悪意あるインタフェース・デザイン・パターンの一種でエンドユーザーをだまし、本人の意図または期待とは異なる行動を取らせる「ダーク・パターン」の米国やＥＵの規制強化に向けた具体的活動内容を検証(その3完)

 ２．欧州データ保護会議 (EDPB) 、ソーシャルメディアインターフェースにおける「ダークパターン」の使用に関するガイドライン草案を公開：解説ｂlogの要約

　Covington & Burling LLPの解説blogを以下、仮訳する。筆者はNicholas Shepherd氏、Daniel P. Cooper 氏である。

Nicholas Shepherd 氏

Daniel P. Cooper 氏

　2022 年 12 月 9 日、欧州委員会の司法・消費者保護担当委員、ディディエ・レインダース(Didier Reynders)氏(ベルギー代表)は、欧州委員会が次の 2023 年の任務を、オンライン広告市場の透明性や Cookie 疲労と並行してダーク・パターンの規制に焦点を当てると発表した。この義務の一環として、EU の消費者保護協力 (EU’s Consumer Protection Cooperation ：CPC) ネットワークは、399 の小売 Web サイトとアプリのダーク パターンの徹底的な調査を実施し、オンライン ショッピング Web サイトの 40% 近くが消費者の脆弱性を悪用かつ騙す操作的行為に依存していることを発見した。

Didier Reynders氏

　これらの問題を強制するために、EU にはダーク・パターンを規制する単一の法律は現状はないが、ダーク・パターンについて議論し、消費者をダーク・パターンから保護するツールとして使用される可能性のある複数の規制がある。 これには、「一般データ保護規則 (General Data Protection Regulation (GDPR)」、デジタル・サービス法 (Digital Markets Act：DSA)、デジタル市場法 (Digital Markets Act：DMA)、不公正商行為指令 (Unfair Commercial Practices Directive「UCPD」(注16)、およびAI法(Artificial Intelligence Act)やデータ法(Data Act)(注17)など規制案が含まれる。

１．ダーク・パターンに関する法的枠組み

　EUで「ダーク・パターン」という用語には単一の定義はないが、特にマイナスの結果につながる場合、消費者に意図していないことややりたくないことをさせる操作的または欺瞞的な行為を指す。 例えば以下のとおりである。

(1)欧州データ保護会議 (EDPB) は、「ダーク・ パターン」を「ユーザーの行動に影響を与えることを目的として、個人データに関して意図的ではない、望ましくない、潜在的に有害な決定をユーザーにさせるソーシャル メディア・ プラットフォームに実装されたインターフェイスおよびユーザー・ エクスペリエンス」と定義している。 EDPB は、ダーク・パターンを、(1) 過負荷(overloading)、(2) スキップ(skipping)、(3) 動揺させる(stirring)、(4) 妨害(hindering)、(5) 気まぐれ(fickle)、(6) 暗闇に放置(left in the dark,)の 6 つのカテゴリーも定義し、これらについては、ブログ記事「EDPB、ソーシャルメディアインターフェースにおける「ダーク・パターン」の使用に関するガイドライン草案を公開」で詳しく説明している。

(2)提案されているデータ法(Data Act)でも同様に、「ダーク・パターン」を「消費者にマイナスの結果をもたらす決定を押し付けたり欺いたりする設計手法またはメカニズム」と説明されている。 これらの操作手法は、ユーザー、特に弱い立場にある消費者を説得して望ましくない行動をとらせたり、データ開示取引に関する意思決定を誘導したり、サービスのユーザーの意思決定に不当にバイアスをかけたりすることでユーザーを欺くために使用される可能性があり、ユーザーの自主性、意思決定、選択を覆し、損なう方法である。

　さまざまな説明にもかかわらず、「ダーク・パターン」の共通の特徴は、(i) 操作的または欺瞞的な性質、および (ii) その結果消費者にマイナスまたは有害な結果をもたらすことである。

　この「ダーク・パターン」という表現は EU の法律全体に浸透しており、さまざまな規則、ガイドライン、原則の中に見られる。したがって、組織が「ダークパターン」とは何か、そしてこれが自社の業務にどのような影響を与えるかを検討しようとする場合、たとえば次のような多数の規制を考慮することが重要である。

(1)GDPR と eプライバシー指令。

　GDPR と eプライバシー指令(注18)はダーク・パターンについて明示的に言及していないが、ダーク・パターンを規制する現在の法的枠組みの一部を形成している。たとえば、組織が GDPR に基づいて個人データを処理する法的根拠として同意に依存している場合、または eプライバシー指令に基づいて Cookie やマーケティング コミュニケーションについて同意を取得している場合、そのような同意を収集する際にダーク パターンに関与している可能性がある。

 (A) ソーシャル メディア プラットフォーム・ インターフェイスのダーク・パターンに関する EDPB ガイドライン 03/2022 (「ガイドライン」) は、ソーシャル メディア・プラットフォームの「ダーク・パターン」を評価するための実践的な推奨事項を提供している。同ガイドラインでは、「ダーク・パターン」はユーザーが「自由に与えられた、具体的で十分な情報に基づいた明確な同意」を提供する能力を妨げる可能性があり、ひいてはデータ保護と消費者保護の観点からプライバシーの権利を侵害する可能性があると指摘している。 実際の例として、組織は次のような場合に「ダーク・パターン」に陥る可能性がある。 言葉やビジュアルの使用が、(a) 非常に前向きな見通しでユーザーに良い気分や安全を感じさせる、または (b) 非常に否定的な見通しのいずれかでユーザーに情報を伝える 1 つは、特にデフォルトのオプションとしてより多くのデータを共有するようにユーザーを誘導する方法で、ユーザーに不安や罪悪感を抱かせることである。ガイドラインの詳細については、本事務所のブログ投稿を参照されたい。

(B)CPC – EDPB の子供に対する公正な広告に関する共同原則(CPC – EDPB Joint Principles for Fair Advertising to Children)

 　2022 年 6 月 14 日、EU の CPC ネットワーク(Consumer Protection Cooperation Network)4/3(91)の代表者は、EU 内のいくつかの国家データ保護当局および EDPB 事務局とともに、子供に対する公正な広告のための 5 つの主要原則を承認した（プレスリリースを参照）。 これらには、例えば、子供をターゲットにする可能性が高い広告やマーケティング手法を設計する際に、子供特有の脆弱性を考慮すること（特に、子供を騙したり不当に影響を与えてはならない）や、子供をターゲットにしたり、アプリ内またはゲーム内のコンテンツの購入を促したり、購入を促したりしないことが含まれる。 このため、組織は子供を対象としたオンライン・インターフェイスを作成する際に、ダーク パターンを避けるために十分な注意を払う必要がある。 これらの原則と子供のプライバシーの詳細については、以前のブログ投稿を参照されたい。

(C)UCPD(不公正商行為指令) 不公正商行為指令 (Unfair Commercial Practices Directive:UCPD」は、契約締結前、契約締結中、契約締結後に消費者の経済的利益に影響を与える不公正な商行為を禁止している。 2021 年 12 月 29 日、欧州委員会は UCPD に関するガイダンスを発表し、UCPD がダーク パターンをカバーしていることを確認し、UCPD の関連規定がデータ駆動型の企業間取引(BtoB)の消費者の商習慣にどのように適用できるかを説明するセクション (4.2.7) を割当てた。

　UCPD は、消費者の注意を引くなどの商行為を対象としている。これにより、サービスの使用を継続する (フィードをスクロールするなど)、広告コンテンツを表示する、またはリンクをクリックするなどの取引上の決定が行われる。これらの商慣行にダーク・ パターンが含まれており、誤解を招く限りにおいては、UCPD に違反することになる。 たとえば、ダーク・パターンは、オンライン広告に関連して平均的な消費者の経済行動を大きく歪める可能性があるため、UCPD に該当する可能性がある (ブログ投稿を参照)。

(D)DSA(デジタル・サービス法 (Digital Markets Act)

　DSA は、ユーザーの自由な選択を歪めたり損なったりする可能性のある、ダーク・パターンを含む欺瞞的または誘導的な手法 (同意のオプションを視覚的に目立つようにしたり、ユーザーに決定を繰り返すよう要求したり促したりするなど) を特に禁止している。 さらに、DSA に基づいて、欧州委員会には、ダーク・パターンの範囲に含まれる可能性のある追加の商慣行を定義するための委任法を採択する権限も与えられている。 DSA の詳細については、ブログ投稿を参照。

(E)DMA(デジタル市場法 (Digital Markets Act：DMA)

　DMA はダーク・パターンについては明示的に言及していないが、ダーク ・パターンと同様の方法で説明される義務をゲートキーパーに課している。 たとえば、ユーザーの自由な選択と同意の撤回に関して、ゲートキーパーは「エンドユーザーが自由に同意する能力を欺いたり、操作したり、その他の方法で実質的に歪めたり、損なったりするような方法で、オンラインインターフェイスを設計、編成、運用してはならない」。 この目的を達成するために、DMA は、ユーザーが同意したときと同じように簡単に同意を撤回できる機能を提供し、追加の負担を回避させる。 同意を撤回するための簡単なメカニズムをユーザーに提供しない場合は、ダーク・パターンとみなされ、DMA に基づく違反とみなされる。 DMA の詳細については、ブログ投稿を参照。

２．規制立法法案

　ダーク パターンに関する規制は継続的に進化しており、特にダーク パターンが消費者に与える悪影響がより多くの研究や調査によって明らかになっているため、新しい法律に組み込まれている。 次の今後のルールでも、ダーク・ パターンの使用が規制される。

(1)提案されているAI法(The proposed AI Act)

　 提案されている AI 法は、EU 全体での人工知能システム (「AI システム」という) の開発、市場投入、および使用に関する規則を定めている。 AI 法はまだ立法過程にあるが、現在の提案では AI システム内でのダーク パターンの使用が禁止されている。 すなわち、この提案は、「人の行動を、その人を引き起こす、またはその可能性のある方法で実質的に歪めるために、人の意識を超えた潜在意識技術を展開する AI システムの市場投入、運用、または他人の身体的または精神的危害を加える使用を明確に禁止している。 したがって、AI システムのメーカーは、ダーク パターンのような欺瞞的な手法の使用が禁止され、ダーク パターンの使用を避けるために、GDPR が推進する一般的なデータ保護原則、つまり透明性、説明責任、データの最小化などを考慮する必要があります。 AI システム内のパターン。 提案されている AI 法の詳細については、当事務所のブログ投稿を参照。(欧州委員会専門サイト「Shaping Europe’s digital future」でAI法など最新情報が入手可)

(2)提案されているデータ法(The proposed Data Act.)

　提案されているデータ法は、ユーザーが接続された製品やサービスの使用を通じて生成されたデータにアクセスし、第三者に移植できるようにするなど、データへのアクセスと使用を促進することを目的としている。

　 この一環として、このデータを受け取る第三者は、「ユーザーとのデジタルインターフェースにおいてユーザーの自主性、意思決定、選択を破壊したり損なったりすることにより、いかなる方法でもユーザーを強制、欺瞞、操作しない義務を負う。Recital 34 では、これは、サードパーティがデジタル インターフェイスを設計する際に、特に消費者がより多くのデータを開示するように操作する方法でダーク パターンに依存すべきではないことを意味すると説明している。したがって、サードパーティは、GDPR で定義されているデータ最小化原則に準拠する必要がある。 インターフェイスでダーク・ パターンの実践を採用しないようにすべきである。( 提案されているデータ法の詳細については、ブログ投稿を参照)。

(3)デジタル公平性に関する公開協議(Digital Fairness Consultation)

　2022 年 11 月 28 日、欧州委員会はデジタル公平性に関する公開協議を発表しました。この協議は現在 2023 年 2 月 20 日まで開かれている。この協議の目的は、既存の消費者保護法（不公正商法など）を更新する必要があるかどうかを判断することである。 オンライン世界のデジタル変革に適応するために、慣行指令、消費者権利指令、不当な契約条件指令などを遵守する。 特に、欧州委員会は、既存の消費者保護法が、他の消費者保護上の懸念事項（パーソナライゼーションの実践、インフルエンサー・マーケティング、仮想アイテム消費者のマーケティングなど）の中でも、ダーク・パターンを含むオンラインの欺瞞的およびナッシング手法などの新たな消費者保護問題から消費者を保護するのに適切であるかどうかを検討する予定である。

　公開協議後、欧州委員会はスタッフ作業文書を公表する予定で、この文書はこれらの問題に対処し、ダーク・パターンをさらに規制する新たな立法提案を推奨する可能性がある。 その一方で、EU はすでに次のようなダーク パターンの施行を推進している。

(4)欧州委員会の新しい消費者アジェンダ（ダーク・ パターンの義務化を含む）の一環として、2022 年 4 月に欧州委員会は、デジタル環境における不当な商行為に関する行動調査を発表した。この調査では、ダーク・パターンの使用と操作的なパーソナライゼーションを調査し、 ダーク・パターンに関する懸念に対処するための既存の消費者保護法の潜在的なギャップ。 欧州委員会は、この調査で特定されたオンライントレーダーに連絡し、特定された問題を修正するよう依頼する予定である。

　前述したように、CPC ネットワークは Web サイトやアプリでの「ダーク ・パターン」の使用を特定するためにオンライン調査を実施した。欧州委員会のプレスリリースによると、調査対象となったオンライン ショッピング Web サイトのほぼ 40% (399 件中 148 件) がこのサイトに依存していると記載されている。 消費者の脆弱性を悪用したり、消費者を騙したりする操作的行為（例：偽のカウントダウンタイマー、隠された情報、消費者を購入、定期購入、またはその他の選択肢に誘導するように設計された Web インターフェース）。 関連する加盟国の消費者保護当局は今後、関連する業者に連絡してウェブサイトを修正し、必要に応じてさらなる措置を講じることになる。

　2022年11月21日に発表された、取引アプリや取引ポータルでのダーク・パターンを禁止するドイツ連邦金融監督庁(Bafin)の声明(注19)で証明されているように、金融セクターなど分野ベースでの施行も予想される可能性が高い。

結論

　EUは、特にデジタル分野におけるEU消費者の権利をさらに保護するために重要な措置を講じており、企業がそのような目標を達成するための追加の勧告を提供し続けている。 EUはデジタル市場法とデジタルサービス法の採択、および今後の立法提案の交渉により、欧州の各機関はデジタル市場における透明性と説明責任の強化に向けて 2023 年に向けた調子を整えている。 ダーク ・パターンの規制に重点を置くことは、EU の多数の法律との関連性が示すように、広範囲に影響を与える可能性がある。 さらに、ダーク・パターンの規制は単一の規制に拘束されないため、ダーク・パターンに対する施行の数は増加するであろう。 たとえば、EU データ保護当局はダーク・ パターンの使用や個人データの処理、デジタル マーケティングを調査するため、ダーク ・パターンも施行の議題となっている。

**************************************************************

(注16) 長島・大野・常松法律事務所パートナー 福原あゆみ氏のニュースレター「欧州におけるグリーン・ウォッシュ規制のアップデート」から一部抜粋する。なお、EUサイト(DIRECTIVE (EU) 2024/825 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 28 February 2024)とのリンクは本ブログの筆者が独自に行った。

福原あゆみ 氏

 (1)EU理事会は、2024年2月20日、従前の欧州の不公正商行為指令（Unfair Commercial Practices Directive: UCPD）と消費者権利指令（Consumer Rights Directive: CRD）を改正する形で、不公正な慣行に対するより良い保護と情報提供を通じてグリーン移行するための消費者の権限強化に関する指令（Directive on empowering consumers for the green transition through better protection against unfair practices and better information 以下「ECD」といいます。）を採択し、同指令は同年3月26日に発効した。今後、EU加盟国は採択から2年以内に国内法規制への置き換えを行い、30か月以内に適用することが求められる。

(2) 禁止される行為の概要

ECDに基づく禁止行為又は規制には以下のものが含まれる。

①一般的な環境主張の規制

②持続可能性ラベルの使用の規制

③カーボンオフセットのみに基づく主張の禁止

④将来の環境性能に関する主張の来の環境性能に関する主張の規制

(2)グリーン・クレーム指令（The green claims directive）

　グリーン・クレーム指令（The green claims directive　以下「GCD」という。）は、環境主張の広告を出す前に、環境マーケティングのクレームに関する証拠の提出を企業に義務付けるものであり、ECDに基づくグリーン・ウォッシュの規制を補完するものになる。同指令は、消費者が購入する製品の環境認証に関する信頼できる情報をアクセス可能にすることを目的として2023年3月に提案され、審議がなされていたが、2024年3月12日に欧州議会により採択がなされている。今後、2024年6月に実施される欧州選挙後の新議会で更に同指令案の審議が行われることが見込まれ、内容については変更がありうるものの、現時点で同指令で定められる項目には以下のものが含まれる。

①明示的な環境主張に関するアセスメントの実施と立証に関する要件

②環境主張の伝達に関する要件

③環境ラベル制度の要件

(注17) REGULATION (EU) 2023/2854 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act)

(注18) GDPRとeプライバシー指令は相互に補完しあう関係にある。GDPR第95条によれば、eプライバシー指令（及び同指令を実施する国内法）が企業に義務を課している範囲において、GDPRがさらなる義務を課すことはないとされている。これは、原則として、eプライバシー指令の規定が、電気通信サービス（特に電子メールとインターネット）についての枠組みを定める、いわゆる特別法であり、より一般的なGDPRの規定に優先することを意味する。GDPRは、eプライバシー指令によって具体的に規律されていない事項についてのみ直接的に適用されることとなる。(長島・大野・常松法律事務所「GDPRとEU加盟国法との相互関係に関する最新動向 －eプライバシーに関する規律やドイツの事例を題材として－」から一部抜粋)

　この 2002 年の e プライバシー指令は、デジタル時代のプライバシー、より具体的には通信の機密性と追跡と監視に関する規則に関する重要な法的手段である。

　2011 年 5 月に発効した電子プライバシー指令 2009/136/EC は、電子通信分野における個人データの処理とプライバシーの保護に関するものである。 これは通常「電子プライバシー指令」と呼ばれ、第一次指令 2002/58/EC の修正指令である。(Wikipedia から抜粋、仮訳)

 　一般データ保護規則(GDPR)の発効により、EU 立法者はこの文書を更新する必要があり、欧州委員会は 2017 年 1 月 10 日に提案を発表した。この新しい文書は、機械の機密性などの問題を伴い、急速に進化する技術情勢に取り組む必要があり、 マシン間の通信 (モノのインターネット)、または公的にアクセス可能なネットワーク (公衆 Wi-Fi など) 上の個人の通信の機密性等に言及している(EDPSサイトを仮訳)。

(注19)Bafin声明(独文)および第63条第6項を筆者なりに仮訳する。

「また、BaFin は、取引アプリや取引ポータルにある関連性のある重要なボタン (取引をキャンセルするためなど) が完全に欠落していてはいけないことも明確にしている。 投資サービス会社が重要かつ関連性のある意思決定の選択肢のボタンを提供しない場合は、WpHG 第 63 条第 6 項 (§ 63 Abs. 6 Satz  WpHG.)に基づく誠実さの要件にも違反する。」

＊連邦証券取引法 (有価証券取引法： Gesetz über den Wertpapierhandel： WpHG)第 63 条：一般的な行動規則; 規制を発行する権限：第6項　 投資サービス会社が顧客に提供するマーケティング・コミュニケーションを含むすべての情報は、正直、明確で、誤解を招くものであってはならない。 マーケティング コミュニケーションは、それを明確に識別できる必要がある。 (資本投資法第 302 条(Kapitalanlagegesetzbuch (KAGB)§ 302 Werbung  広告)、規制 (EU) 2017/1129(Artikel 22 der Verordnung (EU) 2017/1129)( 2017 年 6 月 14 日の欧州議会および欧州理事会の規則 (EU) 2017/1129 は、有価証券が一般に提供される場合、または規制された市場での取引が認められる場合に発行される目論見書に関するものであり、指令 2003/71/ECText を繰り返している(Verordnung (EU) 2017/1129 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über den Prospekt, der beim öffentlichen Angebot von Wertpapieren oder bei deren Zulassung zum Handel an einem geregelten Markt zu veröffentlichen ist und zur Aufhebung der Richtlinie 2003/71/EGText von Bedeutung für den EWR.)、証券目論見書法(Wertpapierprospektgesetz - WpPG)の第 7 条(§ 7 証券情報シートの発行が必要なオファーの広告)は影響を受けない。

　BaFin は、第 63 条以降に従って、2018年1月に施行された第2次金融商品市場指令(MiFID II )の行動規則に関する 2 つの新しい FAQ を公開した。 投資サービス会社は、オンラインでのプレゼンスを適宜確認することが求められる。 BaFinが独自の監査手続きを通じて取引アプリのダーク・パターンをすでに特定している場合、直ちに関係企業に対処する予定である。

*************************************************************

Copyright © 2006-2024 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．