JIPDEC
客員研究員　寺⽥　眞治

• 印刷用PDFファイルをダウンロード
• 当日のディスカッションレポート
• 当日の講演資料

最近ニュース等で、ダークパターンが非常に多く取り上げられるようになりました。理由は、従来は消費者保護の観点から考えられていたのに対し、現在ではさらに範囲を広げて規制を考えていく動きが出てきているためです。消費者法関係でも大きな改正があり、これまでの消費者と企業との「取引」という視点だけでなくさまざまな角度から規制を考える、また個別事案ごとも規制を強化しようという流れになっています。

独占禁止法は、本来は企業対企業が対象でしたが、2～3年前に事業者と利用者間においても優越的地位があり、そこも独占禁止法の対象になるのではないかというレポートが出されてから、考え方が変わりつつあります。デジタル・プラットフォームやデジタル広告が膨大な量の利用者情報を取得し、プロファイリングしてターゲティングすることが広まる中で、取得、利用に関して利用者に正しく伝えているか、正しい情報の収集を行っているか、誤った利用が行われていないか等、情報の収集と処理が適正に行われるべきという視点が広がっています。

欧米では基本的人権や消費者保護の考えが法律の最上位にあるため、規制の整備が進んでいますが、これまで日本ではなかなか規制が進んでいませんでした。しかし、データは国境を越えて流通するため、海外の規制にある程度合わせないと、日本のデータがグローバルで使えなくなってしまうという考えのもと、現在さまざまな議論がなされています。

個人情報保護法では、17条で利用目的をできる限り特定すること、20条で偽りその他不正の手段による個人情報の取得を禁止、としています。つまり、利用目的から合理的に予測・想定できるものを、偽りその他不正の手段によらず本人が容易に理解できる形で通知公表する、と定めている点はまさにダークパターン規制と読むことができます。

現在は、「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法」であるための要求事項やプラクティス、同意の撤回の「容易性」について議論されています。改正個人情報保護法は、2025年の通常国会で審議され成立する予定ですが、法律には概念的、一般的な規律までしか定められないのでグレーゾーンが非常に大きく、具体的な判断基準やプラクティスは委員会規則やガイドラインを待つことになります。示されるプラクティスはFTCレポート等海外で示されているものとほぼ同様になる可能性は高く、ガイドライン等は施行直前に出されるケースが多いので、海外のベストプラクティス等を参考に対応することも検討してください。

電気通信事業法は昨年改正法が施行され、外部送信規律（端末から情報を取って誰かに送信すること）で、以下について通知または公表、同意、オプトアウトのいずれかを義務付けています。

• ①利用者の影響に及ぼす影響が少なくない電気通信役務
• ②利用者に通知し又は容易に知りうる状態に置く際に満たすべき要件
• ③利用者に通知し又は容易に知りうる状態に置くべき事項
• ④オプトアウト措置の際に利用者が容易に知りうる状態に置く事項
• ⑤利用者が電気通信役務を利用する際に送信をすることが必要な情報

このうちの②がダークパターン禁止条項と読むことができます。また、対象となる情報は個人情報だけでなく利用者情報すべてなので、Cookieや広告ID等も対象となります。また④では、取得時は通知・公表だけで同意が取れていないものに対しても、利用停止を求められる仕組みが求められており、これも典型的なダークパターン禁止条項と言えます。具体的な対応は、「電気通信事業における個人情報等の保護に関するガイドライン」で詳しく解説されており、その内容に反しているとダークパターンとみなされる可能性が高いと言えます。

この内容をさらに具体的なプラクティスとしたものが、スマートフォン・プライバシー・セキュリティ・イニシアティブ（SPSI）です。SPSI改訂案を掲載した利用者情報に関するワーキンググループ報告書（案）が11月9日まで意見募集を行っています。

• 意見募集「利用者情報に関するワーキンググループ報告書（案）及び不適正利用対策に関するワーキンググループ報告書（案）」（e-Gov パブリック・コメント）別ウインドウで開く

SPSIには、プライバシーポリシーを読みやすくするための工夫や望ましい位置情報取得時のお知らせ方法等、具体的なプラクティスが記載されています。これらの内容は、総務省と経済産業省が公表した「企業のプライバシーガバナンスガイドブック」やISO/IEC29184（JIS X 9252:2023）「情報技術-オンラインにおけるプライバシーに関する通知及び同意」の考え方も反映しているので、グローバルでもある程度通用するものです。ISO/IEC29184は日本提案の国際規格で、欧州データ保護会議（EDPB）のダークパターンに関するガイドライン内容も参照しているので、これに準拠すれば世界的にも見てもダークパターンには当たらないと考えられますので、ぜひ参照してください。

• JIS X 9252:2023情報技術—オンラインにおけるプライバシーに関する通知及び同意（一般財団法人日本規格協会）別ウインドウで開く

等が挙げられます。これらは、現在の日本の法律で直ちに違反となるわけではありませんが、一方でこういった欺瞞的な行為そのものが、そもそも違法ではないかという考え方が法律の検討の中で議論されています。

独占禁止法では、顧客に誤認させることの禁止（第2条9項6号ハ 一般指定8項、第19条）が規定されており、また「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」（令和4年4月改正）では、消費者はデジタル・プラットフォーム事業者の取引の相手方であると考え、行為により優越的地位の濫用が適用（第2条9項5号、第19条）されるとしています。ここでいうデジタル・プラットフォーム事業者とは、GAFAMだけでなくオンラインでビジネスを行っている場合、ほぼ該当します。

• 「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」（令和4年4月改正　公正取引委員会）別ウインドウで開く

また、消費者法制度に関しては、例えば従来の景品表示法での規制では広告主以外に対しては対応しきれない部分もあるなど、既存の法制度では対処できなくなっているため、デジタル社会における消費者保護対策を抜本的に検討する「消費者法制度のパラダイムシフトに関する専門調査会」が検討を行っています。ここでは、特にアテンションエコノミーに対する問題意識が大きく、ダークパターンやプロファイリングについても検討課題となっています。アテンションエコノミーとは、内容の正誤は二の次にして、とにかく刺激的なタイトルや危なそうな内容で消費者を広告に引き付けてビジネスにつなげるもので、従来の消費者法では対応が難しく、物品やサービスの取引だけでなく、事業者との間に情報の取引が行われていると捉えた場合の対応の方向性が考えられています。事業者側も考えていかないと、今後さまざまな法律で規制される可能性があるということをぜひ認識していただければと思います。

本内容は、2024年10月8日に開催されたJIPDECセミナー「「ダークパターンとは何か？ 今後の規制動向と企業リスク」での講演内容を取りまとめたものです。