Zaif利用規約に見るコインチェック事件の教訓、そして事件前日の改訂に残る謎

サーバーがハッキングされ、しばらくのサービス停止措置の後、流出させた仮想通貨を補填したコインチェック事件。発生当時、本メディアでも利用規約を分析し、通常のWebサービスの利用規約には入っているはずの消費者契約法対応のための文言がないことを指摘した経緯があります。

2018年9月20日に発覚したZaif事件についても、Zaifの利用規約について、同業他社の利用規約と比較できるようGoogle Docs上に対照表を作成しその特徴を分析するとともに、事件前日に行われた改訂の経緯を追ってみたいと思います。

Zaifと同業他社の利用規約比較表(Google Docs)

Zaifと同業他社の利用規約比較表

コインチェック事件の教訓を踏まえたように見える免責条項

Zaifの利用規約全体を見渡すと、一言で言えば、相当ディフェンシブに作り込んだ利用規約 だな、という感想です。さすがに、コインチェック事件後に作られた利用規約とあって、各所でその教訓を生かそうとした形跡 がみられます。

コインチェック利用規約分析記事で指摘したような、消費者契約法によってただちに無効となりそうな条項は(まったくないわけではありませんが)極力排除されています。免責条項の欄には責任を回避するために「一切責任を負わない」旨の文言がたっぷり並ぶはずのところ、以下のように「ユーザーが支払済みの手数料のうち、Zaif取り分を上限として損害賠償する」という、余計なことを書かないシンプルな条文となっています。

第20条 免責
1. 当社又は当社役員の債務不履行、不法行為その他の法的原因に基づく損害賠償責任(ただし、当社、当社代表者、又は当社従業員の故意又は重大な過失によるものを除く。)は、本会員が本サービスの利用に伴って当社に対して支払済みの手数料(ただし、当社から第三者に支払われた手数料分を除く。)を上限とするものとします。

加えて、これも免責条項の一種と言ってよいかもしれませんが、同業他社と比較してかなり積極的に 「サービスの安全性を保証しない」という注意文言を入れている のも、同業他社の利用規約と比較して特徴的な点です。

第6条 本サービスの仕様及び利用許諾
2. 仕様 (①〜⑤略)
⑥当社は、本サービスがウイルスその他有害な内容を含まないこと、セキュリティーが有効であることなどの安全性に最大限の努力は行いますが、本サービスの安全性、完全性、バグ及び瑕疵がないことは保証されません。

ハッキングによるサービス停止措置とその責任

Zaifも、コインチェックと同様、ハッキングが発生したことを理由に取引および出金を停止しています。

ハッキングによってサービスが停止することでユーザーに発生する不利益・損害の責任については、コインチェック事件の訴訟でも争点となっている ところです。この点、コインチェック被害弁護団によれば、コインチェック社は「利用規約で合意されていることであり、損害発生の責任を負わない」との主張しているとのこと。

コインチェック被害対策弁護団twitterより https://twitter.com/ccbengojp/status/1021313890926264320

このような主張が通るのかについては、まさにこのコインチェック訴訟が先例となり、Zaifの事件にそのままあてはめがされるものと思われます。

合意管轄裁判所が大阪地裁

コインチェックとの違いでもう一点指摘しておきたいのが、管轄裁判所の合意が東京ではなく「大阪地方裁判所」となっている 点です。

第 24 条 準拠法及び管轄裁判所
1. 本利用規約の準拠法は日本法とします。
2. 本サービスに関する一切の紛争は、大阪地方裁判所を第1審の専属的合意管轄裁判所とします。

原則としては、管轄裁判所の定めに合意していればそれが有効とされ、ユーザーが訴訟を提起しようと思えば、大阪地裁に対しこれを行う必要があります。これにより、たとえば東京の被害者が東京の弁護士を起用した場合、出張費等の訴訟コスト増が懸念されます。

この点については、多数のユーザーが存在すると予想される関東圏の消費者から、消費者契約法第10条に基づきこの合意自体を無効とする争いが発生する可能性もあるのではないでしょうか。

第十条 消費者の不作為をもって当該消費者が新たな消費者契約の申込み又はその承諾の意思表示をしたものとみなす条項その他の法令中の公の秩序に関しない規定の適用による場合に比して消費者の権利を制限し又は消費者の義務を加重する消費者契約の条項であって、民法第一条第二項に規定する基本原則に反して消費者の利益を一方的に害するものは、無効とする。

事件発生日の前日に利用規約を更新

さて、ここからが本題です。ここまでみてきたZaifの利用規約、その日付をみると、

最終更新日:2018年9月13日

とあります。しかしながら、今日未明の会社発表の経緯を詳細にみていくと、ハッキング発生日は「2018年9月14日」であったと記載があります。つまり、事故発生日の前日に利用規約が更新されていた ということになります。

会社発表の経緯では「9月14日に不正アクセス」との報告 https://prtimes.jp/main/html/rd/p/000000093.000012906.html

では、この事件前日に行われた利用規約更新の内容とは、どのようなものだったのでしょうか?

驚くべきことに、「消費者保護の観点から」という理由で、「一切責任を負わない」と定めていた全部免責条項を削除する改訂を行なっていた ことが、会社発表の新旧対照表から確認できました。

更新前の利用規約(左側)には、消費者契約法により無効とされる「責任を一切負わない」との文言が確認できる

単なる偶然なのかもしれませんが、ここまで日付が接近していると、そもそも会社が事件発生を把握したのが本当に9月14日だったのか?という疑問を覚えてしまいます。もし、13日以前に会社がその事実を把握しながら利用契約を変更しようとしたとすれば、新しい利用規約への同意(旧規約からの更新に対する同意)の有効性についての疑問 が生じます。

そして万が一、裁判所によって更新後の新しい利用規約の適用自体が無効と判断された場合、旧利用規約には存在した全部免責条項が消費者契約法第8条によりすべて無効となり、オセロがすべてひっくり返る 可能性もあります。

消費者契約法
第八条 次に掲げる消費者契約の条項は、無効とする。
一 事業者の債務不履行により消費者に生じた損害を賠償する責任の全部を免除する条項(以下略)

追記

記事をお読みいたいただいた方々から、「編集長へのお手紙」宛てにいくつか投稿をいただきました。ありがとうございます。

Zaif事件を追っている方々の分析情報(わかりやすいまとめとして、「Zaifで発生した不正送金事案についてまとめてみた」)によれば、会社発表の被害日時と一致する9月14日17:33以降に、Zaif(テックビューロ)の暗号通貨のアドレスから不正送金されたBitcoinの一部が取引所 Binanceのアドレスへ送金されていることが、有志により指摘されているとのこと。したがって、「もし、13日以前に会社がその事実を把握しながら利用契約を変更しようとしたとすれば」の可能性はないだろう、とのご指摘でした。

だとすると、解釈に大きな影響を与える利用規約改訂(更新)を前日に行ったのは「単なる偶然」だったということとなり、残るは、適切な利用規約の改訂(更新)プロセスを踏んだのか、という問題となります。

この点、改定前の利用規約を確認する必要があります。しかし残念ながら、Zaifウェブサイトに掲示されている会社発表の新旧対照表では、条文の一部だけが切り取られた状態。全文はInternet Archive Wayback Machineに残る9月3日時点のログから利用規約を確認せざるを得ませんでした。

その第18条の定めを見ると、「利用規約変更通知のメールをユーザーに送信し、30日以内に会員登録を抹消しなければ同意したとみなす」という規定となっていたことがわかります。

Internet Archive Wayback Machineに残る9月3日時点の利用規約第18条 https://web.archive.org/web/20180903171120/https://zaif.jp/terms

では、ユーザーへの通知メールはいつ送信されたのでしょうか。当方はZaifユーザーではありませんので真偽は不明ですが、Twitter上の投稿によれば、事件発生日の9月14日の14:00から21:00ごろにかけて発信されたという証言や画面キャプチャが多数発見できます。

いずれにせよ、この第18条の「みなし同意」規定の有効性自体が争われる可能性も含め、メール通知と掲載から30日が経過していない現時点では、利用規約の改訂(更新)プロセスと有効性自体が不透明なのではないかという問題も出てきました。

今後も、この利用規約の問題について情報があれば、更新をしてまいりたいと思います。

(2018.9.22 橋詰追記)