技術的に不可能でも、セキュリティ対策は万全にしろ！：「訴えてやる！」の前に読む IT訴訟 徹底解説（94）（1/3 ページ）

業者がイーサリアムの売買を停止したから3500万円損をした。「NEMが流出したから」だなんて言い訳は許さん！

[ITプロセスコンサルタント 細川義洋，＠IT]

連載目次

　遅ればせながら、新年明けましておめでとうございます。

　長引くコロナ禍の中ではあるが、各種業務のIT化やインターネットなどを活用した新企画など、組織のDX（デジタルトランスフォーメーション）推進が加速し、ITに関わる仕事をされている方にはより一層の期待がかかっている。

　テレワークでの共同作業や人員確保をはじめとしたさまざまな困難の克服を強いられるなど、日々苦労の絶えない方が多いかと思う。しかしこれを期に日本のDXが世界にキャッチアップし、新しい利益源の開拓やコスト削減などが進むことで、国や自治体、企業その他団体がこれまでにない力と柔軟さを手に入れることも可能かと思う。2022年が皆さまと皆さまの組織にとって、実りある1年となることをお祈り申し上げる。

　今回は暗号資産に関するセキュリティが話題となった事件を取り上げる。

　ビットコインの登場以来、急速にプレゼンスを高めてきた暗号資産は、いまでは各国の政府や中央銀行がその研究や実用に向けて動きだし、すっかり市民権を得て遠くない将来に現金通貨にとって変わる可能性もあるともいわれている。しかしその実態は、コンピュータ上に格納されインターネット上を飛び交うデータであり、流出や改ざん、破壊などの脅威が懸念されることは、通常の情報と変わりない。

　今回取り上げるのは、セキュリティ侵害により暗号資産の価値が下落し、顧客が多額の損失を被ったという事件だ。顧客の資産を預かる者が安全のために取った行動がかえって顧客に損失を被らせたという事件だが、暗号資産にかかわらず、情報を預かる立場にある者の「責任」と「取るべき行動」について考えさせられる。

　ここで得られる示唆は、暗号資産を取り扱う業者だけでなく、何らかの情報を預かる事業者や、そのシステムを構築するベンダーにも有用であると考える。

暗号資産のセキュリティが問題となった事件

　まずは、事件の概要から見ていただこう。

東京地方裁判所 令和2年12月21日判決から

ある暗号資産（事件当時は「仮想通貨」と呼ばれていた）の取扱業者Yが、顧客から暗号資産を預かって管理していたが、あるとき「NEM」と呼ばれる暗号資産が不正アクセスにより流出した（被害額は約5億円）。

これに気付いた取扱業者Yは、その日のうちに、NEM、「イーサリアム」と呼ばれる別の暗号資産、その他複数の暗号資産の売買を一時停止した。本件原告である顧客Xは、取扱業者Yに多額のイーサリアムを預けており、事件発生と同じ日に海外の仮想通貨取引所に送信（売却目的）する指示を出していたが、取扱業者が売買を停止していたため、この送信指示は実行されなかった。

その間にイーサリアムの価値は下落し、顧客Xには3500万円以上の損失が発生した。

顧客Xはこれを取扱業者Yが指示を実施しなかった債務不履行として、損害の賠償を求める訴訟を提起したが、裁判では、取扱業者Yが、NEMについて、コールドウォレットやマルチシグネチャといった暗号資産への不正アクセス対策を行っていなかったことが、資産を預かる者としての「善管注意義務違反」に当たるかも争点になった。