ECサイトのダークパターンやCookieバナーの国内外規制動向、実装の実例を紹介

企業が避けるべき「8つのダークパターン」と「Cookieバナー実装」、IIJが説明

　IIJは、2024年2月7日、ダークパターンやCookie利用における法規制や企業対応をテーマとしたセミナーを開催した。

　インターネットが日常生活に必要不可欠で、当たり前に使用するツールとなった現在、消費者は、個人情報を窃取されたり、意図に反した行動を取らされたりしないよう、常に注意しなければいけなくなった。一方で、サイトやサービスを運用する企業側が、プライバシー規制の厳格化と相まって、配慮すべきトピックとなっているのが「ダークパターン」および「Cookieの利用」だ。

　本記事では、国内外のダークパターン規制および具体例を紹介するセッションと、ヤマハ発動機やライオンのサイト担当者が登壇したCookieバナー実装がテーマのパネルディスカッションの様子をレポートする。

国内外のダークパターン規制事情、日本でも特定分野やケースで法令違反となることも

　まずは、「欧米でのダークパターン規制の動向と日本企業に求められる対応」と題した、IIJ ビジネスリスクコンサルティング本部の石村卓也氏によるセッションの内容をお届けする。

　改めてダークパターンとは何か。日本の消費者庁では、「消費者が気付かない間に、不利な判断・意思決定をしてしまうよう誘導する仕組みのウェブデザイン」と説明している。元々は、“www.darkpatterns.org（現在はDeceptive Patternsに名称変更）”を立ち上げたHarry Brignull氏のつくった言葉であるとされ、「さまざまな定義があるが、実態としては、本人の意図に反して、製品やサービスを購入させる、個人情報を提供させるための手法として用いられる」と石川氏。

　ダークパターンは、欧米を中心に各国において、消費者保護・プライバシー保護関連の法令・ガイドラインで規制されている。欧米では、「デジタルサービス法（DSA）」にてダークパターンの使用が禁止されている他、言わずと知れた「GDPR（EU 一般データ保護規則）」でも、“透明性・公正性の原則”などの原則・義務において規制対象になる可能性がある。

　米国の「連邦取引委員会法（FTC法）」では、商取引における不公正または欺瞞的な行為・慣行を禁止する条例において、広範囲かつ汎用的に、ダークパターンを取り締まっている。日本でも有名な事例としては、Epic Gamesが、オンラインゲーム「Fortnite」において、児童オンラインプライバシー保護法（COPPA）違反と、ダークパターンによる不正な課金誘導によって、総額“5億2千万ドル”を支払う合意に至っている。

　州レベルでも、カリフォルニアやテキサス、コネチカット、コロラド、モンタナなどで、ダークパターンを用いて取得した同意は無効とする規定が盛り込まれている。特に「カリフォルニア州消費者プライシー法（CCPA）」では、日本ではよく見かける利用規約（Terms of Use）において、個人情報の第三者提供の同意を得ることも規制の対象となるという。

　一方の日本では、ダークパターンそのものに対する直接的な規制はなく、FTCのように包括的に取り締まりをするという動きもない。ただし、特定の分野やケースにおいて、法令違反となる可能性がある。

　まず、「特定商取引法」においては、“通信販売の詐欺的な定期購入商法対策”のための規定が2022年に設けられた。通信販売における最終確認画面などにおいて、一定事項（商品の分量やサブスクリプションの期間など）の表示が義務化されており、契約の申し込み時に誤認させるような表示を禁止している。

　「景品表示法」では、“優良誤認・有利誤認表示の禁止”という形で、実際の商品、または他社の同種・類似の商品よりも、著しく優良や有利であると示して、不当に消費者を誘引することを禁止している。2023年10月からは、広告であることを隠す「ステルスマーケティング（いわゆるステマ）」も禁止された。

　「消費者契約法」では、民法の特別法で直接的な罰則はないものの、消費者契約の申し込みおよび承諾の意思表示を取り消すための条件が示されている。

　「独占禁止法」では、著しく優良、または有利であると顧客に誤認させる“欺瞞的な顧客誘引”および“優越的地位の濫用”が禁止されている。後者に関しては、プラットフォーム事業者が、消費者がサービスを利用するために“受け入れざるを得ない”状況において、個人情報の利用目的を知らせなかったり、利用目的の範囲を超えて取得することを“優越的地位の濫用”として規制している。

　「消費者安全法」では、消費者の“利益を不当に害する”、または“自主的かつ合理的な選択を阻害する”恐れがある行為は、消費者事故等の定義に当てはまるとしており、「契約の重要事項における法だが、対象範囲が広い」と石村氏。一定の条件の消費者事故等については、内閣総理大臣が消費者に注意喚起を行い、2019年には、チケット転売の仲介サイト「Viagogo」が残り時間を表示してチケット購入を促し、キャンセルにも応じなかった事案にて注意喚起がなされた。

　最後に「個人情報保護法」だ。同法では、偽りやその他不正手段による個人情報取得が禁止され、“適切な同意”の取得を必要としている。同意が必要となるのは、当初の目的外で利用する場合や、要配慮個人情報を取得する場合、第三者に提供する場合などだ。また、同意の方法は、判断をする上で必要な、合理的かつ適切な方法でなければならず、例えば、書面やメール、確認欄でのチェックや、ウェブサイト上のクリック、音声や物理的な入力などが挙げられる。

企業が避けるべき8つのダークパターン例

　続いて具体的の8つのダークパターン、企業が避けるべきUI/UXのデザイン例が紹介された。まずは、米国のFTCが典型的なダークパターンとして挙げているものだ。

　ひとつ目は「誤信の誘発」。利用者の誤信を誘発して、本来であれば行わなかったであろう選択や、製品・サービスの購入を行わせるものだ。例としては、実際には在庫が豊富にあるにも関わらず“売り切れ間近”と表示したり、ホテルのブッキング（予約）サービスなどで、事実に反して“現在XX人が見ています”と記載したりするデザインが挙げられる。いわゆるステルスマーケティングや、中立的な比較サイトにみせかけたランキキング操作なども、誤信の誘発にあたる。

　2つ目は、「重要情報を隠したり開示を遅らせる」。利用者から重要な情報を隠したり、チェックアウト画面等の最後まで情報開示をしないことで、より多くの費用を支払わせる手法である。代表的な例は、チェックアウト画面まで来た段階で、それまで表示されていなかった手数料等が合計金額に追加される“Drip Pricing”と呼ばれる手法で、買い物に費やした時間が無駄になることを恐れる心理を狙う。「こうした手法を用いることで、消費者の約20%が通常よりも多くの支払いをしてしまうというFTCの調査結果もある」と石村氏。

　3つ目は、「承諾していない請求につながる」。不注意や無意識で課金が発生するボタンを押させたり、無料トライアル後に自動的に定期購読になる旨の表示を目立たないように配置して、意図せずに商品・サービスを購入させる手法だ。

　ここからは、英国のデータ保護監督機関（ICO）と競争・市場庁（CMA）の共同声明で提示されたダークパターン例となる。

　4つ目は、「有害な誘導・足止め」。利用者が望まない選択をするように誘導して、本来の選択を足止めする。特に「Cookieバナー」で散見され、“同意”ボタンがワンクリックなのに対して“拒否”ボタンが見当たらず、設定ページに移動することで個々のCookieを拒否できる仕様にするなど、同意に比べて拒否の手間が多くなる手法は、GDPRの規制にも抵触する。

　5つ目は、「恥・罪の意識の植え付け」。特定の選択をすることが、恥ずべきこと、罪であるかのような意識を利用者に植え付け、特定の選択を選べないようにする。例えば、割引とあわせて個人情報の提供を求め、拒否の選択肢として“いいえ、私は節約が嫌いです”といった負のイメージを想起させるボタンを設置するといったデザインだ。「余力のある大企業がこのようなインターフェイスを用いると、企業格差が広がり、市場競争上の公正性を阻害してしまう」と石村氏。

　6つ目は、「偏った構成」。特定の選択肢について利益や効果を強調し、別の選択肢ではリスクや弊害を強調することで、利用者を特定の選択肢に誘導する。例えば、ニーズに応じたサービスや広告が提供できるという“メリット”だけ提示して検索履歴の提供を促し、プライバシーリスク増大などのデメリットには触れないといった、選択を狭める手法となる。

　7つ目は、「一括同意」。個人データを複数の目的に利用することなどを、一括で同意させる。例えば、アカウント登録画面で、サービス提供の条件として、個人データの利用やCookieの使用について一括で同意をさせるようなデザインが該当する。

　8つ目は、「デフォルト設定」。特定の選択肢をデフォルトで有効とし、変更するには、利用者が積極的な手段を講じなければならないデザインだ。例えば、デフォルトで“ユーザー投稿を全ての人に公開する”が選択されているようなUIであると、利用者は明確な認識がないまま、個人データを広く公開してしまう可能性がある。