ITmedia NEWS > 企業・業界動向 >
ニュース
» 2018年09月27日 08時00分 公開

「STORIA法律事務所」ブログ:Zaif、70億円流出の前日に利用規約を変更か 法的に有効か弁護士が解説 (1/3)

Zaifが70億円をハッキングされる前日に変更した利用規約は法的に有効なのか。AIと著作権に詳しい弁護士の杉浦健二さんが解説します。

[杉浦健二,ITmedia]

この記事は「STORIA法律事務所」のブログに掲載された「Zaifが70億円をハッキングされる前日に行っていた利用規約の変更は有効なのか」(2018年9月11日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。

 不正アクセスにより仮想通貨取引所Zaif(運営:テックビューロ)から約70億円の仮想通貨が外部流出した事件(当初約67億円と発表されたが後に約70億円に訂正)。

 今年1月に約580億円分の仮想通貨NEM(ネム)が不正送金される事故を起こしたコインチェックの事件も記憶に新しいところですが、残念ながら大手取引所での仮想通貨ハッキング事故が続く結果となりました。

zaif Zaif公式サイトより

Zaifはハッキング被害の確認までに4日を要していた

 Zaifのプレスリリースから確認できる時系列は以下の通り。

9月14日 17時頃から19時頃までの間、Zaifに外部からの不正アクセス。仮想通貨(BTC、MONA、BCH)が不正に送金される

9月17日 Zaif、サーバ異常を検知、翌18日ハッキング被害を確認。財務局へ報告を行うとともに、原因分析、捜査当局への被害申告等を行う

9月20日 午前2時15分 ハッキングにより約67億円の被害が生じた旨のプレスリリース

9月21日 被害額を約70億円に訂正するプレスリリース

 以上の時系列によれば、

  • 9月14日に外部からの不正アクセスにより仮想通貨が不正に送金されたが、Zaifがサーバ異常を関知したのは17日、ハッキング被害を確認したのは18日。ハッキング被害確認までに4日を要している
  • ハッキング被害を確認した18日から、プレスリリースまでに2日を要している

 これらの点は後々に問題とされそうです。

Zaifは事件発生の前日に利用規約を改訂していた

 今回のZaif70億円ハッキング事件では、クラウドサイン社のメディア「サインのリ・デザイン」様がZaifが外部から不正アクセスを受ける直前の9月13日に利用規約を改訂していたことを取り上げています。

驚くべきことに、「消費者保護の観点から」という理由で、「一切責任を負わない」と定めていた全部免責条項を削除する改訂を行なっていたことが、会社発表の新旧対照表から確認できました。

Zaif利用規約に見るコインチェック事件の教訓、そして事件前日の改訂に残る謎

https://www.cloudsign.jp/media/20180920-riyoukiyaku-zaif/(サインのリ・デザイン)

 Zaifが9月13日付で利用規約の改訂を行った箇所のうち、今回のハッキング事件で問題になりそうな主な条項は以下の通りです(変更内容はZaifの新旧対照表による)。

第9条 取引

2項

(変更前)

5当社は、当社による本サービスの提供の中断、停止、終了、利用不能又は変更、本会員のメッセージ又は情報の削除又は消失、本会員の登録の取消、本サービスの利用によるデータの消失又は機器の故障若しくは損傷、その他本サービスに関連して本会員が被った損害につき、賠償する責任を一切負わないものとします。

(変更後)

5当社は、当社による本サービスの提供の中断、停止、終了、利用不能又は変更、本会員のメッセージ又は情報の削除又は消失、本会員の登録の取消、本サービスの利用によるデータの消失又は機器の故障若しくは損傷、その他本サービスに関連して本会員が被った損害の填補を保証するものではありません。

(変更前)

7当社は、システムの異常による本サービスにおける本サービスで取り扱う仮想通貨に係る約定を取り消すことができます。その際、当社は、当該取消その他本サービスに関連して本会員が被った損害につき、賠償する責任を一切負わないものとします。

(変更後)

7当社は、システムの異常による本サービスにおける本サービスで取り扱う仮想通貨に係る約定を取り消すものとします。その際、当社は、当該取消その他本サービスに関連して本会員が被った損害の填補を保証するものではありません。

Zaif Exchange利用規約の一部変更のお知らせ・2018年9月13日付

 つまりZaifは「当社は一切責任を負わない」と定めていた上記の箇所について、ハッキングがされる前日の9月13日付で「損害の填補を保証するものではありません」と改訂を行っていたことになります。

 仮想通貨取引所のようなBtoC取引において、いかなる場合でも「当社は一切責任を負わない」と定める利用規約が消費者契約法に抵触するものとして無効となること(同法8条1項1号及び3号)は、当事務所の過去ブログで指摘した通りです。

・(STORIA過去記事)コインチェックの「当社は賠償責任を一切負わない」と定める利用規約は有効なのか

https://storialaw.jp/blog/3834

 改訂後の「損害の填補を保証するものではありません」という文言は、消費者契約法上無効とされる「消費者に生じた損害を賠償する責任の全部を免除する条項」(第8条1項1号3号)にはストレートにあたらなくなったようにも思えます(完全に有効とまでいえるかはなお議論の余地が残りますが)。

 このような利用者に損害が生じる直前になされた利用規約の変更は、果たして有効と判断されるのでしょうか。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.