ネットでなりすまし被害 カード利用の代金を支払わなければならない?

相談者 EYさん
  • イラストレーション・いわしま ちあき

 「カード詐欺か? ゼロが一つ多い」。その月のクレジットカード代金の請求書を見て、私は卒倒しそうになりました。

 普段はせいぜい10万円くらいの金額なのに、全く身に覚えのない「情報使用料」という名目の請求が、総額100万円以上も記載されていたのです。

 動揺して請求書を破り捨てようとしましたが、「請求ミスかもしれない」とカード会社に問い合わせました。

 「お客さまのカードは、お手元にございますでしょうか」

 担当者に言われ、財布の中を確認しました。二つ折り財布の右側にあるカードフォルダーのいつもの場所「上から2番目」に、ちゃんとカードが入っています。カードを落としたわけでもなく、盗まれてもいないことがわかりました。

 カードの磁気データを盗み取られるスキミング被害に遭った可能性が高いと思い、ひとまずカードを使用停止にしてもらいました。そして、「使った覚えがない金額なので調査してほしい。それまでは、カード代金の引き落としを停止してほしい」と担当者に伝えました。

 翌日、カード会社から連絡がありました。驚くべき事実が判明しました。

 何者かが私のカードを使って、有料アダルトサイトの利用料金を支払っていたのです。サイトにアクセスした携帯電話の番号も判明しました。「えっ、この番号は……」、私は絶句してしまいました。何と、私の長男の携帯だったのです。犯人は私の長男でした。

 「お父さんのカードを勝手に使わなかったか」

 私は、すぐに同居している大学生の長男を問い詰めました。「何のことか分からない」と最初はぐらかしていた長男も、携帯の番号のことを言うと、ついに白状しました。

 長男が見ていたアダルトサイトでは、閲覧にポイントの購入が必要でした。そこで、長男は夜中にこっそりと私の書斎に忍び込み、私に無断でカードに書いてある、名義人名、カード番号、有効期限などの情報をメモしました。その情報をサイトに入力してポイントを何度も購入し、サイトを閲覧し続けたのでした。

 私は、すぐにカード会社に連絡しました。「自分が使ったものではなく、長男が勝手に私になりすましてカードを利用したのだから、私に非はない。従って、代金を支払うつもりはありません」と伝えました。知人から以前、「カードが不正利用されても、きちんと手続きを踏めば、その損失を補填ほてんしてくれる」と言われたことを思い出し、その話も持ち出し力説しました。

 しかし、カード会社の担当者は、即座に、「そういう場合には、損失は補填されません。通常通りに請求させていただきます」と言い切るのです。あとは、私が懇願しようが、どなりつけようが、全く聞く耳を持たない感じでした。最後に、「カードの利用規約をよく読んでいただけますか」と言われ、電話を切られました。

 慌てて、利用規約を取り寄せて確認してみました。虫眼鏡で見ないとわからないような、小さい字でつづられた長大な利用規約の中に次のような一文を見つけました。「当社は、会員が紛失・盗難により他人にカードまたはチケットを不正利用された場合であって、速やかにその旨を当社に通知し、最寄り警察署に届け出たときは、これによって本会員が被るカードの不正利用による損害をてん補します。」とあります。

 私は「これだっ!」と思いました。しかし、ぬか喜びでした。その記載に続く文言に愕然がくぜんとしました。「次の場合は、当社はてん補の責を負いません。(1)会員の故意若しくは重大な過失に起因する損害(2)会員の家族・同居人による不正利用に起因する場合…」と書いてあるのです。

 カードに詳しい人に聞いたところ、私のように同居の家族がカードを不正利用した場合、損失を補填しないという規定は、どのカード会社の規約にも記載されている一般的な内容のようです。

 私は、カード会社の請求に応じなければならないのでしょうか。(最近の事例を参考に創作したフィクションです)

回答


最近メディアをにぎわす「なりすまし事件」

 最近、ネットを介した「なりすまし事件」が話題になっています。今年6~9月に相次いで発生したネット経由での、小学校襲撃などの一連の犯行予告において、発信元のIPアドレスから割り出された4人の方々が逮捕されました。

 しかし、その後、真犯人からの犯行声明が報道機関等に送られ、そこには犯人しか知り得ない情報が明記されていたことから、結局、捜査機関は誤認逮捕だと認めて謝罪しました。つまり、いずれの事件の犯行予告メールも、真犯人が、これら誤認逮捕された被害者になりすまして送ったものであったわけです。

 報道によると、犯人は遠隔操作ウイルスを無料ソフトにみせかけて、被害者のパソコンにダウンロード後にインストールさせ、同ウイルスを使って、犯行予告メールを被害者のパソコンから送信した――という手口のようです。

 通常、ネット犯罪の場合には、使われたIPアドレスから犯人を割り出します。IPアドレスとは、ネットにおける住所とも言えるものです。インターネット上のコンピューター同士が通信する際には、「124.83.187.140」(ヤフーのアドレス)といったピリオドでつないだ数字、つまりIPアドレスで通信相手を特定しています。

 たとえば、あるウェブページを見ようとする場合も、このIPアドレスを用います。しかし、このような数字の羅列を、人間が記憶識別するのは困難であるため、通常は人間が覚えやすいように「yahoo.co.jp」といった文字列からなる「ドメイン名」に置きかえて利用しているわけです(上記数字を打ち込めば、ヤフーのサイトがきちんと表示されます)。

 上記なりすまし事件では、遠隔操作によって、誤認逮捕された人が所有するパソコンからメールが発信されており、捜査機関は、その発信されているパソコンに割りふられていたIPアドレスを突き止めて、使用していたパソコンを割り出し、その所有者を逮捕したわけです。

 簡単な例に置きかえれば、ひき逃げ事件の捜査で、目撃証言から車のナンバーが分かったので、その車の所有者を逮捕した。しかし、実はその事故を起こした時には別人がその車を借用していて、その別人が事故を起こした後に車をこっそり元の場所に戻していたため、間違って車の所有者が逮捕された――というのと同じです。

ネット取引でのなりすましは容易にできる

 最近、メディアをにぎわすなりすまし事件ですが、パソコンの遠隔操作まで行って、なりすましをするのは極端な例としても、実は以前から、ネット上の一般取引において、なりすましが問題になっていました。

 ネットにおける個人認証は、通常、IDとパスワードによりますから、それらを第三者に知られてしまうと、容易になりすましが可能になります。さらに言えば、ネット通販などでの取引において、利用者が購入代金をカード決済しようとする場合、名義人名、カード番号、有効期限といったカード券面に記載の情報さえわかれば利用可能となるのであって、ID、パスワードなど本人しか知り得ない情報までは一切必要ありません。

 そして、カードを対面取引で利用する場合には、男女の区別も含めて、その容姿の認識も可能ですが、ネット取引の場合、カード情報以外、誰が取引しているかは全く知りようがありません。従って、今回のご相談者のように、ネット通販で、第三者が自分になりすましてカードを使った買い物をして、その請求だけが自分に来るというような事件が発生する余地がいくらでもあるわけです。

 このように、ネット上での取引においては、リアル社会よりもずっと容易になりすましが可能となるわけです。今回は、そういったなりすまし事案の中から、本件のような事案を取りあげて、ご相談者が自分に身に覚えのないカード会社からの請求にどう対応すればよいかを考えてみたいと思います。

クレジットカードを利用したなりすまし

 クレジットカードを利用する場合、カード会員は、加盟店でカードを利用し、商品を購入したり、サービスの提供を受けることができます。その代金は、カード会社が加盟店に支払い、一定の期間後に、カード会員はカード会社に代金を支払う――という仕組みになっています。そして、カード会社と会員との間では、カード利用契約が締結されており(通常は「利用規約」を承諾するという形で契約が成立します)、利用の際における会員の責任等については、その契約(利用規約)の内容によって決まります。

 たとえば、カード会員が、カードを紛失したり盗難に遭ったりして、第三者に不正利用された場合についても、個々のカードの利用契約(利用規約)に詳細な規定が置かれており、その内容によって、カード会員が責任を負うかどうかが決まるわけです。

 具体的に、どのような場合にカード会員が責任を負うかは、個々のカード会社によって異なります。一般的には、他人の不正使用の場合にはカード会社が責任を負うとして、一定の場合に会員の責任を免除しています。

 そして、現行の主な会員規約によれば、(1)会員が善管注意義務に違反した場合(2)カードの紛失・盗難に遭った後、速やかに警察等に届け出るといた措置を行わなかった場合(3)カード会員の家族、同居人等の不正行為であるとき(4)カード会員の故意又は重過失のために不正行為が生じたときなどを除いて、カード会員は支払義務を負わないこと――となっています。 

 そして、このような契約の有効性は、裁判所も認めています。大阪地方裁判所平成5年10月18日判決は、カード会員の同居の息子がカードを無断使用した事案において、「原告は、カードの使用者が会員の家族等会員の関係者であることの一事をもって、会員に責任を負わせるものであって、合理性を欠く旨主張するが、会員と密接な関係にある者の使用については、それ以外の第三者による使用と区別して、会員により重い責任を課しても必ずしも不当とはいえないので、右規定が公序良俗に違反するとはいえない。」としています。

 同様に、夫が妻のクレジットカードを不正使用した事案において、札幌地方裁判所平成7年8月30日判決は、「家族・同居人という、会員と社会生活上密接な関係にある者は、一方で、カードの使用が他の第三者と比してはるかに容易な者であり、他方で、会員としても、カードの保管上、盗難等はもとより、右のような者の不正利用についても、原告に対して保管義務を負うべき立場にあると解されるから、クレジットカードの性質及びその予定されている利用状況等に照らすと、右のような者による使用について、それ以外の第三者による使用と区別して、会員により重い責任を課すことを内容とする右規約には一応の合理性があり、それが直ちに公序良俗に違反するとはいえない。」としています。

 つまり、一般的なカード利用契約(利用規約)によれば、本件ご相談者は、同居の長男がなりすまし犯人である以上、カード会社からの請求を拒めないことになるわけです。

長男がなりすまし犯人というだけで責任を負わなければならないのか?

 とはいえ、単に同居の長男がなりすまし犯人だからといって、直ちにご相談者のような立場にある人が責任を負うとしてしまって良いものでしょうか。

 ネットショッピングでは、決済手段として、代引きなどもありますが、手数料もかかるので、多くの人はクレジットカードを利用していると思います。そこでは、一般に、カード番号・有効期限などを入力することによりカード利用が行われます。いずれも、カードの券面に記載されている情報であり、容易になりすましが可能です。その点は、カード会社も十分に理解しており、その上で、ネット取引におけるカード利用を認めています。

 さらに、同居の家族がカード情報を入手する場合にも色々な状況があります。きちんと自分専用の書斎でカードが適切に管理されていた本件のような場合と、自分以外の家族が簡単に入手できるような居間のテーブルの上に無造作に放置されていた場合とでは、利用された人の責任が違ってきてもおかしくありません。

 そういった諸事情を一切考慮せずに、同居の長男が利用したという事のみで結論を出すことには疑問もあります。

 この点、長崎地方裁判所佐世保支部が、平成20年4月24日に注目すべき判断をし、金融業界で話題になりました。

 同判決は、クレジットカード会員の長男が、タンスの上に置かれていた財布からクレジットカードを抜き取り、無断でカード識別情報を取得してインターネットサイト利用料を決済した事案において「カード会社が不正使用を排除する利用方法を構築していれば不正利用を防ぐことができたというべきであるから、会員にカード識別情報管理の重過失があったとはいえない」として、カード会社の請求を認めませんでした。

 具体的には、以下のように判示しています。

 単に会員の家族等による「盗難」という事実があれば、カード会社や会員の帰責性が何ら考慮されることのないまま、カード会社は会員に全額の負担を求めることができると解することの合理性には疑問が生じ得るのであって、…少なくとも、本件のようなインターネット上における非対面での情報入力によるカードの不正使用の事案においては、会員の家族等による「盗難」の場合について定めた本件規約の解釈として、カード会社が採用したカード利用方法との関連で会員の帰責性を考慮する余地が十分にあるというべきである。

 (略)

 本件各カード利用は、インターネットのサイト上で本件カードのカード識別情報のみを入力する方法により行われているところ、この方法は、カード識別情報を正しく入力しさえすれば、その利用者が当該カード識別情報に対応するカードの貸与を受けた会員本人であるかどうかは問われないまま、当該カードの利用が可能となるもので、暗証番号の入力などによる本人確認は行われておらず、したがって、カード識別情報を知る第三者が会員本人になりすまして他人のカードを利用することが容易に可能な利用方法であったといえる。

 このような利用方法が採用された場合、会員がカードの不正使用を防ぐためには、カードの物理的な管理のみならず、カード識別情報という無体物についての管理が重要となるが、この会員による適切な情報管理の前提として、A社(注:カード会社)が会員に対し、カード識別情報のみで決済可能な利用方法があることを明示し、同情報の管理の重要性を認識させることが必要不可欠となる。もっとも、カード識別情報は、広く公開される情報ではないものの、いずれもカードの券面に表示されており、署名の方法によるカード利用時にはカードの提示が要求されること、上記券面情報がすべて売上伝票に印字されている場合があることなどに照らしても、本来的に本人のみが知り得る秘匿情報としては予定されていないものといえる。その上、情報の管理は、物理的占有によるカード本体の管理と異なり、何らかの方法でカード識別情報が他人に取得されたとしても、そのことだけでは、管理主体である会員に当該情報取得の事実が認識されにくいという特有の困難さも有する。

 そうすると、仮にA社が会員に対し、インターネット上においてカード識別情報のみで決済可能な利用方法があることを明示していたとしても、会員によるカード識別情報の管理には自ずから限界があるというべきで、カード識別情報を利用したなりすまし等の不正使用及びそれにより会員が被る損害を防止するには、カード識別情報の入力による利用方法を提供するA社において、カード識別情報に加えて、暗証番号など本人確認に適した何らかの追加情報の入力を要求するなど、可能な限り会員本人以外の不正使用を排除する利用方法を構築することが要求されていたというべきである。

 入力作業の手間が少ない方が会員の利便性が向上するとともに、カードの利用が促進されてA社の利益にもつながることや、暗証番号等の本人確認情報も含めたインターネット上での与信判断プロセスの構築に多額の費用がかかり得ることなどを考慮しても、決済システムとしての基本的な安全性を確保しないまま、事後的に補償規約の運用のみによって個別に会員の損害を回避しようとするだけでは不十分というほかない。

 ところが、A社は、前述のとおり、インターネット上でカード識別情報を入力して行うカード利用方法を会員に提供するに当たり、本人確認情報の入力を要求していなかったもので、可能な限り会員本人以外の不正使用を排除する利用方法を構築していたとは言い難く、のみならず、会員に対し、そのような利用方法があることを本件規約において明示することもしていなかったもので、被告(注:カードの名義人)もそのような利用方法の存在を明確には認識していなかったのである。

 このような事情の下では、被告にカード識別情報の管理についての帰責性を問うことはできないというべきである。また、被告が本件カードを入れた財布をタンスの上に置き、B(注:なりすました長男)が容易に入手可能な状態にしておいたことについて、被告に何らかの帰責性が問われ得るとしても、本件で本人確認情報の入力が要求されていれば(ただし、生年月日や住所等では意味をなさない。)、本件各カード利用を防ぐことができたことに照らすと、被告には重大な過失はなかったと認めるのが相当である。

長崎地方裁判所の判決の影響

 報道によれば、前ページで紹介した判決に対して、カード会社側が「現行のネット上の決済方法に問題があるとは思っていない。判決は遺憾だ」として、福岡高等裁判所に控訴し、平成20年12月2日、カードを不正利用した、カード名義人の長男が解決金を支払うことで和解が成立したとのことですが、カード決済の現場に一石を投じたことは間違いありません。判例評釈でも、インターネット社会において、カード会社も可能な限り、不正使用を防止しうるシステムの導入に努める必要があるなどと述べられています。

 こうした状況を受けて、本年4月2日に、社団法人日本クレジット協会は、インターネット取引におけるクレジットカード決済の拡大に伴い増加している「本人なりすまし」による不正使用被害を防止するために、「インターネット上での取引時における本人なりすましによる不正使用防止のためのガイドライン」を策定し発表しました。

 当ガイドラインでは、本年7月1日より、全てのインターネット取引におけるクレジットカード決済加盟店をガイドラインの対象として、「クレジットカード番号」及び「有効期限」の入力に加え、本人なりすましによる不正使用防止策の実施を求める旨を規定し、具体的な不正使用防止策として3-Dセキュアを推奨しています。

 3-Dセキュアとは、ネット決済時の本人認証サービスです。VISA、MasterCard、JCBなどの大手カード会社が採用しています。クレジットカードのセキュリティー性を高め、守るための事実上の国際標準サービスとなっており、従来のカード番号と有効期限に加え、カード会社に事前登録した本人にしか分からないパスワードをカード決済時に入力します。

長崎地方裁判所の判決などを基にカード会社と交渉を

 本件のご相談者ですが、自分のカードを前記判決の事案のように、家族の目につくタンスの上に放置していたわけではありません。きちんと自分の書斎でカードを管理していたわけであって、判決の事案よりしっかりとした管理がなされていたと評価することも可能です。そういう意味では、長崎地方裁判所佐世保支部の判断を前提にすると、同様に責任を負わなくてもよいとの結論になる可能性があります。

 これまでご説明したように、カード業界全体も、なりすまし対策に動き出しているわけですから、きちんと事情を説明して、前記裁判なども取りあげて、交渉してもよいかもしれません。

 ただし、ご相談者の方が自らの責任を否定することになると、当然のことながら、カード会社としては、実際に使用した長男の方に請求をせざるを得ません。しかも、父親とはいえ、別人になりすましてカードを利用したわけであり、その行為態様からして、刑事事件にも発展しかねません。現に、長崎地方裁判所の裁判においても、最終的には、なりすましの長男が解決金を支払って和解しています。ご相談者が責任を否定するということは、長男への責任追及につながる話であるということは十分に自覚されるべきかと思います。

2012年11月28日 09時00分 Copyright © The Yomiuri Shimbun

 

 


Copyright © The Yomiuri Shimbun