森・濱⽥松本法律事務所
弁護⼠　呂　佳叡⽒

• 印刷用PDFファイルをダウンロード
• 当日のディスカッションレポート
• 当日の講演資料

欧米でのダークパターン規制は包括的な規制が多くあります。代表的なものとして、米国の米国連邦取引委員会法（FTC法）、カリフォルニア州消費者プライバシー保護法（CCPA）、EUのデジタルサービス法（DSA）、欧州データ保護会議（EDPB）ガイドラインを紹介します。

米国連邦取引委員会（FTC）はFTC法5条に基づき「商業におけるまた影響を与える不公正または欺瞞的な行為、または慣行」を取り締まっています。非常にシンプルかつ包括的で分野横断的な規制であり、これに基づきダークパターンだけでなくプライバシー侵害等幅広く執行が可能になっています。

(1)ダークパターンの分類

FTCが発行するスタッフレポートでは、ダークパターンを4分類しています。

1. 誤信を招くデザイン
   CNNやFoxNews等報道機関を出所と見せかけたフェイクニュースを記載した勧誘メールを消費者に送信し、最終的には内職商法勧誘サイトに誘導するものや、中立を装った比較ランキングサイトが実際には報酬に応じてランキングを作成していた事例が紹介されています。「あと何分でセール終了」のような虚偽のタイムリミット表示もこの分類に当てはまります。
2. 重要な情報を隠す、または後から表示するデザイン
   ローン会社Webサイトのローンオンライン申し込みプロセスで、消費者が通常クリックしなさそうな場所にカーソルを合わせると手数料の説明が表示される仕様や、長い説明の下の方に小さく目立たないように料金に関する記載を埋もれて表示させる手法が挙げられています。また、最初に提示された金額に対して契約手続き中に入会金や手数料、送料等が追加されていく手法も、他サービスと正確な価格比較ができない、途中まで手続きした消費者が諦めてそのまま決済してしまう点で問題視されています。
3. 承認していない課金に誘導するパターン
   Amazonのアプリストアで販売されていた子ども向けゲームアプリでは、アプリ内課金は小さな文字で表示する一方で無料の文字を目立たせている、子どもがゲーム操作の一環のような課金ボタンを押すだけで1回当たり上限99.99ドルまで何回でも課金が可能といった点が問題視され、課金の際はクレジットカードのパスワード入力を求めるよう仕様変更されましたが、その後も1回のパスワード入力で60分間無制限で課金可能であることを通知しなかった点等が指摘されました。他にも、無料トライアル後キャンセル手続きを取らない限り定期購入となることを分かりにくく記載している例やキャンセル手続きが煩雑な例等も挙げられています。
4. プライバシーに関する選択を分かりづらくする、または誤らせるデザイン
   スマートTVメーカーが、レコメンドのために収集するユーザーの視聴履歴をデフォルトで第三者に共有される設定にしていたケースでは、最初は通知もなく、その後一部の消費者に表示するよう設定した際も、すぐに表示が消えてしまう、表示内容も拒否ボタンや設定メニュー、プライバシーポリシーへのリンクなどもなく承認するしかないといった仕様でした。
   またリードジェネレータ（見込み客獲得サービス提供事業者）が米軍公式採用サイトと思わせるデザインのWebサイトを通じて米軍加入希望者の情報を収集し、同意を得ずに大学や専門学校等に情報を販売していたケース等も紹介されています。

(2)執行事例

最近のFTCによる執行事例では、世界的に人気があるオンラインゲーム「Fortnite」の開発・提供元であるEpic Games,Incを訴訟提起した件が大きく報道されました。

結果は、児童オンラインプライバシー保護法（COPPA）違反として2億7,500万ドルの罰金支払い、およびダークパターンによる不正な課金誘導に関する2億4,500万ドルの消費者への払い戻しで、合意されました。具体的には、①クレジットカード情報を保存するよう誘導（親のクレジットカードで子どもが許可なく繰り返し課金してしまう）、②アイテムのプレビューボタンのすぐ上に課金ボタンが配置され購入を誤導する（押すと即座に課金される）、③課金キャンセルを阻止する（元の仕様はゲーム内通貨購入ボタンのすぐ下に取消ボタンがあったが、誤操作による課金を理由とする取消が多かったため、ボタン名を変更し（UNDO⇒CANCEL PURCHASE（HOLD））画面下に移動⇒取消率35％減少）といったユーザーインターフェイスが問題とされました（ダークパターンとして指摘されたのは②、③）。

CCPAはプライバシー保護法ですが、データの取扱いに係る同意に関して「ダークパターンによる合意は同意に該当しない」と定めています。また、ダークパターンを「ユーザーの自律性を妨害するインターフェイスであって、規則で定めるもの」と定義し、詳細は規則に落とし込んでいます。
2024年9月にはカリフォルニア州プライバシー保護監督機関（CPPA）が執行勧告を公表し、ダークパターン回避の重要性を強調しています。執行勧告では、「ダークパターン検討のサンプルと事業者が検討すべき視点」として、一括してCookieの利用を拒否するボタンがなかったり、デフォルトでCookieを受け入れる設定になっているものを検討のサンプルとして示しています。

EUのDSAは、オンラインプラットフォーム事業者に対する義務を規定している法律です。2024年2月17日より全面適用開始となりましたが、この中で「サービス受領者を欺いたり操作したりする方法で、またサービス受領者が自由かつ十分な情報を得た上で意思決定を行う能力をその他の方法で実質的に歪めたり損なったりする方法で、ええ、オンラインインターフェイスを設計、構成、運営してはならない」（25条1項）と包括的に定めています。また、具体的な適用については欧州委員会がガイドラインを発行できることになっており、実際にSNS等のプラットフォームについて調査等も行われています。

GDPRには、有効な同意の要件や様々なデータ取扱いに関する規定があるため、ダークパターンがこうした規定に違反する可能性があります。このため、EDPBではGDPR違反に該当し得るダークパターンについて、ガイドラインを策定しています。

(1)ダークパターンの分類

ガイドラインでは、ダークパターンを6つに分類し、それぞれに細かな例等も記載しています。

1. Overloading
   大量の要求、情報、選択肢等を提供する
   継続的な催促、プライバシーの迷路、多過ぎる選択肢が該当
2. Skipping
   データ保護についてユーザーが忘れたり考えないように設計する
   欺瞞的な寄り添い、「あちらを見て」が該当
3. Stirring
   ユーザーの感情に訴えかけたり視覚的な刺激を与えたりする
   感情的な揺り動かし、「見え隠れ」が該当
4. Obstructing
   ユーザーが情報を得たりデータを管理したりするためのプロセスを困難
   または不可能にすることにより、妨害・阻止する
   「デッドエンド」、必要以上に長い、ミスリーディングな行為が該当
5. Fickle
   インターフェイスの設計に一貫性がなく明確でないため、利用者がデータ保護管理ツールを操作しづらく、データ処理の目的を理解しづらい
   階層の欠如、非文脈化、一貫性のないインターフェイス、非連続的な言葉遣いが該当
6. Left in the dark
   情報やデータ保護管理ツールを隠したり、データ処理の方法や、権利行使に関して可能なコントロールがユーザーに不明な形でインターフェイスが設計されている
   矛盾する情報、曖昧な表現や情報が該当

(2)執行事例

2024年1月に、フランスのデータ保護監督機関（CNIL）が消費者向けロイヤリティプログラム運営企業FORIOUに対し、データブローカーから提供されたデータの同意取得が有効かどうかを確認せず商業目的で使用したとしてGDPR6条違反を理由に31万ユーロ（約5000万円）の制裁金を課しました。実際の同意取得画面では、同意する選択肢のみ強調されており、データブローカーのパートナーからのプロモーションを受け取らない選択肢は小さく目立たないテキストで表示されていたため、データ利用を拒否することが難しかったと指摘されています。

また、ベルギーでは2024年9月に、①Cookieバナーに「すべて拒否」ボタンがない、②同意ボタンが目立つよう強調されている、③同意撤回には数回のクリックが必要な点がGDPR違反として、45日以内の是正命令が出されまし。当該期間を過ぎると25,000ユーロ（約400万円）/日の制裁金が課されるということです。

本内容は、2024年10月8日に開催されたJIPDECセミナー「「ダークパターンとは何か？ 今後の規制動向と企業リスク」での講演内容を取りまとめたものです。