- 2024年 11月 25日
株式会社インターネットイニシアティブ
ビジネスリスクコンサルティング本部シニアコンサルタント(ニューヨーク州弁護士)
石村 卓也
ダークパターンとは、Webサイトやアプリ等で、ユーザーの意図に反して何かを購入させたり、何かに申し込ませる等、事業者側に有利となる行動を取らせるために使われるトリックです。近年、欧米を中心にダークパターンに対する規制や取締りが強化されてきています。日本ではまだ包括的なダークパターン規制はないものの、特定のケースにおいて、消費者保護やプライバシー保護に関連した法令の違反となる可能性があります。また、お客様からの信頼を失うことによる評判低下やブランド棄損等、ビジネスリスクという点で対岸の火事ではありません。
本記事では、欧米を中心としたダークパターン規制の概要を解説した上で、各国のガイドライン等で示されている具体的なUI/UXのNGパターンを紹介し、消費者の信頼獲得のために日本企業に求められる対応について考察します。
目次
1.ダークパターンとは?
2.欧米をはじめ各国での規制強化の動向
3.ダークパターン例(避けるべきUI/UX)
4.日本における規制
5.実例から学ぶ留意点
6.大切なのは顧客からの信頼獲得
1.ダークパターンとは?
“ダークパターン” は、www.darkpatterns.org の創始者で、UXデザイナーのHarry Brignull 氏が作った言葉です。同サイト(現在はwww.deceptive.design)では、以下の様に定義されています。
“ Deceptive patterns (also known as “dark patterns”) are tricks used in websites and apps that make you do things that you didn’t mean to, like buying or signing up for something. “(Brignull, H., Leiser, M., Santos, C., & Doshi, K. (2023, April 25). Deceptive patterns – user interfaces designed to trick you. deceptive.design. Retrieved April 25, 2023, from https://www.deceptive.design/)
「ディセプティブパターン(いわゆる”ダークパターン”)は、Webサイトやアプリ等で、あなたの意図に反して何かを購入させたり、何かに申し込ませる等の行動を取らせるために使われるトリックである」
この他、OECD(経済協力開発機構)や、各国の当局、そしてメディア等が様々な言葉でダークパターンを定義していますが、実態として、本人の意図に反し、製品・サービスの購入、サブスクリプションの申し込み、より多くの個人情報の提供や、個人情報を広範囲に開示させるための手法として使われています。
2.欧米をはじめ各国での規制強化の動向
近年、ダークパターンは欧米を中心として消費者保護・プライバシー保護関連の法令・ガイドライン等により規制が強化されてきています。以下にダークパターンを規制する代表的な法令・ガイドライン等を挙げています。
国・地域 | 法令・ガイドライン等 |
---|---|
欧州 | デジタルサービス法(DSA:Digital Services Act) |
GDPR(一般データ保護規則) | |
EDPB ソーシャルメディアのダークパターンに関するガイドライン | |
英国 | データ保護監督機関(ICO)と競争・市場庁(CMA)の共同声明 |
UK GDPR | |
米国(連邦) | 連邦取引委員会法(FTC法) |
米国(州) | カリフォルニア州消費者プライバシー法(CCPA)、その他テキサス州・コネチカット州・コロラド州・モンタナ州等のプライバシー・データ保護法 |
韓国 | 改正電子商取引法 |
インド | ダークパターンの防止と規制に関するガイドライン |
2024年2月現在
本記事では、これらの国・地域の中から、欧州、英国、米国の規制の概要を見ていきたいと思います。
欧州
■デジタルサービス法(DSA:Digital Services Act)※1
デジタルサービス法は、デジタル社会において、EU基本権憲章に基づいて保障された人々の基本的権利や自由を確保することを目的として制定された法律です。近年のオンラインサービス等の急速な拡大により発生している様々な問題に対応するため、クラウドサービス事業者、オンラインプラットフォーム事業者等に対する広範囲な義務を規定しています。2023年8月25日より、Google、Amazon、TikTok等の大手事業者に対して適用され、2024年2月17日より全対象事業者に対して適用されました。違法なコンテンツへの対抗措置の実施、未成年者へのプロファイリングやセンシティブデータに基づくターゲティング広告の禁止、透明性と説明責任の強化等の義務に加え、以下の通り”ダークパターンの利用禁止”が盛り込まれています。
“オンラインプラットフォーム事業者は、サービス利用者を欺いたり操ったり、サービス利用者が情報に基づく自由な決定を行う能力を実質的に歪めたり損なったりする方法で、オンラインインターフェイスを設計、構成、運用してはならない(DSA第25条)”
※1 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32022R2065
■GDPR(一般データ保護規則)
GDPRは言わずと知れた包括的かつ厳格な欧州の個人データ保護法ですが、ダークパターンは、GDPR上の以下原則・義務等への違反となる可能性があります。- 透明性・公正性の原則(第5条1項a)
- 透明性があり、容易にアクセスできる方法による情報提供の義務(第12条1項)
- データ主体の権利行使を容易に行えるようにする義務(12条2項)
- 適法な同意の取得(4条11項、7条)
- データ保護バイデザイン及びデータ保護バイデフォルト(25条1項)
■EDPB ソーシャルメディアのダークパターンに関するガイドライン ※2
2023年2月24日、EDPB(欧州データ保護会議:各国のデータ保護監督機関からの代表者で運営される組織)は、ソーシャルメディア事業者を対象とし、ダークパターンに関するガイドライン第2版を公表しました。本ガイドラインでは、Webサイト・アプリのインターフェイスにおけるダークパターンとGDPR違反との関係性が詳細に解説されており、ソーシャルメディア以外の事業者にも参考となる内容となっています。
※2 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032022-deceptive-design-patterns-social-media_en
英国
■データ保護監督機関(ICO)と競争・市場庁(CMA)の共同声明 ※3
英国のデータ保護監督機関(ICO)と競争・市場庁(CMA)は、2023年8月9日、利用者に情報や選択肢を提供するWebデザイン(OCA:Online Choice Architecture)のうち、適正な消費者の選択や個人データの管理を阻害するOCA(いわゆる”ダークパターン”)について、共同声明を公表しました。
Webサイトやオンラインサービスを提供している事業者や、それら事業者のオンラインインターフェースを制作しているUXデザイナーを対象とし、今後改善が見られない事業者等に対する取り締まりの強化を示唆しています。
※3 https://www.drcf.org.uk/__data/assets/pdf_file/0024/266226/Harmful-Design-in-Digital-Markets-ICO-CMA-joint-position-paper.pdf
■UK GDPR
欧州GDPRと同様、ダークパターンは、以下原則・義務等への違反となる可能性があります。
- 透明性・公正性の原則(第5条1項a)
- 透明性があり、容易にアクセスできる方法による情報提供の義務(第12条1項)
- データ主体の権利行使を容易に行えるようにする義務(12条2項)
- 適法な同意の取得(4条11項、7条)
- データ保護バイデザイン及びデータ保護バイデフォルト(25条1項)
米国(連邦)
■連邦取引委員会法(FTC法)
ダークパターンは「商取引における、または商取引に影響を及ぼす不公正又は欺瞞的な行為・慣行を禁止」するFTC法5条違反として、積極的に取り締まられています。このFTC法5条は広範囲で汎用的な内容になっているため、ダークパターン全般に網をかける規定であると言っても過言ではありません。
また、FTCは、”Bringing Dark Patterns to Light”と称したワークショップ※4 の開催や、スタッフレポート※5 の公表を通じて、ダークパターンの典型例とその問題点、提訴事例等について解説を行っています。以下は、FTCスタッフレポートで挙げられている4つのダークパターン典型例です。
1. 誤信の誘発
例)・実際は在庫があるのに「売り切れ間近」と記載する
・中立的な記事に見せかけて実は広告である
2. 重要情報を隠したり開示を遅らせる
例)・手数料等の追加費用の表示を目立たせない、画面の下の方に配置する等
・チェックアウト画面まで来た後に手数料等が追加される(Drip Pricing)
3. 承諾していない請求に繋がる
例)・ゲームアプリ内で課金が発生するボタンを不注意で押させるようなデザイン
・1ヵ月無料トライアルの後、自動的に定期購読になる旨を分かりづらくし、かつ解約も困難にする
4. プライバシーに関する選択を曖昧にしたり、覆す
例)・クッキーバナーで同意ボタンを目立たせて、拒否ボタンをグレーで目立たなくする
そして、ダークパターンは前述の通り、FTC法5条違反として積極的に取り締まられています。以下に、一部ではありますが、最近のFTCによる提訴事例を紹介します。
・Response Tree 社(2024年1月)
欺瞞的手法やダークパターンを用いて収集した個人情報を販売して違法な営業電話に利用させたとして、FTCが提訴、700万ドルの支払い等を内容とする命令案に合意。プライバシーポリシーへの同意ボタンを「見積依頼」という名称にしたり、10段落以上と長く、小さなフォントで記されたプライバシーポリシーの中に個人情報第三者提供に関する文言を紛れこませていた。
・Vonage社(2023年10月)
VoIPサービス等を手掛けるVonage社は、消費者約39万人への総額約1億ドルの返金命令に合意。ダークパターンを用いて、消費者のサービス解約を困難にしていた。
・Amazon社(2023年6月)
ダークパターンを用いて、知らないうちにAmazonプライムへ登録させ、また解約のための手続きは複数のページで複数のステップを経なければならない複雑なものであったとしてFTCが提訴。現在訴訟継続中(2024年2月現在)。
・Epic Games社 “オンラインゲーム Fortnite” (2022年12月)
児童オンラインプライバシー保護法(COPPA)違反と、ダークパターンによる不正な課金誘導についてFTCが提訴、総額5億2千万ドルを支払う合意。アクションボタンのすぐ隣に「アイテム購入」ボタンを配置し、誤ってボタンを押したユーザーに確認を求めることなく、直ちに課金が発生するほか、プレビューボタンと購入ボタンが場面によって異なる等、一貫性のない分かりにくいボタン構成により、不要な課金を誘発。
※4 https://www.ftc.gov/news-events/events/2021/04/bringing-dark-patterns-light-ftc-workshop
※5 https://www.ftc.gov/system/files/ftc_gov/pdf/P214800%20Dark%20Patterns%20Report%209.14.2022%20-%20FINAL.pdf
米国(州)
■カリフォルニア州消費者プライバシー法(CCPA)
米国初の包括的なプライバシー保護法と言われているカリフォルニア州消費者プライバシー法(CCPA)では、ダークパターンを用いて取得した同意は無効とされています。また、個人情報の取扱いに関する説明を含めた一般的かつ広範囲な利用規約(Terms of Use)への許諾をもって、特定の利用目的に対する個人情報の取扱いへの同意とすることはできない旨も明示されています(Cal. Civ. Code§1798.140(h))。
そして、CCPA規則ではダークパターンに該当する可能性があるものとして、以下の例が挙げられています。
ダークパターンに該当する可能性があるもの(CCR §7004(a)(b))
・非対称な選択肢
例)- オプトアウトをするのに、オプトイン同意を取得する際よりも多くのステップを要求する
- オプトイン同意の選択肢を 「“Yes” と “Ask me later”」とする
- バナー上の選択肢を「“Accept All”と”Decline All”」ではなく「”Accept All”と“More Information”」とする
・消費者を混乱させる言葉や対話式要素の利用
例)- “Do Not Sell or Share My Personal Information” の横に「“Yes” と “No”」の選択肢(ダブルネガティブ)
- 選択肢を“Yes” “No”の順番で並べ、途中から “No” “Yes”と逆の順番にする
・消費者の選択能力を損なったり、妨げるような設計
例)- オプトアウトをリクエストできるまでの導線を複雑で混乱を招くものにする
- 本来の利用目的への同意と関連性のない利用目的への同意をバンドルする
・オプトアウト等のリクエストを実行しにくくする
例)- オプトアウトリンクを押下後プライバシーポリシーに遷移させられ、実際の実行方法を探す必要がある
- リンクやEmailアドレスが機能していない
■その他の州法
米国では、現在(2024年2月)のところ、テキサス州、コネチカット州、コロラド州、モンタナ州等のプライバシー・データ保護法で、ダークパターンを用いて取得した同意は無効とする規定が盛り込まれています。
3.ダークパターン例(避けるべきUI/UX)
それでは、前述の米国のFTCスタッフレポートや英国のICO/CMA共同声明で説明されているダークパターン例を具体的に紹介していきます。
誤信の誘発/Induce False Beliefs (FTCスタッフレポートより)
利用者の誤信を誘発して、本来であれば行わなかったであろう選択や、製品・サービスの購入を行わせるもの。
例)・実際は十分に在庫があるにも関わらず「売り切れ間近」と記載する
・事実に反して「現在〇〇人が見ています」と記載する
・本当は時間制限がないがタイムリミットがあるように「カウントダウンを表示」する
・論説記事等に見せかけて実は広告である
・中立的な比較サイトと見せかけて実際は企業の支払い額に応じてランキングを作成している
重要情報を隠したり開示を遅らせる/Hide or Delay Disclosure of Material (FTCスタッフレポートより)
利用者から重要な情報を隠したり、チェックアウト画面等の最後の段階まで情報開示をしない(遅らせる)ことで、より多くの費用を支払わせる手法。
例)ショッピングサイトで、チェックアウト画面まで来た後に、今まで隠されていた手数料等が合計金額に追加される。この様な手法は “Drip Pricing”と呼ばれる。利用者にとって他社製品・サービスとの価格比較が困難となる。また、利用者は今まで費やした時間が無駄になってしまうことを恐れ、結局は手数料を支払って購入を完了させてしまう。
承諾していない請求に繋がる/ Lead to Unauthorized Charges (FTCスタッフレポートより)
不注意や無意識で課金が発生するボタンを押させたり、無料トライアル後に自動的に定期購読になる旨の表示を目立たないようにする等で、本来購入する意思のない商品・サービスを購入させるデザイン。
例)1ヵ月無料トライアルの後、自動的に定期購読になる旨の表示を小さく薄い文字でページ最下部に記載。
また、この類のダークパターンでは、定期購読の解約方法を分かりにくくしたり、解約の手続きを著しく困難にしている事が多い。
有害な誘導・足止め/Harmful nudges and sludge (ICO/CMA共同声明より)
利用者が本来は望まない選択をするように誘導する、本来行いたい選択を足止めするようなデザイン。特にクッキーバナーで散見される。
例)クッキー等による個人データ収集に「同意」するための操作がワンクリックであるのに対し、「拒否」ボタンがない。拒否するためには設定ページに移動した上で、個々のクッキー等への拒否を選択しなければならない。このような場合、同意に比べて拒否の手間が大きいため、結局、利用者は「同意」を選択してしまう。
恥・罪の意識の植付け/Confirmshaming (ICO/CMA共同声明より)
特定の選択をすることが、恥ずべきこと、罪であるかのような意識を利用者に植え付け、利用者が特定の選択を行わないようにするデザイン。
例)割引と引換えに名前、メールアドレス、電話番号の提供を求める。これを拒否するためには、「いいえ、私は節約が嫌いです」という負のイメージを想起させるボタンをクリックする必要がある。拒否をすることは、恥や罪であるかのような意識を植え付けられ、結局、利用者は、割引と引換えに自らの個人情報を提供してしまう。
偏った構成/Biased framing (ICO/CMA共同声明より)
特定の選択肢について利益や効果を強調し、別の選択肢についてはリスクや弊害を強調することで、利用者を特定の選択肢に誘導する。
例)検索履歴を提供することのメリット(例:利用者のニーズに応じたサービスや広告が提供されること)と、提供を拒否した場合のデメリット(例:利用者のニーズに応じたサービスや広告が提供されないこと)を強調する一方で、検索履歴を提供することによるプライバシーリスク増大等のデメリットについては触れない。利用者に十分な情報を提供しておらず、適切な選択を妨げている。
一括同意/Bundled consent (ICO/CMA共同声明より)
個人データの取扱いに関して、複数の目的に利用する事について、一括で同意させる。
例)あるサービスのアカウント登録画面において、サービス提供の条件として、複数の個人データ利用目的や、クッキーの使用について、一括で同意をさせる。多くの利用者は、サービス利用のためにやむを得ず、一括同意を選択してしまう。サービスの利用規約等への同意と一括で同意させるものもある。
デフォルト設定/Default settings (ICO/CMA共同声明より)
特定の選択肢をデフォルトで有効とし、これを変更するには、利用者が積極的な手段を講じなければならない。
例)デフォルトで「ユーザー投稿を全ての人に公開する」が選択されている。このような場合、利用者に明確な認識や理解がないまま、個人データを含むユーザー投稿が広く公開されてしまう可能性が高くなる。
デフォルトの設定は、その他の選択肢よりも平均で27%多く選ばれるという研究結果がある※6。
※6 https://www.cambridge.org/core/journals/behavioural-public-policy/article/when-and-why-defaults-influence-decisions-a-metaanalysis-ofdezfault-effects/67AF6972CFB52698A60B6BD94B70C2C0
4.日本における規制
日本においては、現在のところダークパターンに対する直接的、包括的な規制はありませんが、特定の分野やケースにおいて、以下に挙げる法令違反となる可能性があります。
■特定商取引法
特定商取引法は、事業者による違法・悪質な勧誘行為等を防止し、消費者の利益を守ることを目的とする法律です。2022年6月1日施行の改正法によって、通信販売の詐欺的な定期購入商法対策のための規定が設けられました。消費者庁は、本規定を新設した背景として、近年の定期購入に関する消費者生活相談件数の急激な増加があるとしています。
【新設された主な規定】
- 通信販売の申込みの最終確認画面等において、
①一定の事項の表示の義務付け(商品等の分量やサブスクリプションの期間、対価、支払時期、引渡し時期、申込みの期間、契約の解除に関する事項等)
②契約の申込みとなること等について、人を誤認させるような表示を禁止
- 通信販売において広告をする際に義務付ける表示事項として以下の内容を追加
①申込みの期間に関する定めがある場合は、その旨とその内容
②役務提供契約の解除等に関する事項 - 通信販売の契約の解除等に関する事項等について不実のことを告げる行為を禁止
- 消費者が誤認して申込みをした場合の取消権の創設
出典:消費者庁ウェブサイトより
www.caa.go.jp/policies/policy/consumer_education/public_awareness/gekkan/ 2022/symposium/assets/consumer_education_cms202_220519_03.pdf
【事例1】消費者庁:通信販売業者【株式会社オルリンクス製薬】に対する行政処分について(2024年4月10日)
https://www.caa.go.jp/notice/entry/037336/- 簡易な手続きにより定期購入契約を容易に解除できるかのように表示していた
- 実際には、定期購入契約の解除方法は、煩雑な手続を経る必要があり、容易に解除できるものではなかった
【事例2】消費者庁:通信販売業者【株式会社HAL】に対する行政処分について(2024年4月19日)
https://www.caa.go.jp/notice/entry/037529/- 商品の販売価格について、「メーカー希望小売価格14,200円 5,000円(税込)」として表示していた
- 実際には、本商品は、HALが自社ブランド製品として企画し、製造を委託した上で専売していたものであり、「メーカー希望小売価格」は、HALが自ら任意に設定した価格に過ぎなかった
■景品表示法
ダークパターンの一部は景品表示法が規制の対象とする不当表示に該当し、以下の規律への違反となる可能性があります。
優良誤認・有利誤認表示の禁止(第5条1号・2号)
実際のもの、または他社の同種・類似の商品・サービスよりも、著しく優良・著しく有利であると示し、不当に顧客を誘引し、一般消費者による自主的かつ合理的な選択を阻害するおそれがあると認められる表示の禁止
ステルスマーケティングの禁止 ※2023年10月1日より(第5条3号に基づく内閣府告示)
広告であるにも関わらず広告であることを隠すいわゆる「ステルスマーケティング」が不当表示として禁止された。自社の製品・サービスを、インフルエンサー等の第三者に広告であることを隠して紹介させる場合を含む
■消費者契約法
消費者契約法は、民法の特別法のため、事業者に対する罰則規定や行政処分の規定はありませんが、消費者は、事業者が消費者契約の締結について勧誘をする際に行った以下の行為により、以下に定める誤認をした結果として契約の申込みや承諾の意思表示をした場合、それを取り消すことができます。
- 重要事項(質、用途、対価、その他取引条件等)について事実と異なることを告げられ、当該告げられた内容が事実であると誤認した場合(第4条1項1号)
- ある重要事項、または当該重要事項に関連する事項について、当該消費者の利益となる旨を告げ、当該消費者の不利益となる事実(当該告知により当該事実が存在しないと消費者が通常考えるべきものに限る)を故意、または重大な過失によって告げなかったことにより、当該事実が存在しないとの誤認をした場合(第4条2項)
■独占禁止法
独占禁止法においても、ダークパターンは以下の規律違反になる可能性があります。
欺瞞的な顧客誘引の禁止(第2条9項6号ハ 一般指定8項、第19条)
自己の供給する商品・役務の内容や取引条件、その他これらの取引に関する事項について、実際のもの、または競争者のものよりも著しく優良、または有利であると顧客に誤認させることにより、競争者の顧客を自己と取引するように不当に誘引することを禁止
優越的地位の濫用の禁止(第2条9項5号、第19条)
公正取引委員会の公表資料「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」※7 では、事業者による個人情報の取得・利用における以下の行為は、優越的地位の濫用として規制される、とされている
消費者がデジタル・プラットフォーム事業者から不利益な取扱いを受けても、当該事業者の提供するサービスを利用するためにはこれを受け入れざるを得ないような場合に、その地位を利用した以下のような行為
- 利用目的を消費者に知らせずに個人情報を取得すること
- 利用目的の達成に必要な範囲を超えて、消費者の意に反して個人情報を取得・利用すること
- 個人データの安全管理のために必要かつ適切な措置を講じずに、個人情報を取得・利用すること
- 自己の提供するサービスを継続して利用する消費者に対して、消費者がサービスを利用するための対価として提供している個人情報等とは別の個人情報や、その他の経済上の利益を提供させること
ダークパターンの使用は実質的にこれらの行為に繋がり優先的地位の濫用に値する可能性がある
※7 https://www.jftc.go.jp/dk/guideline/unyoukijun/dpfgl.html
■消費者安全法
消費者安全法は、以下に挙げる行為を「消費者の利益を不当に害し、または消費者の自主的かつ合理的な選択を阻害するおそれがある行為」であるとし、これらの行為が事業者により行われた事態を「消費者事故等」と定義しています(第2条5項3号、政令第3条1~3号)。
例)・商品や役務について、虚偽または誇大な広告や表示を行うこと
・消費者との間の契約について消費者を勧誘する際、消費者の当該契約を締結するかどうかについての判断に通常影響を及ぼすものについて、故意に事実を告げず、または不実のことを告げること
・消費者による当該契約の申込み撤回、解除・解約を妨げるため、当該契約の解除・解約をするかどうかについての判断に通常影響を及ぼすものについて、故意に事実を告げず、または不実のことを告げること
・消費者との間の契約の締結・履行、消費者による当該契約の申込み撤回、解除・解約に関し、消費者を欺き、または威迫して困惑させること。
そして、「消費者事故等」について、内閣総理大臣は、消費者被害の拡大や類似の消費者事故等の発生の防止を図るため必要があると認めるときは、消費者への注意喚起をすることができる(第38条第1項)とされている他、一定の場合には、事業者に対し必要な措置をとるべき旨を勧告・命令(第40条4項・5項)することが出来るとされています。
【事例】消費者庁:チケット転売の仲介サイト「viagogo」に関する注意喚起(2019年9月13日)
https://www.caa.go.jp/notice/entry/016537/- 購入完了までの残り時間が表示されたため、早くしないとチケットを入手できなくなると思い込み、急いでチケットを購入してしまった
- 後で転売サイトだと気付き、キャンセルを求めたが、応じてもらえなかった
■個人情報保護法
ダークパターンの使用は、以下に挙げる行為に関連し、個人情報保護法違反となる可能性があります。
偽りその他不正の手段による個人情報取得
個人情報保護法では、偽りその他不正の手段による個人情報取得(いわゆる不正取得)が禁止されています(第20条1項)。例えば、個人情報を取得する主体や利用目的等について、意図的に虚偽の情報を示して、本人から個人情報を取得することは不正取得となります(個人情報保護法GL(通則編)※8 3-3-1 適正取得)。個人情報取得の場面において、このような行為に該当するダークパターンを使用した場合、当該規律の違反となる可能性があります。
不適切な同意取得
個人情報保護法では、以下のケースにおいて本人からの同意が必要とされています。
①当初特定した利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合(目的外利用)
②要配慮個人情報を取得する場合
③個人データを第三者に提供する場合
④個人データを外国にある第三者に提供する場合(例外あり)
⑤個人関連情報を第三者に提供し、第三者において個人データとして取得される場合
そして、同意は、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない、とされています。また、本人の同意を得ている事例として、個人情報保護法ガイドラインでは以下が挙げられています(個人情報保護法ガイドライン(通則編)2-16 本人の同意)。
例)・本人からの同意する旨の書面(電磁的記録を含む)の受領
・本人からの同意する旨のメールの受信
・本人による同意する旨の確認欄へのチェック
・本人による同意する旨のホームページ上のボタンのクリック
・本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ 等による入力
これらの事例を見ると、同意は本人の肯定的なアクションによる同意、つまりオプトイン同意を取得することが法令遵守上確実な対応であると言えます。
ダークパターンを用いて、本人の意図に反して同意に誘導したり、本人の肯定的なアクションを介さずに取得した同意は、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法により取得した同意とは言えず、同意の有効要件を満たさず、違法となる可能性があります。
※8 https://www.jftc.go.jp/dk/guideline/unyoukijun/dpfgl.html
5.実例から学ぶ留意点
これまでの内容を踏まえまして、本章では、ダークパターンに関連する当社内の事例および実際のコンサルティングの現場でよく目にする事例の中から3つご紹介し、それらの事例から学ぶ留意点について解説します。
【事例1】広告・宣伝に関する適切な告示
当社IIJが運営するオウンドメディア「BizRis(ビジネスリスクマネジメントポータル)」では、世界各国のプライバシー保護規制に関するニュース・論説・ブログを通じた情報提供や、オンライン相談サービスを提供しています。こうした中立的な情報提供を行うメディアにおいて、自社サービスに関する広告・宣伝を行う場合、米国FTCが問題としている「誤信の誘発」や、日本の景品表示法が規制する「ステルスマーケティング」に該当しないように留意が必要となります。
IIJでは、情報提供コンテンツの中で、自社サービスの紹介を行っている場合は明示的に「PR」という文言を表示しています。
また、外部有識者やパートナー企業の執筆者の記事を掲載する場合も、検閲プロセスの一つとして、広告・宣伝的要素の判断を設定しており、広告・宣伝要素が少しでもある場合には、「PR」表示を行っています。
【事例2】クッキーバナーの同意の誤解
特に日本国内向けのクッキーバナーにおいて、実態に反して、ユーザーが同意ボタンを押下するまではクッキー情報が取得されないかのように誤解を招く以下のようなデザインのクッキーバナーが散見されます。
現在のところ(2024年2月時点)、日本の個人情報保護法では、クッキー等の追跡技術の使用について、個人関連情報第三者提供規制※9 に該当する場合を除き、同意取得義務はありません。そのため、国内ユーザーに対するクッキーバナーはオプトアウト型による実装が主流となっています。つまり、デフォルトではクッキー情報を取得していますが、ユーザーが嫌であれば拒否する(オプトアウトする)ことが出来る形式です。
しかし、クッキーバナー上に表示するボタンの文言が「同意する」となっているため、利用者の立場では、このボタンを押すまではクッキー情報が収集されていない、という誤解を生む可能性があります。本来であればクッキーによる情報収集を拒否したいユーザーであっても、「同意していないのでクッキー情報は収集されていない」と考え、オプトアウトの設定をせずに、クッキーバナーを閉じてしまう可能性があります。
この様なUIは、英国ICO/CMAが問題としている「有害な誘導・足止め」に該当する可能性が高く、日本においても利用者を欺くことにつながるため、正しくオプトアウト機会が提供できるよう修正されるべきでしょう。
※9 個人関連情報第三者提供規制:クッキー等の端末識別子を通じて収集されたある個人のWebサイトの閲覧履歴等(個人関連情報)が第三者に提供され、提供先の第三者において個人データとして取得される場合、提供元は予め本人の同意が得られていることを確認しなければならない
【事例3】プライバシーポリシーによる一括同意
国内企業に多い例として、オンラインサービスの会員登録等の際に、個人情報保護法上同意が必要となる「個人データの第三者提供」や「個人関連情報の第三者提供」等について、プライバシーポリシー内で説明を行い、サービス利用のために当該プライバシーポリシーに同意することを必須条件としているケースがあります。
この同意取得方法は、以下の点で、米国FTCが問題とする「重要情報を隠す」デザインや、英国ICO/CMAが問題とし、GDPR/UK GDPR違反となる「一括同意」のダークパターンに該当する可能性が高いです。
- 長文のプライバシーポリシーの中に、同意を取得すべきデータ処理についての説明が目立たず紛れている
- サービス利用のためプライバシーポリシーへ同意すると、複数の個人データ処理目的への一括同意になる
国内の個人情報保護法においても、同意は、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法により取得されなければならない、とされているところ、長文のプライバシーポリシーの中に、同意を取得すべき複数の個人データ処理についての説明が目立たずに紛れているような場合、果たしてそのプライバシーポリシーへの包括同意をもって、合理的かつ適切な方法により取得された同意であると言えるでしょうか。また、サービス利用の際の会員登録の条件として複数の個人データ処理に対して一括で同意を求める方法について、国内の個人情報保護法では、GDPR/UK GDPRの様に個人データ処理の目的ごとの同意取得を要件とする明示的な規定はないものの、今後国内でも、消費者のプライバシー意識の高まりを受け、このような同意取得方法は、会員登録自体をやめる、代わりに他社サービスを選ぶ、といった顧客離れにつながる懸念があります。そのため、事業者には透明性のある情報提供と、消費者が自由な意思に基づいて個人データの処理目的ごとに同意・拒否の選択を行うことが出来るUI/UX設計が推奨されます。
6.大切なのは顧客からの信頼獲得
さて、本記事では、欧米を中心に強化されてきているダークパターン規制の概要、具体的なUI/UXのNGパターン、日本においても特定のケースにおいて法令違反となる可能性があること等について解説をしてきましたが、いかがでしたでしょうか。ダークパターンは、営業至上主義で消費者を欺いてでも自社に有利なように仕向けるすべての行為・慣行であると言えます。
- 無料のお試しのつもりが定期購入になってしまった
- 後から手数料が追加され想定外の出費になってしまった
- 知らぬ間にクッキーで閲覧履歴が収集されてしつこく広告が表示された
- 解約方法が分からない、解約手続きが複雑すぎる
こうした行為・慣行は、法規制の有無に関わらず、そもそも消費者から嫌われるものです。
そして、ダークパターンは、UI/UXデザイナーだけの問題ではなく、そもそもダークパターンを営業やマーケティングの方針として採用する企業倫理の問題ともいえます。
ダークパターンは、確かに、短期的には収益増をもたらすかもしれませんが、中長期的には顧客の信頼を失い、顧客が離れが起きた結果、結局は収益低下につながります。
ここで一つ、私自身の経験談を紹介します。昨年の夏、家族4人分の海外航空券を購入したのですが、複数の航空券販売サイトで金額を比較した結果、価格が一番安かった某サイトで、必要情報を入力してチェックアウト画面へと進みました。そのチェックアウト画面で初めて、今まで表示されていなかった手数料額が追加されました。私は、結局その場で購入をストップして、別のサイトに戻って航空券を購入しましたが、結果的に合計金額で1万円弱程の差が出ていました。
多くの人は、この様な体験をした場合、今後はそのサイトのサービスを利用したいと思わないですし、訪問すらしないであろうと思われます。
一度失った顧客の信頼を取り戻すのは大変です。そして、現代ではSNSで企業の悪評が拡散され易い状況もあります。ダークパターンは会社の評判・ブランドを棄損し、競争力の低下を招き、やがて最悪の場合は市場から撤退へと追い込まれます。
今後は、さらに法規制が広がっていくこともあり、ビジネスリスクとしてより注意を払っていく必要があります。そして、何より大切なことは、顧客からの信頼獲得を第一に考えることであり、そうすることで自ずとダークパターンを避けることが出来るはずであると考えます。