ブックレビュー 臼井豊『電子取引時代のなりすましと「同一性」外観責任』

非対面のオンライン取引においてしばしば取り沙汰される「なりすまし」リスク。ドイツにおける先例を紹介しながら、アナログな印鑑取引の時代から進歩しない日本のなりすまし論を批判的に分析します。

ID・パスワードを使ったオンライン取引の「なりすまし」問題

私たちが日常的に利用するインターネットサービスの多くが、本人確認の手段として「IDとパスワードを組み合わせてログインさせる」という方法を採用しています。この方法のセキュリティ上の問題として、しばしば「なりすまし」の問題が挙げられます。

①ユーザーのID・パスワードが過失により第三者に漏れまたは破られて不正になりすまされる
②ユーザーが自らID・パスワードを第三者に伝えなりすましをさせる（アカウントを共用する）

サービス提供者としては、ユーザーのなりすまし被害を防ごうにも、この①と②のどちらなのかすら、見分けることができません。そのため、多くの事業者が、利用規約等に以下のようなID・パスワード管理ルールを定め、①②のいずれのケースであっても「正当な利用者による真正な意思表示」として取り扱い責任を負わない、というスタンスを取ることが一般的です。

• ID・パスワードは強度の高い推測されにくいものを設定し、自己の責任において管理すること
• 第三者へアカウントを貸与・譲渡等をしないこと
• 管理不十分・第三者の使用等によって生じた損害はユーザーが負担すること

このように、なりすまされた本人に対し責任を全面的に負担させることは果たして適切なのか？ そうした疑問に答えるべく、オンラインのなりすまし責任に関する先例が発達するドイツの事例を研究し、今後の日本の表見代理責任のあり方を問うのが、本書『電子取引時代のなりすましと「同一性」外観責任』です。

なりすまし取引に表見代理の類推適用を認めた日本の最高裁判例

日本において、オンライン取引時のなりすまし責任が論じられる際の基礎となる考え方は、実印の悪用が論点となった最高裁判例（昭和44年12月19日第二小法廷判決・民集23巻12号2539頁）によるとされています。

本判決は，代理人が本人から交付された実印・印鑑証明書等を悪用した越権なりすまし取引について，「相手方がその行為を本人自身の行為と信じたときは、代理人の代理権を信じたものではないが，その信頼が取引上保護に値する点においては，代理人の代理権限を信頼した場合と異なることはない」として，「一般の民法110条の適用場面とは違い，『本人であると信じたこと』を信頼の対象として取り出し，それに対応して正当の事由の判断も，『本人であると信じたことについて過失がない』と捉え」110条類推適用論を採った。（P117）

ここでいう「実印」をID・パスワードと同視することで、管理不行き届きや貸与を理由としてオンライン取引のなりすましにも民法110条の定める「表見代理」が成立し、本人に責任がおよぶと考えられている わけです。この考え方は、経済産業省「電子商取引及び情報財取引等に関する準則（平成30年7月）」においても踏襲され、定着しています。

なお、民法改正中間試案においてこの通説を明文化する試みがなされたものの、2014年8月に決定した要項仮案の段階で脱落するという経緯もありました。

ドイツBGH2011年5月11日判決はなりすまされた本人の過失を限定的に評価

このような 日本の判例・通説に疑問を投げかける材料として、著者が本書で注目した先例が、ドイツのBGH2011年5月11日判決 です。

Yは……eBayにおいて“r”というIDの下で，パスワードにより保護されたアカウントを有していた。このアカウントにより2008年3月3日，中古の「VIPラウンジ設備（中略）」一式が1ユーロの入札開始価格でオークションに出品された。終了9日前の同月4日，Xは……自己のユーザー名“m”の下で1000ユーロの最高価格入札をした。……各登録会員の同意を前提としたeBay約款は，2条9号で，「会員は原則，自己のアカウントを使用してなされたすべての行動に対して責任を負う（…）。」と定める。XY両当事者は，……本件設備を出品していたのがY本人であったのか——Yの関与・了解のない——当時婚約者の夫であったのか，争っている。Yと売買契約を有効に締結したと主張するXは……本件設備の時価を33820ユーロと見積もった上で，ここから入札代金1000ユーロを控除した32820ユーロの損害賠償を請求する。（P139）

このケースは、夫が妻YのeBayアカウントになりすまして出品、自ら出品の意思がなかった妻YがXとの取引を拒絶し、買主Xから日本円にして400万円を超える損害賠償請求を受け、Y本人に出品者としての責任が帰属するのかが争われました。

日本で発生したのであれば、表見代理原則と約款（利用規約）によって妻Yがアカウント管理者として損害賠償責任を負わされる方向になりそうな事案です。一方、本件が発生したドイツの一般的な取引においても、

• 認容代理：本人が認識しつつ許容した代理行為は本人に責任が帰属
• 外見代理：本人が認識してなくても予見し阻止できた代理行為は本人に責任が帰属

の2つの原則が認められています。

しかし、ドイツ地方裁および上級地方裁は、本件eBayオンライン取引においてこのうちの「外見代理」が適用されることを認めつつも、「Yがパスワードを厳重に保管することを怠って夫に勝手に代理出品されたとしても、夫がアカウントを冒用したのは本件が初めてであり、Yにとって予見可能性は低く、出品者としての責任が帰属することはない」と、本人の過失をかなり限定的に評価し、なりすまし被害を受けたYを保護する判決を下しました。

このBGH2011年判決については、理論・実務のみならず専門教育・資格試験上の重要性も示すかのごとく，多数の判例評釈・研究，研究論稿，学習教材・演習書で矢継ぎ早に取り上げられるとともに最新の基本書・注釈書やこれ以降の裁判例，たとえばOLG Bremen 2016年6月21日決定でも早速参照されるなど注目度の高さと影響力の大きさをうかがわせる。当該論点は，「電子取引上軽視され得ない」「あらゆる種類の顧客アカウント，電子メール・アカウント，その他のコミュニケーション・サービスのアカウントに関わる」ものであり，「その実際的意義は，拡大するネット取引の時代にあっては明白である。（P27）

事業者が講じるセキュリティ対策によりリスク負担のバランスは変わる

表見代理原則と利用規約との組合せにより、ID・パスワードの組み合わせが破られてなりすまされた取引の結果は、原則すべてユーザー本人の責任。これは事業者にとってはシンプルで都合のよいルールです。

一方、ドイツBGH2011年5月11日判決がそうであったように、オンラインの電子商取引が普及拡大し続けている現代、ユーザーに過酷な責任を押し付けてよいのかという疑問や批判は、ますます強くなっていくはずでしょう。

クラウドサインでは、このようななりすましリスクに対しユーザーが自らの身を守れるよう、ログイン時の二段階認証の仕組みを早期から提供しています。社会的影響力をもつほどに普及したサービスほど、こうしたセキュリティ対応策が高いレベルで求められていくようになるのだと思います。

サービス提供者がどこまでのセキュリティ策を講じれば、「なりすまし」被害の自己責任原則が適用されるのか？ インターネットサービス全体の発展を考える上でも重要な論点になっていくだろうことは間違いありませんが、それを考えるにあたって重要な視座を与えてくれる一冊です。

（橋詰）