今、ダークパターンが無視できない問題になっている。利用者の8割以上がダークパターンを経験しており、日本における被害総額は年間1兆円以上という推計もある。ダークパターン対策協会とデジタル政策フォーラムは2月14日、ダークパターンの問題を明らかにし、対策を紹介するため、シンポジウム「ダークパターン問題とその対策 - デジタル空間における消費者の信頼(トラスト)獲得のために -」を開催した。以下、同シンポジウムの模様をお届けしよう。
推定被害総額は年間1兆円以上、ダークパターンは大きな問題
1回限りの購入のつもりなのに、注文確定画面を見ると定期購入の申し込みになっている――このように、ECサイトで商品を購入する際、消費者を欺くような手口に遭遇したことがあるかもしれない。こうした事象は「ダークパターン」と言われている。“ダーク”という言葉が示すように、違反と断定できないわかりにくさが特徴だ。
ダークパターン対策協会は、このようなダークパターンの対策を通じて、消費者が安全にインターネットを使えるようにすることを目指して設立された一般社団法人だ。代表理事を務める小川晋平氏は、「インターネット上にダークパターンが横行している。誠実なWebサイトよりダークパターンのWebサイトに誘導されている」と警笛を鳴らした。
-
ダークパターン対策協会 代表理事 小川晋平氏
対策として、同団体が進めているのが、ダークサイドではない誠実なWebサイトを認定するNDD認定制度だ。1月30日にNDD認定制度運用のためのガイドライン「ダークパターン対策ガイドライン」を発表し、正式な運用に向けて動いている。
基調講演では、「ダークパターン被害の現状とNDD認定制度について」と題して、ダークパターン対策協会で理事を務めるカライスコス アントニオス氏(龍谷大学 法学部 教授)がNDD認定制度について説明した。
実のところ、ダークパターンには明確な定義が存在しない。カライスコス氏は定義の一つとして、ダークパターンと最初に名付けたHarry Bringnull氏の「Webサイトやアプリなどで、消費者に虚偽や過剰、わかりにくい情報を与えるなどの手法で、商品・サービスの購買利用を促す手口」を紹介した。
カテゴリーについて、Bringnull氏は16類型提唱している。その中には、ユーザーが比較を難しくする「比較防止」、ユーザーにアクションを急ぐように促すタイマーを提示する「偽の緊急性」、情報をわかりにくくしたり、提示を遅らせたりすることで不利な取引を行うよう促す「スニーキング」などが並んでいる。
-
Harry Brignull氏が提唱するダークパターンの16類型
このようなダークパターンの被害はかなりの規模に及んでいる。「Webの同意を考えようプロジェクト」の調べによると、ダークパターンを経験したことがある消費者は86%、金銭的被害を被った消費者は30%に達することがわかった。1人当たりの年間被害額は推計で3万3000円、これに日本のインターネット人口である1億400万人を掛けると、実に年間1兆円以上の被害総額となる。
NDD認定制度と運用体制
では、NDD認定制度はどのようなものか。カライスコス氏は「第三者であるダークパターン対策協会が誠実なWebサイトを認定する制度を想定している」と位置付けを説明した。認定制度のメリットは、Webサイト運営社と消費者の双方にある。認定により付与されたロゴマークにより、Webサイト運営側は誠実であることを示すことができ、消費者は誠実性をチェックできる。これにより、安心してインターネットを使うことができるというわけだ。
-
NDD認定制度とは、第三者による「誠実なWebサイトを認定する制度」
NDD認定制度の運用体制の特徴として、カライスコス氏は3点挙げた。
1つ目は認定審査機関は外部の機関となること。これにより透明性が確保される。認定の際は、申請事業者、認定審査機関、ダークパターン対策協会内にある審査機関管理部と3段階でチェックが入ることになる。
2つ目は、ダークパターンに該当するかどうかの事前審査を行うダークパターン判定専門委員会の設置。
3つ目は、ダークパターン通報窓口。認定を受けたWebサイトがダークパターンと見られる文言などを用いていた場合に通報できるようにする。
クッキーバナー、購入前最終確認画面など3つの審査対象でスタート
では、1月30日に公開した「ダークパターン対策ガイドライン」はどのようなものか。認定のための審査プロセスや審査項目、そして審査の対象にはならないが推奨項目も記載したという。
審査対象は、「審査員により判断がぶれない」「大きな問題から取り組む」の2つの方針の下、3つ(「A.クッキバナー表示」「B.購入前最終確認画面」「C.組織的対策」)を定めた。「A.クッキバナー表示」は「個人情報を詐取する入口への対策」となり、カライスコス氏は「ダークパターンといえるような事業者優位なバナー設定になっているケースが多く見られる」と説明した。「C.組織的対策」については、「ダークパターンを生み出しにくく、発生しても自浄作用が働く組織が重要」と、同氏は選定した理由を説明した。
-
NDD認定制度の審査の対象範囲(将来像)
続いて、どのWebサイトが対象となるのだろうか。ガイドラインではWebサイトを「ネット取引」と「クッキーバナー表示」の大きく2つに分類。「ネット取引」はさらに、「金銭の授受がある」「金銭の授受はないが個人情報が活用されている」「金銭の授受もなく個人情報も活用されていない」と3つのカテゴリーに分けた。
「金銭の授受がある」はECサイトなどが、「金銭の授受はないが個人情報が活用されている」は会員登録が必要な求人サイトが、「金銭の授受もなく個人情報も活用されていない」は賞品発送飲みの目的で個人情報を取得するキャンペーンサイトなどが考えられる。「クッキーバナー表示」は、表示ありとなしに分かれる。
Webサイトの審査対象範囲として、「クッキバナー表示」「購入前最終確認画面」「組織的対策」と定めた。「組織的対策」においては、全サイトに共通して(クッキーバナーの有無、ネット取引の金銭の授受や個人情報活用)を審査する。
「クッキバナー表示」には、バナー提示の理由を表示しているか、情報提供に透明性があるか、オプトアウトの機能があるか、拒否画面に到達するまでにどれぐらいの手間がかかるのかなどの項目があるという。
「購入前最終確認画面」では、隠された情報がないか、デフォルトでカートに入っているアイテムはないか、隠された定期購入がないかなどをみる。
「組織的対策」には、ダークパターンについて責任体制があるか、窓口が設置されているかどうかなどの項目がある。
審査申し込みは7月1日開始予定
1月30日に公開されたガイドラインはあくまで「バージョン1.0」。協会では3月5日まで意見公募を行っており、それを受けてバージョン1.1を作成する。バージョン1.1の公開は4月中旬の予定だ。
並行して、3月3日から6月30日まで認定審査機関の一次募集を行う。審査員の研修・試験も実施し、認定ロゴも検討中だという。このほか、小中学生向けの教育啓蒙なども進める。
審査申し込みは7月1日にスタート、10月にはガイドラインのバージョン2.0公開も予定している。
カライスコス氏は最後に、「協会だけで運用構築する制度ではなく、透明性をもって、広くみんなで支える制度、よりよいものにする制度になることを切に願っている」と思いを語った。
総務省によるSPSIIを通じたスマートフォンにおけるダークパターン対策とは
シンポジウムでは、スマートフォンでのダークパターン対策の取り組みについて、総務省 総合通信基盤局 電気通信事業部 利用環境 課長の大内康次氏が現状を説明した。
ICTサービスの安全な利用について課題が出てきていることを受け、総務省は2024年2月より有識者会議「ICTサービスの利用環境の整備に関する研究会」を開催している。スマートフォンのダークパターンは、同研究会下の「利用者情報に関するワーキンググループ(WG)」で扱っているとのこと。
スマートフォンの普及に伴い、アプリなどでの個人情報が利用者の同意なしに外部に送信されるなどの事案が出てきたことを受け、総務省は、2012年8月に「スマートフォン プライバシー イニシアティブ(SPI)」を立ち上げた。以来、イニシアティブをSPI II、SPI IIIと進化させてきた。
これを土台に、2024年11月には「スマートフォン プライバシー セキュリティ イニシアティブ(SPSI)」として、明示的にセキュリティにも拡大した。SPSIでは、プライバシーポリシーの作成、同意取得に関する事項など、アプリケーション提供者、ストア運営者らが取り組むことが望ましい事項を記載しているという。ここに、ダークパターン回避も含んでいる。
「2018年の一般データ保護規則(GDPR)、2024年のデジタルサービス法(DSA)など、主に欧州連合(EU)の規制動向を踏まえて、ダークパターンに関する対応、プロファイリングに関する予見性確保を追記している」と大内氏は説明した。
具体的には、ダークパターンはEUのDSAで明示的に禁止されており、欧州のデータ保護会議などさまざまなガイドラインで分類定義がなされているという。SPSIでも、「利用者を欺いたり、操作したりするなどの方法で利用者情報の取り扱いを行わないことが望ましい」といった記述を盛り込んだ。
SPIIは2024年11月に定めだばかりだが、現在、対象スコープ、青少年の保護、位置付けの3つの面から見直しを進めていると大内氏。「ダークパターンを含めて、最新の情報にアップデートしながら、SPSIを策定して関係者に示すことで全体の対策の底上げに繋げたい」と大内氏は語った。
AndroidユーザーはログインしなくてもGoogleに追跡されている
