［コインチェック問題］2018.3.1

　平成３０年１月２６日未明から数時間の間に、仮想通貨交換業者であるコインチェック株式会社が保持している仮想通貨ＮＥＭ建の顧客資産が、何者かのシステムへの不正アクセスにより同社口座から外部に移転され、さらに別口座に移転されてほぼ１００％流出してしまうという事件が発生しました。同社は、昨年末に、出川哲朗が１人２役するコマーシャルをバンバン打って知名度も一気に上がっていましたから、非常に世間の耳目を集める事件となった次第です。本事件について、色々と法的な問題を考えてみました。

　まず、何者か第三者が、クラッキング（コンピュータネットワークに繋がれたシステムへ不正に侵入したり、コンピュータシステムを破壊・改竄するなど、コンピュータを不正に利用すること。）により、５８０億円相当のＮＥＭ建資産を別の口座に移転したことについては、どのような刑法上の犯罪が成立するかです。
　平成１１年に成立した法律に、不正アクセス行為の禁止等に関する法律（不正アクセス禁止法）というものがあります。同条１項に同法の目的が規定されており、「この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。」と“不正アクセス”を罰することで、コンピューターにかかわる犯罪を防止することとなっています。そこで、不正アクセスとは何ぞやということになりますが、同法２条４項において、その定義が列挙されており、今回の第三者の行為は、（全貌が明らかになっていませんので多分ですが）１号の「電気通信回線（インターネット・ＬＡＮ等）を通じて、アクセス制御機能を持つ電子計算機にアクセスし、他人の識別符号（パスワード・生体認証など）を入力し、アクセス制御機能（認証機能）を作動させて、本来制限されている機能を利用可能な状態にする行為」に該当するのではないでしょうか。
　第三者が本来の顧客の識別符号を入力し、本来その顧客しか処分できないという制限された機能を第三者の思うが儘に利用可能な状態にしたことになるのではないかと思われます。この行為をした時点で、同法１１条に規定されている罰則により、「これに違反した者は、３年以下の懲役又は１００万円以下の罰金に処せられる」に該当し、刑法犯となるわけです。

　つまり、システムに侵入して他人のパスワードを使っていたずらをしても不正アクセス禁止法違反となるのですが、今回の事件は、５８０億円に相当すると言われるＮＥＭという仮想通貨が“盗まれた”のですから、単なる愉快犯ではなく、いわゆる財産犯に該当するかも問題となりましょう。ではどんな犯罪に該当するかですが、“盗まれた”のが現金とかの有体物でしたら、刑法第２３５条「他人の財物を窃取した者は、窃盗の罪とし、１０年以下の懲役又は５０万円以下の罰金に処する。」において処罰されるのですが、今回“盗まれた”のは仮想通貨というデータに過ぎませんから、幾ら市場で財産的価値があるとはいえ「財物」には該当しないことになります。強盗罪とか他の財産犯には、有体物以外の無体物や役務を奪取する犯罪について処罰する規定がありますが、窃盗罪にはそのような「利益窃盗」を処罰する規定がありません。昔刑法を勉強したときに、何故利益窃盗を処罰しないかというと、無体物や役務を奪取する行為というのが範囲が限定できないからで、でないと例えば夏の暑い日にクーラーの良く効いた場所、喫茶店とかに入り、アイスコーヒーの注文もせずに“冷気”だけを享受して出てくることも窃盗罪になりかねないということで、特別に処罰する規定がないと窃盗罪にならないということでしたというものです。ですから、電気を“盗む”のは、刑法２３５条だけではなく、刑法２４５条で特別に「電気」を「財物」とみなしているから処罰できることになるのです。

　では、この犯人について５８０億円の価値の奪取したことについてはどのような犯罪になるのでしょうか。上述のとおり、利益窃盗は犯罪にならず、かといって人をだまして５８０億円を奪取したのではありませんので詐欺罪にもならないでしょう。そこで、刑法は「電子計算機使用詐欺罪」という犯罪類型を処罰の対象としました。粗く言うと、コンピューターを“だます”犯罪ですね。刑法２４６条の２には、「前条（詐欺罪）に規定するもののほか、人の事務処理に使用する電子計算機に虚偽の情報若しくは不正な指令を与えて財産権の得喪若しくは変更に係る不実の電磁的記録を作り、又は財産権の得喪若しくは変更に係る虚偽の電磁的記録を人の事務処理の用に供して、財産上不法の利益を得、又は他人にこれを得させた者は、１０年以下の懲役に処する。」とあります。まさに、コインチェックの事務処理に使用する電子計算機に虚偽の情報・不正な指令を与えて、ＮＥＭ５８０億円をまんまとせしめたということですから同条に該当し、電子計算機使用詐欺罪が成立するのではないでしょうか。なかなか犯人検挙まで行くかが難しいかとは思いますが。

　さて、それではコインチェックにＮＥＭを預けていた顧客たちは、奪取された５８０億円に対して、コインチェックに対してどのような責任追及をすることになるのでしょうか。今のところ、会社としては奪取された顧客に対して全額補償するという意思は示しているのですが、果たして全額補償できるのでしょうか。ここで余談になりますが、コインチェックを「仮想通貨取引所」として紹介をするマスメディアがありますが、よくよく報道を見ておりますと、同社は株式などの東京証券取引所のような取引所機能を持っているわけではなく、あくまでも相対の取引を成立させて鞘を抜いているという取引業者にすぎないのですね。ですから、コインチェックは安く仮想通貨を仕入れてたんまりと自分たちのマージンを乗っけて顧客に売りつけるということをしていたのでしょう。それでこそ、５８０億円くらいは補償してやるわという態度が取れるのかもしれません。取引所でないことの証左に、コインチェック自身が顧客資産を預かっていたことが挙げられます。
　株式であれば、証券保管振替機構という組織が顧客の株式を預かることとなり、証券会社の資産とは分別管理することになるわけですが、コインチェックは、自分の会社内の預り口に顧客資産を入れていたということです。どんぶり勘定といわれても仕方ないでしょう。しかし何よりも問題なのは、その顧客資産を入れていた預り口が、外のネットからのアクセスを遮断しない“ホット・ウオレット“とのことで（外とは遮断されている預り口をコールドウオレットというらしいですが）、さらには、マルチシグという複数の署名が引き出しに必要とするシステム（イメージ的には、エスクローアカウントのようなものでしょう。）を採用していなかったということで、まさに鍵もかかっていない金庫でどうぞ泥棒に入ってください状態だったようです。となりますと、コインチェックとしては、顧客に対して顧客資産を安全適切に管理保管しなければならないという善管注意義務を負っていたわけですが、ホットウオレット問題、マルチシグ問題からするとコインチェックの善管注意義務違反は十分に認定されそうですね。となると、ＮＥＭを奪取された顧客たちは、コインチェックに対して、損害賠償請求をすることが可能ということになりましょう（損害額の認定については、話が長くなりますので割愛しますが。）

　しかしながら、会社は資産があるあると言っているだけでその資産の保全などがどうなっているかも顧客側の方には見えてきません。顧客としては、まずはコインチェックの資産を保全するための仮処分を申し立ててもいいのかと思いますが、それに加え、同社の和田社長、大塚取締役ら個人に対する責任追及はできないものでしょうか。会社法４２９条において、「役員等の第三者に対する損害賠償責任」という条項を設けて、「役員等がその職務を行うについて悪意又は重大な過失があったときは、当該役員等は、これによって第三者に生じた損害を賠償する責任を負う。」と規定されています。先ほどの会社の顧客に対する善管注意義務はいわゆる軽過失ですが、この取締役の第三者に対する責任は、“重過失”まで要求されます。重過失というのは、ちょっとした注意をすれば容易に予見し、結果回避できるのに著しい注意義務違反でそれができなかったというものです。本件においては、ホットウオレット問題や、マルチシグ問題が“ちょっとした注意をすれば結果発生を容易に予見し回避できたか”が問題となりましょう。ここらあたりは業界の常識ということが問題となるのではないかと思います。仮想通貨交換取引業を行うような取締役であれば、当然にちょっとした注意を払いさえすれば、コールドウオレットを整備し、マルチシグシステムにより怪しげな第三者が引き出しを請求して来ても引き出せないようにすることができたのにしなかったということが“重過失”になるかでしょう。このあたりは裁判所の判断になりますから、資産を失った顧客側も十分に理論武装して闘っていく必要があろうかと思います。

　いずれにしましても以前のコラムにおいて、オランダのチューリップバブルの時の話をしましたが、チューリップですら花を咲かせて人を和ませることはでき、豊田商事のような価値のない紙切れの「金」証券ですら燃やせば暖を取ることができるのに、仮想通貨というのは何の実態もない単なるデータに過ぎないわけですから、何の役にも立ちません。仮想通貨というのは、所詮単なるばくちに過ぎないのであり、そのばくちの掛札すらもだまし取られる可能性があるというわけですから、ゆめゆめ素人が手を出すものではないということかと思います。