コインチェックの利用規約をチェックしたら、通常あるはずのアレがなかった
1月26日以降出金が停止され、金融庁の立入り検査が始まり、被害者側弁護団も複数立ち上がるなど、予断を許さない状況になっているコインチェック事件。
一般ユーザー(消費者)の財産を預かる仮想通貨取引所という、Webサービスの中でもかなり難易度の高いリスクコントロールを求められるサービスにおいて、利用規約上どのような対処がなされているのか。特徴的な部分をピックアップするとともに、万が一紛争となった場合にユーザーとの間で論点となるであろうポイントについて、分析してみました。
▼Coincheck 利用規約(PDF)
https://assets-coincheck.s3.amazonaws.com/uploads/agreement/document/japanese_file/customer_04_coincheck_terms_of_service_20170731.pdf
なお念のため、利用規約どおりの対応とはならない可能性、たとえば利用規約では免責と書いてあってもコインチェック社が事態収拾のため積極的に責任を負担するようなこともありえます。ここではあくまで文言上導かれる解釈のひとつとして受け取っていただければと思います。
ハッキングによるサービス停止措置とその責任
コインチェック社のプレスリリースおよび会見によれば、「保有しているNEMが不正に外部へ送金された」つまりハッキングが発生したとして、サービスの一部機能が停止されています。
これが本当なのかはさておいて、ハッキングの可能性はさすがにコインチェック社も事前に想定をしていたようで、その場合はサービス停止・中断されること、そして停止・中断によって損害が発生しても一切の責任を負わない旨が明文化されています。
Coincheck利用規約
第14条(本サービスの停止等)
1 当社は、以下のいずれかに該当する場合には、登録ユーザーに事前に通知することなく、本サービスの利用の全部又は一部を停止又は中断することができるものとします。
(1) 本サービスに係るコンピューター・システムの点検又は保守作業を定期的又は緊急に行う場合
(2) コンピューター、通信回線等が事故により停止した場合
(3) 火災、停電、天災地変等の不可抗力により本サービスの運営ができなくなった場合
(4) ハッキングその他の方法により当社の資産が盗難された場合
(5) 本サービス提供に必要なシステムの異常の場合
(6) アカウントの不正利用等の調査を行う場合
(7) 仮想通貨の流動性が低下した場合
(8) その他、当社が停止又は中断を必要と判断した場合
2 当社は、当社の都合により、本サービスの提供を終了することができます。この場合、当社は登録 ユーザーに事前に通知するものとします。
3 当社は、本条に基づき当社が行った措置により登録ユーザーに生じた損害について一切の責任を負いません。
論点となりそうなのが、この「当社が行った措置(サービス停止・終了)により登録ユーザーに生じた損害について一切の責任を負いません」とする免責規定の有効性です。このような一方的免責条項は、消費者契約法第8条により無効とされる可能性があります。消費者契約法の条文を見てみましょう。
消費者契約法
(事業者の損害賠償の責任を免除する条項の無効)
第八条 次に掲げる消費者契約の条項は、無効とする。
一 事業者の債務不履行により消費者に生じた損害を賠償する責任の全部を免除する条項
二 事業者の債務不履行(当該事業者、その代表者又はその使用する者の故意又は重大な過失によるものに限る。)により消費者に生じた損害を賠償する責任の一部を免除する条項
三 消費者契約における事業者の債務の履行に際してされた当該事業者の不法行為により消費者に生じた損害を賠償する責任の全部を免除する条項
四 消費者契約における事業者の債務の履行に際してされた当該事業者の不法行為(当該事業者、その代表者又はその使用する者の故意又は重大な過失によるものに限る。)により消費者に生じた損害を賠償する責任の一部を免除する条項
五 消費者契約が有償契約である場合において、当該消費者契約の目的物に隠れた瑕疵かしがあるとき(当該消費者契約が請負契約である場合には、当該消費者契約の仕事の目的物に瑕疵があるとき。次項において同じ。)に、当該瑕疵により消費者に生じた損害を賠償する事業者の責任の全部を免除する条項
(略)
未だハッキングの原因が特定されていないので、これが債務不履行と評価されるのかは分かりません。とはいえ、NEMはインターネットに接続されたホットウォレット上で保管され、秘密鍵の安全性を高めるマルチシグネチャも実装されていなかったことはすでに明らかになっています。このような管理体制をもってしてもコインチェック社の債務不履行にあたらずこの免責規定が有効となるのかが、論点となりそうです。
なお、この消費者契約法第8条の定めは、Coincheck利用規約第17条の免責規定とも関連してくるのですが、これについては後述します。
出金停止措置と「合理的な理由」の存否
目下、ユーザーの皆さんがもっとも困っていらっしゃるのが、1月26日16:33以降、コインチェック社の口座から日本円の出金ができなくなっている、という点かと思います。ユーザーの立場としては、引き出した日本円を他の仮想通貨取引所や金融機関に回して運用する機会を逸し損害が発生している、という主張がなされる可能性はありそうです。
これについて、Coincheck利用規約8条3項および4項によれば、「2銀行営業日で払い戻すことを原則」としつつ、例外として「合理的な理由に基づき別途通知」した場合は2銀行営業日を超えることもあるとしています。今回の事件においては、ウェブサイト等での告知をもってこの例外通知を行ったものとしているようです。
Coincheck利用規約
第8条(ユーザー口座)
(略)
3 当社は、登録ユーザーの要求により、当社所定の方法に従い、ユーザー口座からの金銭の払戻し又は仮想通貨の送信に応じます。ユーザーは、自己の責任において金銭の振込先預金口座(登録ユーザ ー本人名義の預金口座に限ります。)又は仮想通貨の送信先を指定することとし、当社は、登録ユーザーの指図に従って当該預金口座又は送信先に入金又は仮想通貨の移転を行った場合には、かかる金銭又は仮想通貨について一切の責任を免れます。また、当社は、登録ユーザーが提供した振込先又は送信先の情報の正確性及び有効性について、一切責任を負いません。
4 合理的な理由に基づき当社が別途通知した場合を除き、前項の金銭の払戻しは、依頼日から原則として2銀行営業日を要します。また、前項の仮想通貨の送信は、同様の場合を除き、購入後即座に行うことができます。但し、払戻し又は送信の依頼にかかわらず、ユーザー口座内の金銭又は仮想通貨に不足が発生している場合には、当社は、当該払戻し又は送信の依頼を取消すことができるものとします。
2月2日から始まった金融庁の立入り検査対応は、コインチェック社に限らず銀行等金融機関に対しても一般的に行われていることですし(しかしそれによってサービスが停止されることはありません)、顧客資産の分別管理がなされていたというのであれば、少なくともNEM以外の仮想通貨保有ユーザーの日本円出金まで止める「合理的な理由」とはならなそうです。一方、ハッキング対応・原因究明が「合理的な理由」となるのかは、論点となりうるものの、印象としては一週間以上の停止は長過ぎるようにも思います。
サービス利用による損害全般に対する全部免責は有効か
先ほど解説した第14条に記載されているサービス停止・中断を原因とする免責条項とは別に、第17条に、それ以外の様々なケースを想定したサービス全般に関する免責条項が列挙されています。中でも特に論点となりそうなのが5項です。
Coincheck利用規約
第17条(免 責)
(略)
5 当社は、当社による本サービスの提供の中断、停止、終了、利用不能又は変更、登録ユーザーのメッセージ又は情報の削除又は消失、登録ユーザーの登録の取消、本サービスの利用によるデータの消失又は機器の故障若しくは損傷、その他本サービスに関連して登録ユーザーが被った損害につき、賠償する責任を一切負わないものとします。
(略)
他の各項は、特定の事象や事態に対して個別に免責を主張しているのに対し、5項だけはよく読むとサービスを利用することによって発生する損害ほぼすべてを免責する文言となっています。これは、ハッキングによるサービス停止措置とそれによる損害を免責している利用規約第14条とは異なり、上述した消費者契約法第8条1項1号の、
消費者契約法
第八条 次に掲げる消費者契約の条項は、無効とする。
一 事業者の債務不履行により消費者に生じた損害を賠償する責任の全部を免除する条項
(略)
この条文によって無効と扱われてしまう典型的な条文のようにも読めます。コインチェック社が消費者に対し、この条項を盾に免責を勝ち取ることは難しいのではないでしょうか。
同業他社の利用規約と比べてみると通常あるはずのアレがない
コインチェック社は、2014年8月にCoincheckサービスを開始していますが、競合であるbitflyer社は、これに先行して2014年5月から仮想通貨販売所サービスを開始しています。
研究のためこの2社の利用規約を比較してみたところ、その大部分で規定ぶり・表現ぶりが酷似していることが分かりました。以下、bitflyerの利用規約の各条項の定めに合わせてCoincheckの利用規約の各条項を対照するかたちで、Google Docs上に比較表を作成してみましたので、ご覧ください。
▼bitflyerとcoincheckの利用規約比較表(Google Docs)
https://docs.google.com/document/d/1xHcADIS3x4pLJpUe7wpR3k49TykqRQRX3LkORpMpEPc/edit?usp=sharing
制定日・改定日の時系列に鑑みるに、コインチェック社は先行していたbitflyer社の利用規約をベースにして、自社の利用規約を作成したのではないかと推測されます。
先行する同業他社の利用規約を参考にして自社サービスの利用規約を作成することは珍しくなく、契約の条文に著作権はないというのが一般論ですので、それ自体は必ずしも問題ではありません。しかし、対照表を作りながら分析をしていたところ、一つ奇妙なことに気づきました。
すべての条項を踏襲し、サービス内容が違うところだけ変更しているのならまだ理解できるのですが、そうではないところで、bitflyerの利用規約には存在(少なくともインターネットアーカイブで確認できる2015年4月時点には存在)していた以下の条項に対応する条文が、コインチェックの利用規約に入っていないのです。
bitflyer利用規約
第14条 紛争処理および損害賠償
(略)
2. 当社は、本サービスに関連して登録ユーザーが被った損害について、一切賠償の責任を負いません。なお、消費者契約法の適用その他の理由により、本項その他当社の損害賠償責任を免責する規定にかかわらず当社が登録ユーザーに対して損害賠償責任を負う場合においても、当社の賠償責任は、損害の事由が生じた時点から遡って過去1ヶ月の期間に登録ユーザーから現実に受領した本サービスの利用料金の総額を上限とします。
上記の条項が抜けてしまっていることは、法的には大きな問題を孕んでいます。このような一文が入っていれば、消費者契約法が禁じている「債務不履行時の責任の全部を免除」「故意又は重大な過失の場合の責任を一部免除」に抵触せずにすんだ、つまり免責条項の一部は有効となる可能性がありました。しかしこれが無いことにより、せっかく定めた免責規定が一切無効となってしまうおそれが高くなってしまっているのです。
BtoCサービスにおいては、このbitflyer利用規約第14条にあるような消費者契約法に対応するための一文を入れるのはもはや常識ともなっているところ、コインチェック社がなぜこの条項を入れなかったのか(もしbitflyer社の利用規約を参考にしたのならば、なぜそのまま移植せずにカットしたのか)は疑問が残るところです。いずれにせよ、万が一消費者との間で訴訟となった場合、この利用規約を盾として防御を試みるのはかなり分が悪いように見えます。
まとめ
以上挙げたポイントを箇条書きでまとめると、以下のとおりです。
- コインチェック社の利用規約には、今回の事件でこれまで発覚している主な事象に対し、免責を主張するための文言が一応列挙されている。
- しかしながら、全ユーザーの出金停止が合理的なのか、同社のハッキング防止対策状況および消費者契約法に照らして免責規定が有効と言えるかは、微妙なのでは。
- 特に、参考にしたはずのbitflyer社の利用規約には、消費者契約法によって免責が無効化されにくくなる対策文言が入っているのに、コインチェック社の利用規約にはそれがないのは痛い。
今後も、この事件と利用規約との関係について進展があれば、追って記事にしていこうと思います。
(橋詰)
