技術的に不可能でも、セキュリティ対策は万全にしろ！：「訴えてやる！」の前に読む IT訴訟 徹底解説（94）（2/3 ページ）

業者がイーサリアムの売買を停止したから3500万円損をした。「NEMが流出したから」だなんて言い訳は許さん！

[ITプロセスコンサルタント 細川義洋，＠IT]

争点はNEMのセキュリティ対策

　裁判の主たる議論は、不正アクセスと暗号資産の価値下落の因果関係といった経済的側面や、取扱業者Yによる売買停止、送信指示キャンセルなどがそのタイミングと合わせて妥当であったかという契約論になるかもしれない。

　顧客Xが保有して取扱業者Yに預けていたのはイーサリアムだったが、取扱業者Yがビットコイン以外の暗号資産の取引を止めたきっかけがNEMの流出であったことから、裁判では、その責任、つまり取扱業者YがNEMを守るために策を講じていたか、あるいは講じられたかが争点となった。

　本稿では、取扱業者Yが取っていたセキュリティ対策が果たして十分であったのか、暗号資産という金銭価値のある（あるいは金銭そのものといってもいい）情報を預かる者として、十分な注意義務を果たしていたのか、情報セキュリティに関する責任について考えてみる。

　用語の説明をすると、「コールドウォレット」は暗号資産をインターネットから切り離したオフライン環境に保管することである。「マルチシグネチャ」は暗号資産を送信する際に、複数の署名（秘密鍵）が必要とされる仕組みで、当然、単一の署名だけを求めるよりも安全性が高いとされる。ただ、事件当時、NEMはこの2つのセキュリティ対策が困難とされ、本事件でも、取扱業者YはNEMにこうした対策は行っていなかった。

　なお、取扱業者Yが流出したNEM以外の暗号資産まで取引を止めた理由が、何らかのシステム構成上の問題なのか、あるいは安全を見てのことなのか、残念ながら判決文からは明らかではない。

技術的な限界で十分な対策が打てない場合

　単純化すると、問題は「顧客Xは取扱業者Yの一連のオペレーション（売買の停止、送信指示のキャンセルなど）により損失を被ったか」、そして「取扱業者YのNEMに対する安全策は十分であったのか」の2点である。

　後者について、皆さんはどのように考えるだろうか。暗号資産の「安全性確保の責任は業者が負うべき」か、そもそも対策には技術的な限界があり、本当に悪いのは犯行を行った者だから、「業者にそこまで求めるのは酷である」と考えるか。

　なお、取扱業者Yには関東財務局による行政処分が下っており、金融庁も立ち入り検査を行っている。ただ、このことと民事上の責任とは別の問題として考えられている。裁判所は監督官庁の処分を参考にはするが、民事裁判において、その結論を当然に追認するとは限らない。

東京地方裁判所 令和2年12月21日判決から（つづき）

本件事件発生当時、仮想通貨交換業者である被告が利用できるコールドウォレットの開発に必要なNEMの暗号化の方式及びハッシュ関数の情報や知見の蓄積が十分でなく、ソースコードを読み解くことに困難があった（中略）。世界的に見ても多量にNEMを保有していた企業も、コールドウォレットを使用しなかった（中略）などの事情に照らせば、当時、顧客のNEMを保管することができるような機能と安全性を備えたコールドウォレットが存在したとは認められない。

被告が加入する業界における自主基準についても、コールドウォレットの整備に関する言及があることが認められるが、これは「ビットコイン」（他の暗号資産）を想定していたものと考えられ、金融庁のガイドラインにおいても、コールドウォレットについて明示的に言及した箇所においては、「利用者の利便性を損なわない範囲で、可能な限り」との記載になっていること、現に、取扱業者Y以外の仮想通貨取引所についても、取り扱う全ての仮想通貨をコールドウォレットで管理していたものではなかったとの事情も認められ、取扱業者Yが、善良なる管理者としてNEMをコールドウォレットで管理すべき義務を負っていたとは認められない。

　裁判所は、取扱業者Yが取り得た対策には限界があったとして、顧客Xの訴えを退けた。