企業が避けるべき「8つのダークパターン」と「Cookieバナー実装」、IIJが説明
IIJは、ダークパターンやCookie利用における法規制や企業対応をテーマとしたセミナーを開催した。 【もっと写真を見る】
IIJは、2024年2月7日、ダークパターンやCookie利用における法規制や企業対応をテーマとしたセミナーを開催した。 インターネットが日常生活に必要不可欠で、当たり前に使用するツールとなった現在、消費者は、個人情報を窃取されたり、意図に反した行動を取らされたりしないよう、常に注意しなければいけなくなった。一方で、サイトやサービスを運用する企業側が、プライバシー規制の厳格化と相まって、配慮すべきトピックとなっているのが「ダークパターン」および「Cookieの利用」だ。 本記事では、国内外のダークパターン規制および具体例を紹介するセッションと、ヤマハ発動機やライオンのサイト担当者が登壇したCookieバナー実装がテーマのパネルディスカッションの様子をレポートする。 国内外のダークパターン規制事情、日本でも特定分野やケースで法令違反となることも まずは、「欧米でのダークパターン規制の動向と日本企業に求められる対応」と題した、IIJ ビジネスリスクコンサルティング本部の石村卓也氏によるセッションの内容をお届けする。 改めてダークパターンとは何か。日本の消費者庁では、「消費者が気付かない間に、不利な判断・意思決定をしてしまうよう誘導する仕組みのウェブデザイン」と説明している。元々は、“www.darkpatterns.org(現在はDeceptive Patternsに名称変更)”を立ち上げたHarry Brignull氏のつくった言葉であるとされ、「さまざまな定義があるが、実態としては、本人の意図に反して、製品やサービスを購入させる、個人情報を提供させるための手法として用いられる」と石川氏。 ダークパターンは、欧米を中心に各国において、消費者保護・プライバシー保護関連の法令・ガイドラインで規制されている。欧米では、「デジタルサービス法(DSA)」にてダークパターンの使用が禁止されている他、言わずと知れた「GDPR(EU 一般データ保護規則)」でも、“透明性・公正性の原則”などの原則・義務において規制対象になる可能性がある。 米国の「連邦取引委員会法(FTC法)」では、商取引における不公正または欺瞞的な行為・慣行を禁止する条例において、広範囲かつ汎用的に、ダークパターンを取り締まっている。日本でも有名な事例としては、Epic Gamesが、オンラインゲーム「Fortnite」において、児童オンラインプライバシー保護法(COPPA)違反と、ダークパターンによる不正な課金誘導によって、総額“5億2千万ドル”を支払う合意に至っている。 州レベルでも、カリフォルニアやテキサス、コネチカット、コロラド、モンタナなどで、ダークパターンを用いて取得した同意は無効とする規定が盛り込まれている。特に「カリフォルニア州消費者プライシー法(CCPA)」では、日本ではよく見かける利用規約(Terms of Use)において、個人情報の第三者提供の同意を得ることも規制の対象となるという。 一方の日本では、ダークパターンそのものに対する直接的な規制はなく、FTCのように包括的に取り締まりをするという動きもない。ただし、特定の分野やケースにおいて、法令違反となる可能性がある。 まず、「特定商取引法」においては、“通信販売の詐欺的な定期購入商法対策”のための規定が2022年に設けられた。通信販売における最終確認画面などにおいて、一定事項(商品の分量やサブスクリプションの期間など)の表示が義務化されており、契約の申し込み時に誤認させるような表示を禁止している。 「景品表示法」では、“優良誤認・有利誤認表示の禁止”という形で、実際の商品、または他社の同種・類似の商品よりも、著しく優良や有利であると示して、不当に消費者を誘引することを禁止している。2023年10月からは、広告であることを隠す「ステルスマーケティング(いわゆるステマ)」も禁止された。 「消費者契約法」では、民法の特別法で直接的な罰則はないものの、消費者契約の申し込みおよび承諾の意思表示を取り消すための条件が示されている。 「独占禁止法」では、著しく優良、または有利であると顧客に誤認させる“欺瞞的な顧客誘引”および“優越的地位の濫用”が禁止されている。後者に関しては、プラットフォーム事業者が、消費者がサービスを利用するために“受け入れざるを得ない”状況において、個人情報の利用目的を知らせなかったり、利用目的の範囲を超えて取得することを“優越的地位の濫用”として規制している。 「消費者安全法」では、消費者の“利益を不当に害する”、または“自主的かつ合理的な選択を阻害する”恐れがある行為は、消費者事故等の定義に当てはまるとしており、「契約の重要事項における法だが、対象範囲が広い」と石村氏。一定の条件の消費者事故等については、内閣総理大臣が消費者に注意喚起を行い、2019年には、チケット転売の仲介サイト「Viagogo」が残り時間を表示してチケット購入を促し、キャンセルにも応じなかった事案にて注意喚起がなされた。 最後に「個人情報保護法」だ。同法では、偽りやその他不正手段による個人情報取得が禁止され、“適切な同意”の取得を必要としている。同意が必要となるのは、当初の目的外で利用する場合や、要配慮個人情報を取得する場合、第三者に提供する場合などだ。また、同意の方法は、判断をする上で必要な、合理的かつ適切な方法でなければならず、例えば、書面やメール、確認欄でのチェックや、ウェブサイト上のクリック、音声や物理的な入力などが挙げられる。 企業が避けるべき8つのダークパターン例 続いて具体的の8つのダークパターン、企業が避けるべきUI/UXのデザイン例が紹介された。まずは、米国のFTCが典型的なダークパターンとして挙げているものだ。 ひとつ目は「誤信の誘発」。利用者の誤信を誘発して、本来であれば行わなかったであろう選択や、製品・サービスの購入を行わせるものだ。例としては、実際には在庫が豊富にあるにも関わらず“売り切れ間近”と表示したり、ホテルのブッキング(予約)サービスなどで、事実に反して“現在XX人が見ています”と記載したりするデザインが挙げられる。いわゆるステルスマーケティングや、中立的な比較サイトにみせかけたランキキング操作なども、誤信の誘発にあたる。 2つ目は、「重要情報を隠したり開示を遅らせる」。利用者から重要な情報を隠したり、チェックアウト画面等の最後まで情報開示をしないことで、より多くの費用を支払わせる手法である。代表的な例は、チェックアウト画面まで来た段階で、それまで表示されていなかった手数料等が合計金額に追加される“Drip Pricing”と呼ばれる手法で、買い物に費やした時間が無駄になることを恐れる心理を狙う。「こうした手法を用いることで、消費者の約20%が通常よりも多くの支払いをしてしまうというFTCの調査結果もある」と石村氏。 3つ目は、「承諾していない請求につながる」。不注意や無意識で課金が発生するボタンを押させたり、無料トライアル後に自動的に定期購読になる旨の表示を目立たないように配置して、意図せずに商品・サービスを購入させる手法だ。 ここからは、英国のデータ保護監督機関(ICO)と競争・市場庁(CMA)の共同声明で提示されたダークパターン例となる。 4つ目は、「有害な誘導・足止め」。利用者が望まない選択をするように誘導して、本来の選択を足止めする。特に「Cookieバナー」で散見され、“同意”ボタンがワンクリックなのに対して“拒否”ボタンが見当たらず、設定ページに移動することで個々のCookieを拒否できる仕様にするなど、同意に比べて拒否の手間が多くなる手法は、GDPRの規制にも抵触する。 5つ目は、「恥・罪の意識の植え付け」。特定の選択をすることが、恥ずべきこと、罪であるかのような意識を利用者に植え付け、特定の選択を選べないようにする。例えば、割引とあわせて個人情報の提供を求め、拒否の選択肢として“いいえ、私は節約が嫌いです”といった負のイメージを想起させるボタンを設置するといったデザインだ。「余力のある大企業がこのようなインターフェイスを用いると、企業格差が広がり、市場競争上の公正性を阻害してしまう」と石村氏。 6つ目は、「偏った構成」。特定の選択肢について利益や効果を強調し、別の選択肢ではリスクや弊害を強調することで、利用者を特定の選択肢に誘導する。例えば、ニーズに応じたサービスや広告が提供できるという“メリット”だけ提示して検索履歴の提供を促し、プライバシーリスク増大などのデメリットには触れないといった、選択を狭める手法となる。 7つ目は、「一括同意」。個人データを複数の目的に利用することなどを、一括で同意させる。例えば、アカウント登録画面で、サービス提供の条件として、個人データの利用やCookieの使用について一括で同意をさせるようなデザインが該当する。 8つ目は、「デフォルト設定」。特定の選択肢をデフォルトで有効とし、変更するには、利用者が積極的な手段を講じなければならないデザインだ。例えば、デフォルトで“ユーザー投稿を全ての人に公開する”が選択されているようなUIであると、利用者は明確な認識がないまま、個人データを広く公開してしまう可能性がある。 Cookie規制の最新動向、日本は同意が必要な場面は限定的 続いて、「国内企業の最新事例に学ぶCookieバナー実装の重要ポイント」と題したパネルディスカッションで、マーケターおよび企業、コンサルタント、法律専門家のそれぞれの視点からCookieバナーの規制動向と実装について語られた。 まずは、法律専門家の視点として、森・濱田松本法律事務所のパートナー弁護士である田中浩之氏より、Cookie規制の最新動向が語られた。 「海外についてはヨーロッパが一番厳しいと言って差し支えない」と田中氏。個人情報の規制としてはGDPRがあり、かつ定義が広く、Cookieデータも個人情報として適用される。また、GDPRと補完関係にあるeプライバシー指令に基づく各国法では、個人情報であるかに関わらず、厳格に必要なCookieでなければ同意を必要とする規制となっている。同意の要件も厳しく、「オプトイン」での事前同意が義務化され、ツールなどを使用して、個別同意や撤回ができるような実装が求められる。 米国においてもカリフォルニア州消費者プライシー法(CCPA)が、個人情報の定義が広く、Cookieデータも規制の対象とする。また、いわゆる“販売共有”規制によって、幅広いターゲティング広告なども対象となり、原則、消費者がCookieデータを第三者に販売されることを止められる「オプトアウト」の実装が義務化されている。 一方の日本の個人情報保護法は、個人情報の定義が狭く、Cookieデータは個人情報にあたらない。 ただし、2022年の改正個人情報保護法で設けられた、個人情報には該当しないが個人に関わる“個人関連情報”には、Cookieデータは該当する。そして、個人関連情報であっても保有する個人情報と突合すると特定の個人を識別できてしまうため、事業者が個人関連情報を第三者に提供する際に、提供先で個人情報に紐づく可能性がある場合には、事前同意が必要となる。「Cookieを利用する際にすべて同意を取る必要はなく、規制される場面は限定的」と田中氏。 もうひとつCookieの利用に関連する規制として、2023年に施行された改正電気通信事業法における「外部送信規律」がある。個人情報やCookieという定義付けはなく、“利用者の情報を利用者以外に送信する仕組み”そのものが規制の対象となる。外部送信規律が適用されるウェブサイトやアプリでは、一定の情報通知が義務付けられるが、オプトインでの事前同意は必要としない。 ポストCookie時代のインターネット広告、Google「Privacy Sandbox」は規制にあたるか? このようなCookie規制に加えて、今後Googleが「サードパーティCookie」を段階的に廃止していく方向性だ。本来は、2024年内に完了予定であったが、業界や規制当局、開発者からのフィードバックの調整を理由に、3度目の延期を表明している。 サードパーティCookieとは、訪問先のウェブサイトとは別のドメインが発行したCookieのことで、リターゲティング広告などに用いられるなど、インターネット広告には欠かせない技術だ。高いシェアを持つChromeブラウザでの廃止は大きな影響が出ると予測されている。 こうした“ポストCookie時代”に向けた広告業界の動向を、マーケター視点からデジタル・アドバタイジング・コンソーシアム(DAC)の上野沙羅氏が、コンサルティング視点からIIJ ビジネスリスクコンサルティング本部 槙拓也氏が語った。 上野氏は、「昨今の潮流でいうと、企業はファーストパーティデータの活用を大前提に検討しており、各プラットフォーマーもコンバージョンAPIや拡張コンバージョンといった、ファーストパーティデータを活用するための機能をリリースしている」と説明。 また、GoogleがサードパーティCookieの代替手段として展開する「Privacy Sandbox」についても、企業側は徐々に研究しはじめているという。Privacy Sandboxは、プライバシー保護と広告を両立させる技術で、ユースケースごとに各種APIが提供される。 一方で、IIJの槙氏は、Privacy Sandboxをデジタルマーケティングで利用すると、少なくとも欧州のePrivacy指令の規制対象になってしまうと指摘する。Privacy Sandboxは、閲覧履歴からブラウザが推定した“関心属性”を基に広告を表示する仕組みを用いるが、2023年11月に公表されたePrivacy指令の新ガイドライン案の見解では、Cookie同様に消費者に事前同意を取得する必要がある。 一方の日本の個人情報保護法に関しては、現状では対象外になる可能性が高いが、「いずれ(海外の規制)に追随するだろう」と槙氏。加えて電気通信事業法の外部送信規律にも、Privacy Sandboxの仕組みは規制の対象となり、少なくとも情報提供が義務づけられる。 Privacy Sandboxにおいても、現状のCookieバナーで同意をとることは可能なのか。「結局はJavaScriptによってTopics情報(興味関心の属性)を取得したり、読み取ったりするため、Cookieバナーでの制御は引き続き有効」と槙氏。Cookieバナーという名称も、今後は違う名前に変わっていくのではないかと付け加えた。 加えて上野氏は、プライバシー保護の問題が世間を賑やかす中で、今後の企業のデータ利活用の方向性は、「ユーザーにどう見られるかという着眼点にシフトしていくのではないか」と予測する。 ヤマハ発動機・ライオンにおけるCookieバナーの実装例 パネルディスカッションにおいては、IIJの支援を通して米OneTrustのCookie同意管理バナーを導入した企業として、ヤマハモーターソリューションの桜井良子氏、ライオンの榎本裕美子氏が登壇、Cookieバナーの導入の経緯や取り組み、実装のポイントについて披露された。 ヤマハ発動機の情報システムを担うヤマハモーターソリューションの桜井氏は、「ヤマハ発動機はお客様や生産拠点が280カ国に渡っており、海外の売上比率も9割以上を占めているため、グローバルウェブサイトには世界中のお客様が来訪していた」と説明。同社がCookieバナーを検討し始めた2019年末の時点では、欧州でGDPRが施行、米国のCCPAも目前だったため、まずはグローバル対応としてCookieバナーを導入したという。 国内においては、改正個人情報保護法の規制対象にあたるCookie利用はなかったものの、日本インタラクティブ広告協会のガイドラインでオプトアウト手段を設けることが推奨されていることや、プライバシー意識の高まりを受け、“会社の姿勢”としてCookieバナーを導入。「自分の意思でオプトアウトできることは、企業に対する信頼感につながるのではと期待している」と桜井氏。 Cookieバナー実装のポイントとしては、「世界中からお客様が来るというのもあり、OneTrustのジオロケーションルールを活用し、アクセス元に応じて規制に対応した3種類のバナーを出し別けている」と桜井氏。言語は、HTML上での設定に応じて日英の2種類を用意する。表示は、閲覧の邪魔にならないよう画面の一番下に表示、デザインもシンプルにした。 ライオンの榎本氏は、「GDPRの策定が欧州でされ、日本でも個人情報保護法が改正されるという話が聞こえてきたタイミングでCookieバナーの検討を始めた」と説明。調べてみるとCookieバナーの導入は必要なかったが、「結局はサイトを訪れるユーザーが安心して利用できるという、“企業のマナー”として導入することを決めた」と榎本氏。 加えて、インターネット広告において、いつの間にかリターゲティングされていることに違和感を感じ、正しくデータを利活用している姿勢を示したかったとする。 実装方法としては、「デフォルトではオプトアウトの状態で、同意されると計測開始される。極力ユーザーの邪魔にならないようにしつつ、視認性が担保されるように工夫して実装した」と榎本氏。 Cookieバナー実装に向けた留意事項、ドメスティックな企業も動向を注視していくべき 最後にCookieバナー実装時の留意事項や今後の展望について、それぞれの視点から語られた。 DACの上野氏は、Cookieバナーの導入の前に、企業で取り扱う情報を基に方向性を整理することが重要だという。DACがデジタルマーケティングのソリューションを提案する際には、取り扱う情報は法的に対応する必要があるか、不要な場合にも“レピュテーションや透明性”、“将来の法改正”の観点での対応する必要があるかを検討する。その上で、明示的同意やオプトアウト明示、導線の改良改善などを、どう実装するかを話し合っていくという。 また、実計測という機能面はもちろん、ポップアップの画面の占有率など、見え方やデザイン、設置箇所などにも留意する必要がある。加えて、「ダークパターンへの配慮も重要。デジタルマーケティングにおける影響を考える反面、誘導的なバナーになってはいけないという前提もあり、両者のバランスを取らなければいけない」と上野氏。 IIJの槙氏は、Cookieバナーの実装方法について、法規制の強度、顧客の透明性の確保、マーケティングへの影響という3つの要素のバランスを考えると、オプトアウト型(初めから同意のチェックが入り、同意をしない場合には外すデザイン)のバナーを実装するのが現時点での最適解とし、実際の導入でも一番多いという。 また、Cookieバナーにおけるダークパターンにあたる実装例として、“ウェブサイトの利用をもって、Cookieの利用に同意する”といった文章とあわせてOKボタンを押させるような「みなし同意」や、Cookieの設定が、ボタンではなく目立たないリンク形式にしているといった、避けるべきデザインが紹介された。 最期に、ダークパターンに関して田中弁護士は、「Cookieバナーに限らず、各国当局がすでにガイドラインなどを案内しており、日本においても個人情報保護法の3年ごとの改正が控えている。個人情報の定義をGDPRと揃えるところまではいかないが、同意の取り方がテーマに挙がり、ダークパターンにも焦点があたっている」と説明。 また、改正される個人情報保護法の施行自体は先になるものの、「日本のある意味いいかげんであった部分が変わるかもしれないことを念頭に、既に対応しているグローバル企業だけではなく、ドメスティックな企業も、動向を注視していく必要がある。ダークパターンへの対応は、企業姿勢が問われていく」と指摘した。 文● 福澤陽介/TECH.ASCII.jp
