ID、パスワードの重要性
自サービスのID、パスワードがインターネット上で開示、販売されているのを発見した場合、Webサービス事業者としてはいかなる手段を取り得るでしょうか。
Webサービス上で使用される個々のユーザーごとのID、パスワードは、Webサービス事業者にとって、個々のユーザーを識別し、この支払いの対価に応じたサービスを提供するために必要なものです。したがって、ID、パスワードの開示等はこの仕組みを崩すものといえ、ひいてはサービス事業者の開発・運営費用調達の途を失わせることにつながるものといえます。
今回は、ユーザーによるID、パスワードの第三者への提供に対する対応、特に事前の対応について触れていきます。
事後対応の困難性
まず、事前の対応を見ていく前に、何らの事前の対策が取られていない状況下でWebサービス事業者として取りうる手段について見ていきます。
ID、パスワードが第三者へ提供され、この第三者がサービスを利用した場合、通常、Webサービス事業者には、少なくとも本来その第三者が支払うべきであった対価分の損害が生じることになります。特定の第三者にID、パスワードが提供された場合にはそれにとどまりますが、ID、パスワードがインターネットを通じて不特定の者に開示された場合、複数人分の対価相当の損害等が生じることになります。
この場合、Webサービス事業者としては、形式的には
①ID、パスワードの提供をしたユーザーに対する損害賠償請求(民法709、719条、415条)
②当該ID、パスワードを使用した第三者に対する損害賠償請求(民法709、719条)
をするという手段を取り得ます。
また、ID、パスワードの提供を受けた特定の第三者が対価の支払いなしにサービスを利用し続けられる状況にあると、その第三者からの将来の対価支払いが見込めなくなりますし、ID、パスワードが不特定の者に開示されている状況にあると、新たな第三者が対価なしにサービスを利用することになります。
これに対してWebサービス事業者としては、
③開示されたID、パスワードにかかるサービスの提供、IDの停止
という手段を取り得ます。
もっとも、Webサービスにおいては多くの人がサービスを利用することが想定されます。そして、ユーザーにいかなる義務があったのかの特定や、ID、パスワードの提供等によって生ずる一件あたりの損害を具体的にいくらとするかの算定は非常に困難ですし、不適切なユーザー一人ひとりに損害賠償を請求することは現実的とはいえません。また、ID、パスワードを使用した第三者に対する請求については、その第三者の特定自体が事実上不可能であり、これも現実的とはいえません。加えて、サービスの提供、IDの停止について明文上の根拠がない場合、利用者側がこれにつき争ってくる可能性があります。
ユーザーによるID、パスワードの開示等に対する事前の対応
前記の事情を考えると、Webサービス事業者としては事前の対策をとり、まずはそもそもID、パスワードの第三者への提供が生じないようにし、また、実際に生じた場合においてもスムーズに対処ができるようにするのが得策です。
このための手段としては、まず、利用規約においてID、パスワードの第三者提供を禁じておくというものが挙げられます。具体的には、
ⅰ「利用者は、ID、パスワードを第三者に利用させることのほか、譲渡、貸与することはできない。」
等規定することが考えられます。いずれかの要件に入ってくるとは思われますが、譲渡、貸与の他、売買、質入れを加えることもできます。加えて、この規定の裏返しとなるのですが、
ⅱ「ユーザーは、第三者のID、パスワードを利用して本サービスを利用してはならない。」
と規定することが考えられます。なお、規定のしかたとしては、上記のようにID、パスワードに関する独立の規定を設ける方法のほか、禁止事項として列挙する事由の一つとしてかかる規定を設ける方法もあります。また、ⅰ、ⅱのような規定がある場合、ID、パスワードを第三者に提供等しないこと、利用しないことは、ユーザーの契約上の義務となります。そうすると、ユーザーがID、パスワードの第三者提供等をした場合、この義務の違反についての損害賠償請求(民法415条)ができることになります。そこで、上記ⅰの規定に加え、
ⅲ「ユーザーは上記行為(ID、パスワードの第三者への提供行為、利用行為)によって〇〇(Webサービス事業者)に生じた損害につき賠償するものとする。」
と規定することも考えられます。もともと、上記のような賠償についての規定がなくともⅰ、ⅱの規定があることのみで損害賠償請求をすることは可能ですし、損害賠償の請求をすること自体の困難性もユーザーの義務の特定ができているという点を除いて前記のものと大きく変わらないのですが、規定を設けておくこと自体のユーザーに対する抑止力に期待し、このような規定を設けることも考えられます。
加えて、Webサービス事業者がID、パスワードの第三者への提供等を発見したとき、ただちにサービスの提供の停止、IDの停止をなしうるよう規定しておくことが考えられます。具体的には、
ⅳサービスの提供停止、IDの停止にかかる条項において
「本規約に違反する行為があった場合」
を停止の事由の一つとして入れる、という方法が挙げられます。サービスの提供禁止、IDの停止についての条項が設けられている場合、すでにかかる文言は入っていると思われますから、ID、パスワードの第三者への提供があった場合、Webサービス事業者はⅰ、ⅱの規定を設けるのみでサービスの利用停止をすることが可能となります。なお、ID、パスワードの第三者への提供に限定した話ではないのですが、仮にサービスの提供禁止、IDの停止にかかる規定をここで初めて設ける場合には、漏れがないよう、停止の事由として「その他〇〇(Webサービス事業者)が相当と判断した場合」との規定も設けるべきです。
おわりに
ID、パスワードの開示等は、頻発すればWebサービス事業者にとって大きなダメージとなるものです。そして、CtoC型サービスも多く登場し、売却代金回収の不安なくID、パスワードを販売できる状況がある現状では、ユーザーにとって、ID、パスワードの第三者提供は従前よりハードルが低くなっているものとも思われます。事業者としては、事前に十分な対策をとり、望ましくない行為に備えておくことが重要です。
