スキップしてメイン コンテンツに移動

悪意あるインタフェース・デザイン・パターンの一種でエンドユーザーをだまし、本人の意図または期待とは異なる行動を取らせる「ダーク・パターン」の米国やEUの規制強化に向けた具体的活動内容を検証(その2)

 4.その他の消費者向けビジネスへの影響

 Amazon と PCH ヘの訴訟は、FTC が不公平、欺瞞的、またはその他の違法なダーク・パターンとみなしている特定のタイプのデザイン慣行について重要な明確さを提供し、自社のオンライン・デザインの健全性を調査しようとしている他の消費者向け企業にとってのガイドとして役立つ。

 電子商取引プラットフォームやサブスクリプション・ベースのモデルを展開している企業、あるいはオンライン・マーケティングに大きく依存している企業は、現在の規制環境においてデザイン関連のリスクを適切に特定して制御していることを確認するために、さまざまな措置を講じることができ、またそうすべきである。これらの手順には次のものが含まれる場合がある。

(1)登録/サインアップのフローを確認する: 企業は、この機会を利用して、Amazon の告訴で取り上げられている慣行の種類に目を向けて、既存のオンライン顧客フローと関連する設計原則を確認する必要がある。今日の簡単なチェックにより、製品フローやその他の設計上の決定を改善または合理化する機会が見つかる可能性がある。これにより、潜在的なダーク・ パターンに関連する規制リスクが軽減されるだけでなく、顧客とのコミュニケーションが改善され、収益も向上する。

(2)シンプルなキャンセル方法を検討する: 同様に、企業は既存のキャンセル フローを調査して、その結果を達成するための「シンプルなメカニズム」を提供していることを確認する必要があります。潜在的には、消費者がサービスを登録するのと少なくとも同じくらい簡単にサービスをキャンセルできるようにするべきである。FTC が提案したネガティブ・ オプション・ ルールと Amazon に対する強制措置に沿って、企業は見つけやすく使いやすいシンプルなキャンセル・プロセスを備え、消費者が登録に使用したのと同じ方法 (例: ウェブサイト、 電子メール アドレス、または他のアプリケーション)を提供すべきである。

  インターネット上の販売者は、サインアップに使用したのと同じ Web サイトまたは Web ベースのアプリケーション上で、アクセス可能なキャンセル メカニズムを提供する必要がある。販売者がユーザーに電話を使用したサインアップを許可する場合は、少なくとも電話番号を提供し、その番号へのすべての通話が通常の営業時間内に応答されるようにする必要がある。 簡単に言うと、企業は消費者にサブスクリプション・プランをキャンセルするために面倒な手続き・厳しい審査など〕複雑な[何段階もの]手順を踏むことを避けるべきである。

(3)サブスクリプション・プランに関する明確な開示: 最後に、送り付け商法(negative option)のサブスクリプション・プランを採用している企業は、すべての重要な条件が事前に明確かつ目立つように開示されていることを確認するために、少し時間をかける必要がある。 また、その開示には、告発を避けるために取るべき措置と、その措置が必要となるスケジュールを含める必要がある。

 まだ最終決定されていないが、FTC が提案している改正ネガティブ・オプション・ルールでは、消費者の請求情報を取得する前に次の情報が必要になる。 ① 該当する場合、消費者の支払いが定期的に行われること、② 消費者が停止するために行動しなければならない期限 、③ 消費者が負担する可能性のある費用の金額またはその範囲、④ 料金の支払いが提出される日付、⑤ 消費者が定期的な支払いをキャンセルするために使用できるメカニズムに関する情報。(注14)

 もちろん、ダーク・パターンは違法であり、サブスクリプションのキャンセルはサインアップと同じくらい簡単でなければならないというFTCの決定の実現可能性と範囲についてはなお未解決の疑問がある。

 FTC は、ダーク・ パターンの定義を満たす行為が、特定の事件の特定の事実に基づいて不当または欺瞞的であることを証明できるかもしれないが、事実のパターンが「強制されたアクション(Forced Action)」または「コンファーム・シェイミイング(羞恥心や罪悪感の植え付け)の定義を満たすことを示すには十分ではない。

 結局のところ、FTC 法は「ダーク・パターン」を禁止しているのではなく、数十年にわたる判例法を通じて発展してきたように、不公平と欺瞞を禁止している。欺瞞を証明するために、FTC は依然として、状況下で合理的に行動する消費者が重要な用語について誤解される可能性が高く、その責任を負うためにコピーテストまたはその他の外部証拠を使用する必要がある可能性があることを証明する必要がある。不公平を証明するには、FTC は、その行為が合理的に回避できない損害を引き起こし、またはその可能性があり、商業および競争上の利益を上回るものではないことを証明する必要がある。 たとえば、ワンクリック・キャンセルには利点があるかもしれないが、キャンセル・フロー中の「保存」オファーは、サブスクリプションを低価格で維持したいと考えている消費者に多大なメリットを提供する可能性がある。節約オファーも価格競争を促進する可能性がある。

 しかし、FTC は、広く使用されている取引慣行を含む、ダーク・パターンを考慮した慣行に対する強制を明確な優先事項とする。 競合他社の実践をベースラインとして見ることは、何の安心感もない。 規制上の不確実性とリスクを回避するために、企業は登録とキャンセルのフロープロセスについて慎重かつ現実的な視点を持つ必要がある。既存の(PCH の場合は長期的な)慣行を取り締まるという FTC の決定が何かを示唆しているからである。 FTCが積極的な法執法を続けるかどうかは、Amazonに対する苦情訴訟やネガティブオプション・オファーに関する「規則制定案告示 (Notice of Proposed Rulemaking :NPRM)」の経過を通じてより明らかになるであろう。

Ⅲ.FTCは、オンライン・サブスクリプションとキャンセル慣行に関する「ダークパターン」の苦情に3人のエグゼクティブを追加

 2023年10月9日のDuane Morris LLP.の解説「FTCは、オンライン・サブスクリプションとキャンセル慣行に関する「ダーク・パターン」の告訴状に3人の上級幹部を追加」仮訳する。(なお、公正取引委員会はFTCが6月21日に行ったリリース文「FTCは消費者を同意なくAmazon Prime に登録し、キャンセルの試みを妨害したとしてAmazonに対して裁判行動を起こすーFTCの告訴は、合意のない定期購入と解約の策略に対する会社の認識上の不履行の詳細を概説しているー」要旨を仮訳している)(注15)

 連邦取引委員会(FTC)によるAmazonに対する最近の独占禁止法訴訟は多くの注目を集めているが、同委員会が以前に提出したAmazonに対する消費者保護訴訟は、Amazon幹部に重要なポイントを提供している。

  2023年9月20日、FTCはAmazon.com Inc.に対する告訴状を修正し、3人のAmazon幹部を個々の被告として追加した。訴状では、Amazonが「ダーク・パターン」を使用して、消費者が無意識のうちに Amazon Prime のサブスクリプションに登録し、サブスクリプションのキャンセルを困難にしたと主張した。FTCは、これらの訴訟は、FTC法の第5条「Unfair or Deceptive Acts or Practices」および「オンラインショッパー信頼回復法(Restore Online Shoppers’ Confidence Act :ROSCA)」。 6月に提出された最初の告訴状は、Amazonのみを指名していた。

1.FTCの主な追加告訴事項

(1)修正された告訴状は、不正行為に直接関与している幹部の個人の説明責任に関してFTCでの焦点が高まっていることを示している可能性がある。

(2)幹部がFTC訴訟で指名されることの潜在的な結果には、民事罰、その他の形態の金銭的救済、および永久的差止命令が含まれる。

 2.FTCの追加告訴の主張内容と求められた救済策

 3人の幹部はすべてAmazon Prime を監督する上級副社長であり、そのうちの1人は現在Amazonのリーダーシップチームに所属している。修正された告訴状は、(1)3人の幹部全員が顧客が無意識のうちにAmazon Prime に登録していること、および(2)Amazonが加入者のキャンセルを防ぐために迷路 (labyrinthine) となるキャンセル手順を設計したことを知っていたと主張した。さらに、FTCは、(3)3人の幹部全員が登録およびキャンセル・プロセスを明確にするための内部の試みを遅らせるかあるいは拒否したと主張した。

 修正された告訴状は、内部の電子メール、メモ、プレゼンテーションでこれらの主張をサポートし、不明な登録と困難なキャンセルを既知の問題として識別した。これらの内部文書の一部は3人の幹部によって承認または受信されただけであったが、他の文書は幹部’自身の通信文であった。コミュニケーションには、Amazonの従業員から幹部へのメールが含まれており、Primeの登録とキャンセルのプロセスについて懸念が生じた。

 また、修正された告訴状は、Amazonと3人の幹部が特権の指定を誤用して文書を隠蔽したと主張し, たとえば、法的助言(legal advice)を要求しなかった大規模な通信において「弁護士に法的アドバイスを求めるべき(seeking counsel)」というフレーズを追加することによって、FTCは、この実務慣行は、被告らが調査される可能性が高いことを理解したことを示していると主張した。

3.FTCが告訴状で指名したAmazonの幹部の役割の重要性

 Amazonの幹部を主要なリーダーシップの役割に追加する修正された告訴状は、個人の説明責任に関する機関での焦点の増加を示している可能性がある。

 このような消費者保護問題裁判の場合、FTCが個人や企業を被告として指名することは珍しいことではない。ただし、そのような場合には通常、指名された幹部が被告事業の唯一の所有者または 別法人格(alter ego )である小企業が関係する。

 しかし、近年、FTCは大企業の幹部の名前を告訴状に付け始めた。

 2022年、FTCはDrizly LLCとそのCEOの両方をデータ侵害(データ侵害とは、社内の脅威や外部からの攻撃者が、医療記録、財務情報、個人識別情報(PI)などの機密データまたは機密情報に不正にアクセスするセキュリティインシデント)で訴えた。 この訴訟は同意命令(consent order)で終わったが、CEOは、25,000人以上の情報を収集する企業の過半数所有者、CEO、またはセキュリティ責任を持つ上級役員である場合、情報セキュリティトレーニングを実施する必要があるとされた。

4.セキュリティ責任を持つCEOまたは上級役員の指名

 この訴訟の被告としてCEOを指名することで、FTCは違法行為とされる行為に直接関与した個々の幹部の責任を追及するのではなく、抑止のメッセージを送っているように見えた。実際、元FTC委員のロヒット・チョプラ(Rohit Chopra)氏(現金融消費者保護局長)とレベッカ・スローター(Rebecca Slaughter)委員は、大企業の個人の名前を明らかにすることを支持し、それが抑止の手段であることを強調してきた。 また、ドライズリー事件(Drizly, LLC.) (注15-2)では、元FTC委員のクリスーティーン・ウィルソン(Christine S.Wilson)氏が、一般にCEOは問題のある慣行についての知識や関与がほとんどないため、CEOが個人的に責任を問われるべきではないと主張した。 FTC委員長のリナ・カーン氏はこれに反対し、「大企業を監督することは、他の優先事項を優先して法的義務を後回しにする言い訳にはならない」と述べた。

Rohit Chopra 氏

Christine S.Wilson 氏

 しかし、今回修正された訴状で名前が挙がったAmazon幹部らは、違法行為に積極的に参加していたと言われている。FTC によると、幹部 3 人は、問題のある実務慣行を阻止する権限を与えられた役職に就いている。 これらの実務慣行を止めるのではなく、継続することを許可した。そして証拠には、違法行為の疑いを助長するこれら幹部自身の通信も含まれていた。

結論

 Amazonのプライム・プログラムに責任を負った幹部3名を名指しすることで、FTCは、たとえ大企業であっても違法行為に積極的に参加する幹部はFTCの消費者保護訴訟の被告として指名されるリスクがあることを示唆した。FTC の訴訟で名前が挙げられると、経営幹部が受ける影響は重大になる可能性がある。 Amazonプライムの訴訟では、企業と個々の被告は各違反ごとに最大5万120ドル(約766万8360円)の民事罰金を科される可能性があり、場合によっては他の形式の金銭的救済も行われる可能性がある。さらに、幹部は永久差止命令の対象となる可能性もある。

 最後に、消費者と取引するすべての企業の経営者は、FTC が、企業による不当または欺瞞的な行為または慣行を促進する行為について、個人の責任を追及しようとする可能性があることを認識する必要がある。

Ⅳ.EUのダーク・パターン規制のあり方・スタンスおよび欧州データ保護会議 (EDPB) 、ソーシャルメディアインターフェースにおける「ダーク・パターン」の使用に関するガイドライン草案を公開の概要

1.Covington & Burling LLPの解説ブログ「2023.1.31The EU Stance on Dark Patterns」仮訳する。

 2022 年 3 月 21 日、欧州データ保護会議 (EDPB) は、3 月 14 日に開催された EDPB 本会議の後、

「ソーシャル メディア ・プラットフォーム・ インターフェイスのダーク・ パターンに関するガイドライン 3/2022 草案(Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them Version 1.0) 」(以下、「ガイドライン」)という) を発表した。ガイドラインの明記された目的は、ソーシャル メディア ・プラットフォームのデザイナーとユーザーの両方に、EU の一般データ保護規則 (GDPR)で定められた要件に違反するソーシャル メディア・ インターフェイスのいわゆる「ダーク・ パターン」を特定し、回避する方法について実践的なガイダンスを提供することである。

  この意味で、ガイドラインは、GDPR に準拠した方法でプラットフォームとユーザー・インターフェイスを設計する方法を組織に指示するとともに、対象となる特定の慣行がどのように GDPR に反する可能性があるかをユーザーに教育する両方の役割を果たすものといえる。結果として、そのような行為に起因する GDPR の告訴の増加につながる可能性がある。 現在、このガイドラインは 6 週間の公開協議の対象となっており、関心のある方は、こちらから EDPB に直接フィードバックを送信するよう求められている (「フィードバックを提供する」ダウンロードボタンを参照)。

1.ダーク・ パターンの 6 つの定義された包括カテゴリーの分類の設定

 EDPBはガイドラインの冒頭で、「ダーク・パターン」を「ユーザーが個人データの処理に関して意図的ではない、望まない、潜在的に有害な決定を下すように導く、ソーシャルメディア・プラットフォームに実装されたインターフェースとユーザーエクスペリエンス」と定義している。 次に EDPB は、ダーク パターンの 6 つの定義されたカテゴリの分類を提供した。

①過負荷 – 大量のリクエスト、情報、オプション、またはより多くのデータを共有するよう促す可能性によってユーザーを圧倒すること。

②スキップ – ユーザーが意思決定のすべてまたは特定のデータ保護側面を忘れる (または考慮しない) ような方法でインターフェイスまたはユーザー エクスペリエンスを設計すること。

③撹拌 – ユーザーの感情に訴えたり、視覚的なナッジを使用したりすること。

④妨害 – ユーザーが自分のデータの使用について知らされること、または特定のアクションを達成するのが困難または不可能にすることによってデータを制御することを妨害またはブロックすること。

⑤気まぐれ – 一貫性がなく不明瞭な方法でインターフェイスを設計するため、ユーザー コントロールの操作や処理の目的の理解が困難になること。

➅闇に放置 – 情報やプライバシー制御を非表示にしたり、データがどのように処理され、データに対して実行できる制御についてユーザーに不確実性を与えたりする方法でインターフェイスを設計すること。

 上記で概説したダーク ・パターンの 6 つの包括的なカテゴリーの下で、EDPB は 15 の具体的なダーク パターンの行動を特定し、ソーシャル メディア ユーザー アカウントのライフサイクル中にそれぞれの行動がどのように現れるかを検討した。これは、EDPB が次の 5 つの段階の連続体である。

段階:(1)ソーシャルメディア・アカウントを開設する。 (2) ソーシャルメディアで最新情報を入手し続ける。 (3) ソーシャルメディア上で保護された状態を保つ。 (4) ソーシャルメディア上で個人データの権利を行使する。 (5) ソーシャルメディア・アカウントを離れる。

 EDPB は、ソーシャル メディア ユーザーのライフサイクルにおける 5 つのユース ケースを詳しく説明する前に、組織や個人がダーク パターンの使用を検討する (および回避しようとする) 際に念頭に置くべき、以下のいくつかの基本的な GDPR 原則を強調している。

(1)公平性と透明性 (GDPR  5  (1)(a)): EDPB は、GDPR の公平性原則が、データ主体の個人データが有害、差別的、誤解を招く、または予想外の方法で処理されることを防ぐ「包括的な機能を果たす」ことを強調している。 透明性に関しては、GDPR 第 12 条に従って、情報は「明確で平易な言葉を使用した、簡潔、透明、理解しやすく、簡単にアクセスできる形式」でデータ主体に提供されなければならない。これは、潜在的なダーク パターンを調査する際の重要な考慮事項である。

(2)説明責任 (GDPR  5 (2)): EDPB は、ソーシャル メディア プラットフォーム上のユーザー インターフェイス/ジャーニー自体が、ソーシャル メディア ユーザーに対して GDPR 要件への準拠を示す方法として使用できると述べている。 特に EDPB は、ソーシャル メディア プラットフォームの運営者に対し、GDPR の情報をどのように適切に満たしているかを示すために、インターフェイスのスクリーンショットを記録するだけでなく、定性的および定量的な調査 (A/B テスト、アイ トラッキング、ユーザー インタビューなど) を実施することを奨励している。

(3)設計およびデフォルトによるデータ保護 (GDPR  25 ): EDPB は、設計およびデフォルトで効果的なプライバシーを確保するには、ここで特定の要素を考慮する必要があると指摘している。特に、データ主体の自律性と合理的な期待を尊重し、データ主体のデータ主体のデータ保護を可能にすることである。 簡単な相互作用と権利行使、消費者の選択の促進と権力の不均衡の回避、データ主体を欺いたり、操作したり、誤解を与えたりしない客観的かつ中立的な方法での情報の提供である。

2.ソーシャルメディアユーザーのライフサイクルにおけるダーク・パターンを深く掘り下げる

 EDPB は、ソーシャル メディア・ ユーザーのアカウント・ ライフサイクルの 5 つの段階にわたるダーク パターンの詳細な分析を提供し、各セクションを次のように分けている。(a) 関連するコンテキストの説明。 (b) 関連する法規定の概要。 (c) 特定のダーク・ パターン (コンテンツ ・ベースかインターフェイス ベースかを問わず) をそれぞれ複数の例とともに調査する。 (d) ダーク パターンを回避するためのベスト プラクティスのリスト。

 以下に、ソーシャルメディアのライフサイクルのこれら 5 つの段階に関連した EDPB の注目すべき発言をいくつか挙げる。

(1)ソーシャルメディア・アカウントを開設するとき

同意: EDPB は、ソーシャル メディア プロバイダーは、サインアップ段階で要求された場合に同意が区別できるように特別な注意を払う必要があると述べている。 そうしないと、このオンボーディングのステップでユーザーがあまりにも多くの情報に圧倒され、すべてを読む気をなくしてしまうのにも関わらず、プライバシー ポリシーをすべて読んだことを確認する必要がある同意が必要な場合、[プライバシー ポリシーに] という名前が付けられるが、これは特別な条件への強制的な同意とみなされる可能性がある。 ソーシャルメディア・プラットフォームのユーザーは、サインアップ段階でプラットフォームがシングルクリックで同意を取得した場合、ワンクリックで同意を取り消すこともできなければならない。

データの最小化: EDPB はデータの最小化の原則にも焦点を当てており、ソーシャル メディア プラットフォームは追求される目的に客観的に必要な以上の個人情報を取得しようとするべきではないと明確に述べている。 ここで EDPB は、電子メール アドレスも同じ目的 (たとえば、特定のユーザーが電子メール アドレスを所有していることを証明するため) に使用できるにもかかわらず、アカウントの 2 要素セキュリティ認証のために電話番号を要求するプラットフォームの例を挙げている。例えば、 プラットフォームへのログインに使用されるデバイスの場合)。

ダーク・パターンの例: EDPB は、ライフ サイクルのこの段階でのさまざまなダーク パターンの使用に焦点を当てている。これには、「感情操作」の使用、つまり、次のいずれかの方法でユーザーに情報を伝えるための言葉やビジュアルの使用が含まれる。(a)非常に前向きな見通しで、ユーザーに良い気分や安全を感じさせる。 (b) 非常に否定的な見通しで、ユーザーに不安や罪悪感を感じさせる。また、デフォルトのオプションとしてより多くのデータを共有するようにユーザーを誘導する。

(2)ソーシャルメディアで最新情報を入手する

透明性(Transparency): EDPB は、GDPR には規範的な透明性要件があるものの (GDPR 第 12 条から第 14 条を参照)、「情報が多ければ多いほど良い情報になるとは限らず、無関係または混乱を招く情報が多すぎると、重要な内容がわかりにくくなったり、コンテンツの価値が低下したりする可能性がある」と強調している。

 したがって、EDPB は、包括的な情報と容易なアクセス性の間で適切なバランスをとる、多層的なプライバシー通知の使用を推奨している。 EDPB は、これを、矛盾する情報や論理的一貫性を欠く情報、曖昧な表現を提供する情報、特定の情報を見つけにくくすることでユーザーに過大な負担をかける情報などのダーク・パターンの使用と対比している。 ここでも EDPB は、フィードバックを取得し、関連情報を確実に理解できるようにするために、ユーザーに対して階層化されたプライバシー通知の使用をテストすることを推奨している。

共同管理者(Joint Controllership): EDPB は、共同管理者に共同管理者取り決めの本質をデータ主体に開示することを義務付ける。 GDPR 第 26 条の規定により、共同管理者に追加の透明性義務が課せられ、これには特定の状況ではソーシャル メディア プラットフォームが含まれる可能性があることに留意している。

データ侵害の伝達(Communication of Data Breaches:): EDPB は、データ侵害に関する不特定または無関係な情報をデータ主体に提供することに対して警告している。たとえば、処理者のデータ侵害が管理者のセキュリティ侵害ではないことを示すなどである。 侵害の重大性は、データ主体への影響ではなく、プラットフォームまたはそのプロセッサへの影響によって左右されることを示唆している。 また、どの特定の種類の特別なカテゴリーの個人データが侵害で流出したかを示すものではない。

(3)ソーシャルメディア上での保護を維持する

同意: ここでも EDPB は、ターゲットを絞った広告 (e-プライバシー指令に基づく Cookie およびトラッカーの使用に関する義務が適用される場合を含む) など、さまざまな処理目的でソーシャル メディア・ ユーザーが同意を付与または撤回するために提供される手段および同意の撤回を妨げるために使用できるダーク・パターン行動の種類に焦点を当てている。

②ユーザー・ コントロール: EDPB は、ユーザー・コントロールの表示におけるダーク・パターンについて懸念を提起している。特に、ユーザーが選択できるオプションやメニュー (またはサブメニュー) が多すぎる場合、それらは明確な機能を提供するのではなく、不明確または論理的に矛盾する可能性がある。 集中型とは、プライバシーの選択を管理することを意味する。 注目すべきは、EDPBが、「ソーシャル メディア ・プラットフォームのユーザーが設定を変更する際に必要な平均歩数に関しては、『すべてに適合する万能のアプローチ』はない。その数値は 必要な手順の数値は できるだけ少なくする必要がある」と述べていることである。

(4)ソーシャルメディア上での個人データの権利の行使

 ここで EDPB は、ユーザーを無関係なページにリダイレクトすることでユーザーを「行き止まり」に導く、不十分または曖昧な開示を提供する、個人データの権利を行使するためにユーザーを「プライバシーの迷路」に導く、ユーザーに情報を提供しないなどのダーク・パターンに関する懸念を提起している。 権利を行使するためのフレンドリーな方法 (例: データのコピーをダウンロードするための直接リンク)、および特定の手順を必要以上に長くすること (例: 特定のアクションを実行したいと「確信している」かどうかをユーザーに尋ねるなど)などをあげている。

(5)ソーシャルメディア・アカウントを離れるときの留意点

 EDPB は、正当な理由なく消去権の行使が困難になった場合、これは GDPR 違反となり、ソーシャル メディア アカウントの削除を求めるユーザーの要求は暗黙の同意の撤回として理解される必要があると述べている ( 信頼されている場合)、GDPR 第 7 条 (3) に基づいて処理される。

 またEDPBは、現段階でユーザーを「プライバシーの迷路」に誘導してアカウントを削除したり、ユーザーを感情的にアカウントを維持するよう誘導したり、あいまいな情報や混乱を招く選択肢を提供したり、削除プロセスが中断される「死」に導くダーク・パターンについても懸念を表明している。

結論

 これらのガイドラインは、ヨーロッパおよびその他の管轄区域全体における広範な傾向の一部であり、規制当局や裁判所は、消費者を欺いたり、操作したり、不当に影響を与えたりしていると解釈される可能性のある方法でウェブサイト、プラットフォーム、またはその他の消費者向けインターフェースを提供する組織の責任を追及している。 プライバシー保護の選択肢が少なくなる。 この点で、上で強調したように、これらのガイドライン (特に EDPB によって特定されたベスト プラクティス) は、欧州のプライバシー当局からの精査を受ける可能性のある慣行を避けたいソーシャル メディア分野以外の組織にとって有益となる可能性がある。 さらに、EDPB が指摘しているように、ダーク パターンは消費者保護法に違反する可能性もあり、これらの行為を行った当事者が二重の執行体制にさらされる可能性がある。

 

***************************************************************************

(注14)2023年4月24日 FTCが公表したNegative Option Ruleに関するFTCの「A Proposed Rule by the Federal Trade Commission」の改正案の要旨は以下のとおり。なお、詳細はFTC解説参照。

 連邦取引委員会は、「サブスクリプションおよびその他のネガティブ・オプション・プランに関する規則」(“ネガティブ・オプション規則”または“規則”)の改正を提案している。提案された変更は、消費者が望まない製品またはサービスの繰り返し料金を含み、過度の困難なしにキャンセルすることができない、不公正または欺罔的なビジネス慣行と戦うために計算される。

(注15) 公正取引委員会の仮訳は「過去のある報道では、アマゾンが解約手続を説明するために 「イリアス(Iliad)」 という言葉を使ったと指摘した上、この解約手続は、十年間にわたるトロイア戦争について書かれたホメロスの大叙事詩のようであると報じられている。」しかし、これでは読者はイリアス(Iliad)を正確に理解できまい。本文で述べたように「解約手続きが複雑な迷路である」というのが正しい訳語であろう。

(注5-2) 米連邦取引委員会は、オンラインアルコール市場のDrizlyと同社CEOのJames Cory Rellasに対し、同社のセキュリティ上の欠陥がデータ侵害につながり、約250万人の消費者の個人情報が流出したとの申し立てを巡り、訴訟を起こした。

*************************************************************

Copyright © 2006-2024 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...