1項)。

改正民法
第548条の4(定型約款の変更)
1.定型約款準備者は、次に掲げる場合には、定型約款の変更をすることにより、変更後の定型約款の条項について合意があったものとみなし、個別に相手方と合意をすることなく契約の内容を変更することができる。
① 定型約款の変更が、相手方の一般の利益に適合するとき。
② 定型約款の変更が、契約をした目的に反せず、かつ、変更の必要性、変更後の内容の相当性、この条の規定により定型約款の変更をすることがある旨の定めの有無及びその内容その他の変更に係る事情に照らして合理的なものであるとき。
2.定型約款準備者は、前項の規定による定型約款の変更をするときは、その効力発生時期を定め、かつ、定型約款を変更する旨及び変更後の定型約款の内容並びにその効力発生時期をインターネットの利用その他の適切な方法により周知しなければならない。
3.第一項第二号の規定による定型約款の変更は、前項の効力発生時期が到来するまでに同項の規定による周知をしなければ、その効力を生じない。
4.第五百四十八条の二第二項の規定は、第一項の規定による定型約款の変更については、適用しない。

仮に今回のZaif利用規約改訂が民法改正後になされていた場合、消費者契約法無効となる可能性が高い利用規約を有効となるように改訂したものですので、上記①(利用者の一般の利益に適合する変更)または②(合理的な範囲での変更)の要件は満たすものと思われます。

改正民法では、利用者に有利な変更は事前の周知期間を要しない

改正民法においては、定型約款を変更するときは、効力の発生時期、変更する旨、内容、効力発生時期をインターネットその他適切な方法により周知させる必要があります(改正548条の4第2項)。さらに上記②の変更(合理的な範囲での変更)の場合は、変更の効力発生時期までに周知手続をとる必要があります(同3項)。これに対して上記①の変更(利用者の一般の利益に適合する変更。つまり利用者にとって有利となる変更)の場合は、効力発生時期までの周知手続は要しないとされています。

仮に今回のZaif利用規約のような改訂が民法改正後になされていた場合、消費者契約法上無効となる可能性が高い利用規約を有効となるように改訂したことが、上記①の変更(利用者の一般の利益に適合する変更)にあたるとすれば、変更の効力発生時期までに周知手続をとっている必要はなく、変更後の利用規約が有効に適用される可能性があります。

もちろん、改訂前は消費者契約法上無効となる規定だった以上、「損害の填補を保証するものではありません」と定めた利用規約への変更は、上記①の変更(利用者の一般の利益に適合する変更)にあたらず、あくまで効力発生時期までに周知手続を要する②の変更(合理的な範囲での変更)にあたる、とも考えられます。②の変更にあたる場合、周知から効力発生時期までどの程度の期間を置けばよいのかを定めた具体的な規定はありませんが、少なくとも本件のように変更とほぼ同時期に発生した損害について、変更後の規約が適用されることはないものと思われます。

本件の暫定的な結論

最後は少し複雑な話になってしまいましたが、本件はあくまで民法改正前に発生した事案です。今回のハッキング事故については改訂前のZaif利用規約が適用され、改訂前の規約のうち「当社は一切責任を負わない」と定めていた部分は消費者契約法に反して無効と判断され、「損害の填補を保証するものではありません」と定めた改訂後の利用規約は適用されないと判断される可能性が高い、というのが現時点での暫定的な結論となります。(弁護士杉浦健二

・その他の最新情報はツイッターで配信しております⇒ @kenjisugiura01

【関連過去記事】
利用規約における免責規定は会社を救う
コインチェックの「当社は賠償責任を一切負わない」と定める利用規約は有効なのか
利用規約モバゲー利用規約に対して差止訴訟。もはや消費者契約法に違反する利用規約を定める時代ではない


【「AIと契約・知財・法律」セミナーのご案内】

2018年12月19日(水曜日)に東京で、2018年末時点におけるいわば「AI法務の総まとめ」として「AIビジネスの最前線からお送りする『AIと契約・知財・法律』」と題するセミナーを開催いたします。
過去の参加者の声や申込、詳細はこちらのページからどうぞ!