<事例>
1ヵ月前にカード会社より「本日何かカードでお買い物しましたか」と連絡がはいりました。何も買い物していなかったので「していません」と答えると、「誰かに不正にあなたのカードで買い物されています」といわれました。
調べてもらうと音楽サイトで音楽を12250円分勝手に他人にダウンロードされていました。サイトにログインして履歴をたしかめようと思ったのですが、IDとパスワードが変えられていてログインできませんでした。
サイトに問い合わせをしたところ、不正使用に関してはクレジットカード会社が調査して保証するので、サイトでは他人に不正使用された分の保証はないとのこと。
しかし、クレジットカード会社に問い合わせると、今回の場合はカード番号自体が盗まれたのではなくサイトのIDが盗まれているので、カード会社の保証の対象にはならないといわれます。
今回のケースはやはり泣き寝入りでわたしが不正使用された分を払わないといけないのでしょうか。どういった対応をすればいいのか教えてください。
・・・・
2009年夏ごろから、1つの音楽サイトにて同様のIDなりすましに関する被害の相談が多数寄せられました。基本的な内容は、所有のIDを第三者がなりすまし利用し、結果、ID所有者に代金請求がなされているというものです。ID登録にはクレジットカードが必要で、既に登録後パスワードを失念して他人に教えようがないケースでも悪用されていたケースもあります。
ただ、問題は、少なくともなりすまし注文時にはユーザ所有のID・パスワードが合致し、ログインが行われているという点で、正直、誰の過失であるかを明確にすることもなかなか難しいところです。
そこでサイトの規約では、予め、サイトの本人認証はID・パスワードの合致で行われるということ、ID等の管理義務は登録ユーザに課せられていること、なりすましの結果については、事業者側がその賠償請求を負わず、結果的にはユーザが負う旨の定めがなされています。これは、問題のサイトに限らず、ID、パスワードで本人認証を行うサイトにおいては、ほぼ横並びの内容です。
更にサイトの規約以外の問題点としては、クレジットカード会社の対応があげられます。
クレジットカード決済においては、例えばカード情報そのものが漏えいし、そのカード情報を直接悪用されて第三者に買い物をされたなどの被害に遭遇した場合は、カード会社において調査の結果、カード会社により補償されたり請求が取り下げられるケースがあります。
しかし、カード情報を登録しているID・パスワードが被害にあった場合、カード情報そのものが漏えいしているわけではないので、カード会社がそれを理由に請求を取り下げないという問題です。
このような被害に対しサイトの回答は、自分達では対処できないがカード会社から調査させるように、というものです。しかし、日本のカード会社は、海外にくらべ、なかなかチャージバックに対応してくれず、そして、もちろんこれらはサイト側のID管理体制やシステムにミスがあれば別となりますが、サイト事業者が自ら情報漏えいやシステムミスを認めない限り、それらを外部から確認・調査等することもまた困難ということです。
すると、被害に遭ったユーザはどこにも苦情をもっていけず、その被害は自らで負担するという結果になります。もちろん、サイトもカード会社も被害者なのですが、現在のID・パスワード認証システムでは、そのリスクを一番立場の弱い消費者が負うようにできています。
「電子商取引及び情報財取引等に関する準則」には、以下の記載があります。
-1-5 なりすましによる意思表示のなりすまされた本人への効果帰属
2(2)●髻ゝ擇咫2(4)
meti.go.jp/policy/it_policy/ec/080829jyunsoku.pdf
(抜粋)
1.考え方
(1)インターネット通販における決済をめぐる問題
)椰佑版篌腓箸隆屬稜簀齋戚鵑論立するか
)本人確認の方式について事前合意がある場合(継続的取引)
継続的取引の場合、通常、特定のID やパスワードを使用することにより本人確認を行うこととするなど、本人確認の方式について事前に合意がなされている。この場合、事前に合意された方式を利用していれば、原則として本人に効果が帰属し、本人との間で契約は成立する。
しかし、売主側が提供するシステムのセキュリティの安全性の程度について相手方が認識しないまま事前合意がなされた場合において、当該相手方が通常合理的に期待する安全性よりもセキュリティレベルが相当程度低いときは、事前合意の効力が認められない場合がある。そのほか、一方当事者が消費者の場合において、消費者側の帰責事由の有無を問わず一律に本人に責任を負わす場合なども、合意の効力が認められない場合がある。その場合は、上記顱砲暴召辰独獣任気譴襦
(事前合意が無効となる可能性がある例)
・ID・パスワードにより事業者が本人確認をしさえすれば、消費者(本人)の帰責性の有無に関わらず、一律に本人に効果が帰属するとする条項
・具体的なセキュリティシステムについての合意のないまま本人確認の方式のみについて事前合意がなされたものの、売主側の設定したセキュリティシステムの安全性が低く、本人確認のための情報について漏洩のおそれが高い場合
・ID・パスワードの設定方式につき、他人から容易に推測されやすいパスワードの設定について、登録排除の仕組みを設定しておらず、かつ、何ら注意喚起もしていない場合
・
(事前合意が有効となる可能性がある例)
・データはSS Lで暗号化して送信するとともに、売主側のシステムの安全性が高く、データの漏洩のおそれが著しく低い場合
(3)有料サービス提供サイトと本人との関係
会員制で有料のサービスを提供しているサイトにおいて、第三者が会員として登
録している他人になりすましてそのサービスを利用した場合、なりすまされた本人が
サービス提供事業者に対して利用料等の支払義務を負うかという問題である。
このようなサービスにおいては、会員登録の際に、利用規約等においてサービス
提供事業者による本人確認の方式につき規定されていることが一般的と考えられる。
この場合、上記(1)と同様、なりすましによるサービスの利用においても、本人確認
につき事前に合意された方式が利用されていれば、原則として本人が利用料等の
支払義務を負う。ただし、サービス提供事業者が提供するシステムのセキュリティの
安全性の程度について、本人が認識しないまま事前合意がなされた場合において、
通常合理的に認識する安全性よりもセキュリティレベルが相当程度低いときは、事
前合意の効力が認められない場合がある。
〜〜〜〜
2 説明
2(2)
〔承舛鯔鼠僂気譴深圓犯稜篥后頁篌隋砲箸隆屬遼[Т愀
)事前合意がある場合
ところで、継続的な契約関係がある当事者間においては、本人確認の方式等無権限者による意思表示の効果帰属について特約(基本契約)を予め締結する場合がある。すなわち、特定のID やパスワードを使用することにより本人確認を行うこととし、当該方式に従って本人確認を行っていれば、仮に無権限者による意思表示であっても本人に効果を帰属させることとする場合がある。このような合意の効力をいかなる場合にも認めることについては、次のような問題がある。
契約自由の原則の下、事業者間取引のように、対等な当事者間において本人確認の方式について合意した場合には、原則としてその効力が認められるものと解される。
しかし、売主側が提供するシステムのセキュリティの安全性の程度について相手方が認識しないまま事前合意がなされた場合において、当該相手方が通常合理的に期待する安全性よりもセキュリティレベルが相当程度低いときは、事前合意の効力が認められない場合がある。例えば、通常合理的に期待できる安全性を有したセキュリティシステムを前提とした上で事前合意がなされたものと認められるような場合であれば、そのような安全性を有していないセキュリティシステムの下で行われた無権限者による取引について、売主側が事前合意によって本人に効果帰属を主張する(履行を求める)ことができることにはならないであろう。なお、ここでいうセキュリティの内容としては、ファイアーウォールの設置、データ送信の暗号化など狭義のシステム上の問題にとどまらず、顧客情報の管理等のあり方、ID・パスワードによる本人確認を行う場合に他人から推測されやすいパスワードの設定を防止する仕組み等も含まれる。
また、一方当事者が消費者の場合には、選択された方式の合理性・安全性について十分な判断ができないおそれがあること、方式について事業者が一方的に指定し、消費者の側に選択の自由がないのが通常であると考えられることから、消費者側の帰責事由の有無を問わず一律に消費者本人に対する効果帰属を認めるような事前合意は、消費者契約法第10条や民法第90条により無効となる可能性がある。
2(4)有料サービス提供サイトにおける問題
インターネット上において、インターネット・オークションやインターネット・ゲームなど、事前の会員登録をしたうえ有料でサービスを提供するサイトを利用している場合において、なりすましにより第三者がサービスの提供を受けた際に、なりすまされた本人はサービス提供事業者に対して利用料等の支払義務を負うかが問題となる。
このようなサービス提供を受けるにあたっては、会員登録にあたり、利用規約等で、特定のID・パスワードによる認証を行なう方法など、本人確認の方式について事前合意していることが通常と考えられる。このような合意の効力については、継続的取引におけるなりすましの問題として、前述の2(2)●髻砲両豺腓暴爐犬胴佑┐襪海箸できる。すなわち、この場合、サービス提供事業者が本人確認を行なうにあたり、会員との間で事前に合意された方式を利用していれば、なりすましにより第三者がサービス提供を受けた場合であっても、本人が利用料等の支払義務を負う。例えば、通常合理的に期待できる安全性を有したセキュリティシステムを前提とした上で事前合意がなされたものと認められるような場合であれば、そのような安全性を有していないセキュリティシステムの下で行われた無権限者による取引について、売主側が事前合意によって本人に効果帰属を主張する(履行を求める)ことができることにはならないであろう(この場合のセキュリティの内容及び一方当事者が消費者の場合の事前合意の効力については2(2)●髻忙仮函)。
対応としては、これ以上の被害を防止するために、カード番号は変更したり、当該サイトとは早急に解約手続きを行います。
その後、当該サイトにおいては、消費者庁の公開質問や、またマスコミに複数報道がされたことを受け、カード会社に対応も徐々に変わってきているため、なりすまし被害が確認されたケースにおいては救済される可能性が高まっていますが、これを機に、消費者も自己防衛として、複数のサイトで同じパスワードを使用しない、登録して使わないサイトは退会するなどの検討が必要だともいえます。