「「困った経験 共有し発信」 「ダークパターン」命名ブリグナル氏 ネットのワナ規制を」という日本経済新聞の2021年5月25日付けの記事で、ダークパターンの紹介がされていたので、これを法的にどのように取り扱うべきか考えてみました。
ダークパターンとは、その記事によると
ウェブサイトで利用者を不利なクリックに誘導する表記や設計
と定義されています。もっともこの「不利」ってなんなのだろうとか、法的な概念として耐えられるのか、という問題がでてくるので、すこし考えてみます。
検索すると
などのサイトで詳しくダークパターンについて説明がなされています。
でもって、もともとご本家(?)は、ハリー・ブリヌル(Harry Brignull)で、その本家のサイトは、こちらになります。
紹介のビデオは、これです。
- アマゾンのアカウントの閉鎖の仕方がわかりにくいこと、
- まるで、Roach Motel (ごきぶりホイホイ)だよね。
- グリーンを押していくと、いつのまにか購入になっているとか
- 消去を押し間違えるとすぐにリンクをクリックしてしまうとか
などが紹介されています。
本家のサイトは、ダークパターンのタイプ、不名誉の殿堂、参考文献からなりたっています
ダークパターンのタイプ
この具体的な例としては
- トリック・クエスチョン(片方で、製品のお知らせなどを送らないでというチェック項目の次にサードパーティからの商品明細を送ってくださいというような質問を準備すること/メンバーシップのキャンセルを続行するか・キャンセルするかというような質問)
- バスケットへの忍込み(いつのまにか・オプトアウトがなされないままに他のサービス等が抱き合わされること)
- ゴキブリほいほい(追加のアイテムをかごに入れてしまうこと)
- Privacy Zuckering(騙されて、意図した以上に自分の情報を公開してしまうこと-データブローカーによってプロファイルに統合されてしまう)
- 価格比較防止(価格の比較をさせなくする手法としては、いろいろなものを組み合わせてしまうという方法が有名です)
- ミスディレクション(注意をそらす)
- 隠されたコスト(チェックアウトの最後の段階で、配送料や税金などで予想外の費用を加算すること)
- おとり商法(Bait and switch-具体的な例としては、Windows10の×をおすとアップデートが始まるというのにしたもの)
- コンファームシャミング(ユーザの羞恥心悪用-オプトアウトするのに利用者に有罪感を与えてしまう)
- 偽装広告(他のコンテンツやナビゲーションを装った広告-ソフトをダウンロードするつもりがこうこくダウンロードしてしまうような場合)
- 強制的な継続性(あるサービスの無料トライアルが終了した後、何の前触れもなくクレジットカードへの課金が始まること。場合によっては、退会を困難にしているば場合もある)
- 友達スパム(電子メールやソーシャルメディアの使用許可を求めておきながら、あなたの連絡先すべてに、あなたからのメッセージと称してスパムを送信する製品。
不名誉の殿堂
これについては、Dark Patternのツイッターで報告がされるということです。
個人的には、ソフトウエアをダウンロードしようというと、他のソフトもついでにインストールされるというのが、一番困るダークパターンかと思います。
特に、私としては、(義理の母の)スマホが、クリーンアップソフトの広告が画面に出てきたときは、電話でいろいろと分析しなければならなくりり、困りました。
参考文献
これについては、参考文献のページをみていただくということになるかと思います。
ダークパターンに灯をともす
では、これの法的規制ということになるかどうしましょうか、ということになります。
上の参考文献のページでは、法的な分析というのがあまりないのが気になるところです。 アカデミックなものでは、
「ダークパターンに灯をともす(Shining a Light on Dark Patterns )」
がいいなあと思います。
Jamie Luguri, Lior Jacob Strahilevitzは、
同論文では、
ダークパターンとは、デザイナーが故意にユーザーを混乱させたり、ユーザーが実際の好みを表現することを困難にしたり、ユーザーにある行動を取らせるように操作したりするユーザーインターフェースのことです。
性質としては、「スラッジ」 (汚泥-誤った方向へのナッジ)、「市場操作」ということになるとしています。
行動経済学に関するセイラー博士は、スラッジ(汚泥・ヘドロの意味)という概念をあげています。これは、わるい方向に向けてのナッジ、もくしは、物事を台無しにして、賢明な判断や社会的な活動をより困難にするものという意味です。(私の「コンタクトトレーシングと法」から)
同論文では、
Mathur, Arunesh, Acar Gunes, Friedman Michael J., Lucherini Elena, Mayer Jonathan, Chetty Marshini & Narayan Arvind. 2019. Dark Patterns at Scale: Findings from a Crawl of 11K Shopping Websites, 3 Proc. ACM Hum.-Comput. Interact., No. CSCW, Article 81.
を紹介しています。研究者としては、
- 有意義な用語法を確立する
- ダークパターンのひろがりを明らかにする
という研究がなされたあとは、テーマは、次のステップとして
ダークパターンは、どれだけ有効なのか
ということ明らかにしないといけないとしています。
詳しくは、別の機会にして、同論文は、
消費者は、より中立的なユーザーインターフェースに直面したときにはしないことを、ダークパターンに直面した場合には、させることで非常に効果的です。暗い色のパターンは、より中立的なユーザーインターフェースに直面したときにはしないことを、消費者にさせるのに非常に有効です。比較的穏やかなダークパターンでは、私たちが被験者に販売していると伝えた怪しげな個人情報保護サービスに申し込んだ消費者の割合が2倍以上になり、攻撃的なダークパターンでは、個人情報保護サービスに申し込んだ消費者の割合が約4倍になりました。
としています。このような実験は興味深いです。日本でも同様の結果がでるのでしょうね。
なお、同論文の4部は、法的な分析に移ります。ということで、法的な分析に移行しましょう。
ダークパターンの法的分析
Luguri論文(40ページ以降)以外にも、記事としては、
「アメリカ、EUは、ダークパターンの規制にどのように対応するか」(How US, EU approach regulating ‘dark patterns)
「カリフォルニアは、州のプライバシー法のアップデートで、詐欺的な『ダークパターン』を禁止」
などがあります。
まずは、定義としては、
米国連邦取引委員会のRohit Chopra氏は最近、ダークパターンを「オンラインサービスにとって利益となる行動にユーザーを欺き、誘導し、操作するために使用されるデザイン上の特徴であるが、多くの場合、ユーザーにとって有害であったり、ユーザーの意図に反していたりする」と定義しました。
になるそうです。
事案としては、
- Federal Trade Commission v. AMG Capital Management(910 F.3d 417 (9th Cir. 2018))
- FTC v. LeadClickMedia, LLC, 838 F.3d 158 (2d. Cir. 2016)
- Federal Trade Commission v.Office Depot, Complaint for Permanent Injunction and Other Equitable Relief,Case No. 9-19-cv-80431 (S.D. Fla. March 27, 2019)
などが代表的な例としてあげられています。
先に述べたダークパターンの多くは、消費者が避けていたはずの取引をしてしまったことによる損害を特徴づけることができるため、現在の実質的な損害の概念に完全に当てはまります。しかし、ダークパターンを「unavoidability(回避できない)」という前提条件を満たすように概念化することには困難が伴うかもしれません。(略)
要約すると、連邦裁判所は、オンラインでダークパターンを展開する企業をFTCが追求する権利は十分にあると見なす判例が出てきています。分類法で特定されているテクニックのうち、虚偽の証言、ゴキブリホテル、隠れたコスト、強制的な継続性、美的操作、事前選択、トリッククエスチョン、偽装広告などは、すでにFTCの取引上の欺瞞的行為の禁止に違反する根拠となっています。また、虚偽の活動メッセージ、バスケットに忍び込む、おとりよせ、強制的な登録、希少性を利用した手法など、欺瞞を用いた手法は、現行法のパラメータに素直に当てはまると思われます。その他のテクニック、例えば、口うるさい、価格比較防止、中間通貨、感情をもてあそぶ、確認するなどのテクニックは、おそらく第5節の不公正性の項で争う必要があるでしょう。nagging、toying with emotion、confirmshamingが合法であるかどうかを示す判例は見つかりませんでした。いずれにしても、既存の判例を調査した結果、ダークパターンを制限する法律は発明する必要はなく、かなりの程度、すでに存在していることがわかりました。
また、同論文では、少なくとも銀行・金融サービス分野において「不正行為」を規制する権限を持つ消費者金融保護局(CFPB)を通じてダークパターンを対象としたエンフォースメント活動を行うことができます。CFPBによる不正使用(abuse)行為の定義は、FTCが規制できる不公正な行為よりも、間違いなく拡大しています。
12 U.S.C. § 5531によると、不正使用行為とは以下のようなものです。
(1)消費者金融商品・サービスの条件を理解する消費者の能力を著しく阻害する、
または
(2)A 商品・サービスの重要なリスク、コスト、条件についての消費者側の理解不足、
B.消費者金融商品・サービスの選択・使用における消費者の利益を守ることができないこと、
C.消費者の利益のために行動する対象者
に対する消費者の合理的な信頼を不当に利用する。
また、Restore Online Shoppers’ Confidence Act(ROSCA) (15 U.S.C. §§8401–05)も示唆されています。また、契約において同意がなされているか、という点からの報告もなされています。
ただし、結局は、「許容される行為と許容されない行為の分水嶺は何か」“where does one draw the line?” ということになります。
ダークパターンを規制するための組織的な取り組みにおける最後の厄介な課題は、憲法上保護されている可能性のあるダークパターンのバリエーションにどう対処するかという問題です。ほとんどの種類のダークパターンについては、これは比較的簡単なことです。偽りや誤解を招くようなコマーシャルスピーチは、憲法修正第1条によって保護されません(Central Hudson Gas & Electric Corp. Comm’n of N.Y., 447 U.S. 557, 563 (1980))。
私たちの改訂版分類法では、既存の文献よりも慎重に、社会的証明(活動メッセージや体験談)や緊急性(在庫僅少/需要高/期間限定のメッセージ)は、伝えられる情報が虚偽や誤解を招くものである場合に限り、ダークパターンにされることを示しています。
(略)
肝心なことは、 口うるさかったり、迷惑だが許せない形だったりのダークパターンを罰することができるかどうかについては潜在的な不確実性があることを考慮すると、これらのダークパターンを抑制することに関心のある人々にとって最も賢明な戦略は、契約上のレバーを押すことである。つまり、消費者の利益にならない条件に同意するように口うるさく言う企業に制裁を課すことは、憲法修正第1条に関係する可能性がある。しかし、裁判所や立法府がそのような手口で確保した同意を無効と決定することには、憲法修正第1条の問題は全くない。少なくともアメリカの法体系においては、ダークパターンを重要な概念的カテゴリーとして考えることで得られるものは多いが、少なくとも理想的な法的対応を考えるという点では、分離してコンテクストを考慮することで得られるメリットもある。より広く言えば、憲法修正第1条の教義をはるかに超えた理由から、契約上のレバーが最も魅力的なものになるかもしれません。FTCはいくつかの重要な事件を起こしていますが、連邦政府機関も同様の州法の執行者も、どこにでもいるわけではありません。公共の執行機関のリソースは必然的に有限である。しかし、消費者と、消費者を代理して契約紛争を解決しようとする弁護士は数多く存在します。ダークパターンが広く使われるようになると、企業は集団訴訟の対象となります。その結果、少数の裁判所であっても、不公正または欺瞞的なダークパターンの使用は消費者の同意を得られないと判断することで、その種の行為を大幅に抑止することができます。
最後に、より明るい話題として、ユーザーインターフェースにライトパターンが登場し始めていることが挙げられます。
という分析がなされています。
連邦法案
ダークパターンに対応する法案としては、Deceptive Experiences to Online Users Reduction Actが2019年に提案されています。,
議案
大規模なオンライン事業者による搾取的・欺瞞的行為の使用を禁止し、そのような事業者による行動調査の使用において消費者の福祉を促進する。
1.表題
本法は「Deceptive Experiences To Online Users Reduction Act」または「DETOUR Act」と称されることがある。
2.定義
本法では
(1)行動的または心理的な実験または研究
行動・心理学的な実験・研究とは、個人間・個人間の相互作用や社会集団の活動など、行動から推測される顕在的・観察可能な行動や精神現象を、人体実験を含めて研究することをいう。
(2)委員会
「委員会」とは、連邦取引委員会を意味します。
(3)強迫観念
強迫的な使用とは、外的要因によって刺激される反応で、個人が反復的、意図的、かつ意図的な行動をとることにより、心理的苦痛、コントロール不能、不安、抑うつ、または有害なストレス反応を引き起こすものをいいます。
(4)独立審査委員会
独立審査委員会とは、大規模オンライン事業者による、または大規模オンライン事業者の指示・裁量による、人間を対象とした研究を審査し、その開始を承認し、定期的な審査を行うために、大規模オンライン事業者が正式に指定した委員会、委員会、またはその他のグループをいう。
(5)インフォームド・コンセント
インフォームド・コンセントとは
(A)研究対象者が実験または研究に参加する前に、十分な情報を提供され、行動学的または心理学的研究の実験または研究への自発的な参加について、十分な情報を得た上で決定することを可能にするプロセスであり、参加者による自発的な参加の同意を得る前に、提供された情報および参加に関連する利益、リスク、結果を参加者候補が理解することを保証するプロセスを意味する。
(B)以下のものは含まれない
(i)13歳未満の方の同意、または
(ii)一般契約またはサービス契約に含まれる条項への同意。
(6)大規模オンライン事業者
大規模オンライン事業者とは、以下に該当する者をいう。
(A)オンラインサービスを提供している。
(B)30日以内に1億人を超える認証済みオンライン・サービス・ユーザーを有する者
(C)連邦取引委員会法(15 U.S.C. 41 et seq.)に基づき、欧州委員会の管轄下にあること。
(7)オンラインサービス
オンラインサービスとは、ソーシャルネットワーク、検索エンジン、電子メールサービスなど、インターネット上で一般に公開されているウェブサイトまたはサービス(インターネット接続サービスを除く)をいう。
(8)ユーザーデータ
ユーザーデータとは、識別された、または識別可能な個々のユーザーに関連するあらゆる情報を意味し、ユーザーによって大規模オンライン事業者に直接提出されたか、または大規模オンライン事業者によって観察されたユーザーの活動から得られたかを問わない。
3.ユーザ・インターフェースの操作に関する不正および欺瞞的な行為および慣行
(a)禁止される行為
(1)一般的に
大規模オンライン事業者は、以下の行為を行うことは違法である。
- (A)ユーザーの同意やユーザーデータを得るために、自主性、意思決定、選択を不明瞭にし、破壊し、または損なう目的または実質的な効果をもって、ユーザーインターフェースを設計、変更、または操作すること。
- (B)関係する各ユーザーのインフォームドコンセントがある場合を除き、行動学的または心理学的な実験または研究の目的で、オンラインサービスの消費者をグループに分割またはセグメント化すること。
- (C)13歳未満の個人を対象としたウェブサイト、オンラインサービス、またはその一部において、ユーザーの同意なしに開始された動画の自動再生機能を含む、強制的な利用を助長する目的または実質的な効果で、ユーザーインターフェースを設計、変更、または操作すること。
(b)大規模オンライン事業者の義務
ユーザーの行動やデータに基づいて何らかの行動研究や心理研究を行う大規模オンライン事業者は、以下の義務を負うものとします。
(1)90日に1回以上、定期的に、利用者に、利用者がエンゲージメントや商品転換を促進する目的で受けた、または登録した実験や研究を開示する。
(2)90日に一度以上、定期的に、エンゲージメントまたは製品転換を促進する目的で、現在行われている、または前回の開示以降に終了した実験または研究を公開すること。
(3) パラグラフ(1)および(2)の情報開示は、以下の方法で行わなければなりません。
(A)明確で、目立つように、状況に応じて適切に、かつ、容易にアクセスできるように。
(B)誤解を招くような表示をしないこと。
(4)目的を問わず、ユーザに対して、またはユーザの活動やデータに基づいて行われる行動学的または心理学的な研究については、独立審査委員会を設置し、すべての行動学的または心理学的な実験または研究を審査し、承認、修正を要求、または不承認する権限を有するものとします。
(5)パラグラフ(4)に基づいて設立された独立審査委員会は、以下のものを委員会に提供することを含め、委員会に登録しなければなりません。
(A) 取締役会メンバー全員の氏名および履歴書
(B)取締役会の構成および事業者の経営陣への報告体制
(C)研究や修正の提案が理事会に通知されるプロセス、および理事会がそのような提案に対して拒否権や修正権を行使できるプロセス。
(D)理事会メンバーに提供される報酬
(E)理事会メンバーの理事会への参加に関して存在しうるあらゆる利益相反。
(c)登録された職業基準機関
(1)一般的には
大規模オンライン事業者の団体は、公共の利益のため、または大規模オンライン事業者の利用者の福祉を守るために必要または適切であるとして、委員会が規則で定める形式で、団体の規則および委員会が規則で定めるその他の情報および文書を含む登録申請書を委員会に提出することにより、専門家基準団体として登録することができる。
(2)専門家集団
大規模オンライン事業者の団体は、以下のように委員会が判断しない限り、職業基準団体として登録することはできない。
(A)協会がそのように組織されており、会員および会員に関連する者が本法の規定を遵守することを強制する能力を有していること。
(B)協会の規則で、大規模オンライン事業者は誰でも当該協会の会員になることができると規定されている。
(C)協会の規則では、協会の理事の選出および運営において会員を公平に代表することが保証されており、1人以上の理事は利用者を代表する者でなければならず、協会の会員または大規模オンライン事業者と関連したり、直接または間接の資金提供を受けたりしてはならないと規定されていること。
(D)協会の規則は、搾取的および操作的な行為または慣行を防止し、技術開発および設計の透明かつ公正な原則を促進し、研究設計およびインフォームド・コンセントのベストプラクティスに沿った研究を促進し、継続的に業界の慣行を評価し、本法令の目的に合致した拘束力のあるガイダンスを発行することを目的とする。
(E)協会の規則は、本法、本法に基づく規則もしくは規制、または協会の規則のいずれかの規定に違反した場合、除名、停職、活動・機能の制限、罰金、問責、会員としての活動の停止もしくは禁止、またはその他の適切な制裁によって、会員および会員に関連する者が適切に懲戒されることを規定しています。
(F)協会の規則は、本法の規定に従っており、一般的に、会員および会員に関連する者の懲戒、会員になろうとする者の会員資格の拒否、会員に関連する者の禁止、および協会またはその会員が提供するサービスへのアクセスに関して協会が何人かを禁止または制限するための公正な手続きを規定している。
(3)責任と活動
(A)明確なルール
協会は、継続的に、(B)号に準拠した大規模オンライン事業者の技術製品の開発・設計のためのガイダンス及びブライトライン・ルールを策定しなければならない。
(B)セーフハーバー
第(A)号に基づくガイダンスを策定するにあたり、協会は、ユーザの自主性、意思決定、選択を破壊または損なう目的または実質的な効果を持たない行為、または子供の強迫的な使用を助長する行為を以下のように定義するものとする。
(i)消費者の好みをテストして得られた、スタイル、レイアウト、テキストの変更を含む最小限のユーザーインターフェースの変更であって、当該変更がユーザーの同意またはユーザーデータを得る目的で行われていないもの。
(ii)大規模オンライン事業者またはその関連会社の管理外のアルゴリズムまたはデータ出力。
(iii)ユーザーに強化されたプライバシー保護を提供するか、またはその他の方法でユーザーの自律性と意思決定能力を強化するデフォルト設定を確立すること。
(d)欧州委員会による取締り
(1)不公正または欺瞞的な行為または慣行
(a)または(b)の違反は、連邦取引委員会法(15 U.S.C. 57a(a)(1)(B))第18条(a)(1)(B)に基づき、不公正または欺瞞的な行為または慣行を定義する規則の違反として扱われます。
(2)決定
本法の施行のために、欧州委員会は、以下の場合に、ある行為または慣行が不公正または欺瞞的であると判断する。
(A)ユーザーの自主性、意思決定、同意やユーザーデータを得るための選択を阻害する目的、または実質的な効果がある場合。
(B)13歳未満の児童による強迫的な利用を助長する目的または実質的な効果を有する場合。
(3)規制
委員会は、本法令の制定日から1年以内に、米国法典第5編第553条に基づき、以下の規則を公布しなければならない。
(A)ユーザーのインフォームド・コンセントを得るための規則と手続きを定める。
(B)独立審査委員会の登録、設立、監督、管理に関する規則を制定する。これには、大規模オンライン事業者による不適切または不当な影響から、独立審査委員会の効果的な独立性を確保するための基準が含まれる。
(C)専門家基準機関の登録、設立、監督、管理に関する規則を制定する。これには、当該機関の定期的な監督および指定の取り消しに関する手続きを含む。
(D) (c)項に基づいて設立された専門的基準機関と協議の上、ユーザーの自主性、意思決定、選択を破壊または損なう目的または実質的な効果を持たず、かつ、子供の強迫的な使用を助長することのない行為を以下のように定義する。
(i)消費者の好みをテストして得られた最小限のユーザーインターフェースの変更(異なるスタイル、レイアウト、テキストなど)で、そのような変更がユーザーの同意やユーザーデータを得る目的で行われていないもの
(ii)大規模オンライン事業者またはその関連会社の管理外のアルゴリズムまたはデータ出力。
(iii)ユーザーのプライバシー保護を強化したり、ユーザーの自主性や意思決定能力を高めるようなデフォルトの設定を行うこと。
(4)セーフハーバー
委員会は、大規模オンライン事業者が専門的な基準機関の指導に善意で依拠した場合、本法に基づく強制措置を講じることはできない。
ということです。
(A)ユーザーの同意やユーザーデータを得るために、自主性、意思決定、選択を不明瞭にし、破壊し、または損なう目的または実質的な効果をもって、ユーザーインターフェースを設計、変更、または操作すること。
といわれても、きわめて曖昧な概念なので、我が国の場合、アメリカでは、法的な規制の提案がなされていて進んでいます的な説明は、あまり意味がないように思えますね。
カリフォルニア消費者法
さて、一方、カリフォルニア消費者プライバシー法規則(CALIFORNIA CONSUMER PRIVACY ACT REGULATIONS)をみていきます。 これは、カリフォルニア消費者プライバシー法の規則になります。規則の追加改正部分は、本年の3月15日から施行されています。
新たな規定(999.315(h)項)では、消費者が個人情報の販売をオプトアウトするために必要なステップ数を、販売をオプトインするために必要なステップ数以下に制限しています。さらに、この規制案では、消費者がオプトアウトしようとする際に、事業者が紛らわしい言葉を使用することを禁止しています(999.315(h)(2))。また、規制案では、事業者が消費者がオプトアウトしようとする際に、オプトアウトしない理由のリストを読んだり聞いたりすることを禁止しています(999.315(h)(3))。
(h) 事業者がオプトアウトの要求を提出する方法は、消費者にとって実行しやすく、消費者がオプトアウトできるようにするための最小限のステップを必要とするものでなければならない。事業者は、消費者のオプトアウトの選択を阻害する目的で設計された、または実質的な効果を有する方法を使用してはならない。以下にその例を示します。
(1) 事業者がオプトアウトの要求を提出するためのプロセスは、消費者が以前にオプトアウトした後に個人情報の販売にオプトインするためのプロセスよりも多くのステップを必要としてはならない。オプトアウト要求を提出するためのステップ数は、消費者が「個人情報を売らない」リンクをクリックしてから要求を完了するまでに計測される。また、個人情報の販売を希望する旨のオプトイン申請のステップ数は、消費者が事業者に対してオプトインを希望する旨の最初の意思表示をしてから、申請が完了するまでのステップ数です。
(2) 事業者は、消費者にオプトアウトの選択肢を提供する際に、二重否定語(例:「Don’t Not Sell My Personal Information」)などの紛らわしい表現を使用してはならない。
(3) 事業者は、本規則で認められている場合を除き、オプトアウトの要求を確認する前に、消費者にクリックを要求したり、オプトアウトの要求を出さない方がよい理由を聞いたりしてはならない。
(4) 事業者は、オプトアウトの要求を提出するためのプロセスにおいて、当該要求を実行するために必要でない個人情報を消費者に提供することを要求してはならない。
(5) 事業者は、「個人情報を売らない」リンクをクリックした際に、オプトアウト要求を提出するための仕組みを見つけるために、プライバシーポリシーや同様の文書、ウェブページのテキストを検索したり、スクロールしたりすることを消費者に要求してはならない。
確かに、やめる時が面倒くさいサービス(ゴキボリ○イ○イ-Roach Motelと呼ばれています)です。というのは、ダークパターンのなかでも、一番うっとうしいので、これを明確に禁止するというのは、いいアイディアかもしれませんね。