読者は「ダーク・パターン」すなわち、悪意のあるインタフェース・デザイン・パターンの一種で、エンドユーザーをだまし、本人の意図または期待とは異なる行動を取らせ、インタフェースの提供者に利益を与えるものを十分理解されてあろうか。
筆者は、最近のブログの(注4)で簡単にこの問題を取り上げた。その趣旨は違法なマーケティング規制のあり方の実態およびわが国の法規制のあり方を論じたいと考えたからである。
改めて考えると、この問題の重要性から見て問題を整理すべく、今回のブログは、(1)「ダーク・パターン」の実態と技術面からみた本質的な違法性問題、(2)米連邦取引委員会(FTC)のダーク・パターン・レポートの内容と法規制・執行機関の取組みの意義、(3)FTCのターゲットとするアマゾンおよび出版社クリアリングハウスに対する告発におけるダーク・パターン問題、 (4) FTCはAmazon.com Inc.に対する告訴状を修正し、3人のAmazon上級幹部を個々の被告として追加したダーク・パターンの幹部責任の裁判問題、(5)EUのダーク・パターン」の取組みスタンスや欧州データ保護会議 (EDPB)の「ダーク・パターン」の使用に関するガイドライン草案等につき概観する。
これら問題の背景には、サービスや商品を一定期間利用できる権利に対して料金を請求するビジネスモデルであるサブスクリプションの普及(例:電子書籍、音楽配信、動画配信、ゲーム、洋服、車等の普及と併せた違法なマーケテイングの急増)だけでなく、悪徳ダイレクトメールやテレビ広告、さらに実店舗の小売店のチラシ等あげれば、切りがない。
翻って、これらの問題にわが国の規制監督機関や具体的規制の実態はどのようか。法執行機関として具体的に取り上げるとすれは「消費者庁」や「公正取引委員会」くらいであろうか。
また、比較法レポートとしては内閣府経済社会総合研究所 加納克利「デジタル化と消費者政策(いわゆる「ダークパターン」)に関する研究のサーベイ」があるが、専門外の読者に極めて読みにくい。さらに言えば、筆者のP.20以下の③小括には「EU 及び米国においては、比較的汎用性のある規定に関し、その解釈・適用関係の詳細をガイダンスやガイドラインによって明らかにした上で活用しているように見受けられる。技術の進展等により対応しなければならない事案が日々変化することを踏まえると、一つの在り方として参考になる」とあるが、我が国の法規制強化にかかる研究レポートとしては、踏み込みが極めて弱い。
Ⅰ.ダーク・パターンに関するわが国法律事務所の解説例
1.2023.10.12 西村あさひ法律事務所「ダーク・パターンに対する米英の規制動向及び日本の現況」の著者は角田 龍哉、上野 太資、小川 慶、原田 実侑の各氏である。
わが国のダーク・パターンの法規制に関する数少ないレポ―トと言えよう。ただし、本レポートは米英の解説はあるがEUの取組みは言及していない。EUのEU欧州データ保護会議 (EDPB)の「ダーク・パターン」の使用に関するガイドライン草案などにつき筆者は独自に調査し、本ブログ第Ⅳ節で解説する。
2.2024年 2月 27日Internet Initiative Japan Inc.石村 卓也「欧米でのダークパターン規制の動向と日本企業に求められる対応」
欧米を中心としたダーク・パターン規制の概要を解説した上で、各国のガイドライン等で示されている具体的なUI/UXのNGパターンを紹介し、消費者の信頼獲得のために日本企業に求められる対応について考察している。
Ⅱ. FTCの委員会が公開審議で承認したFTCスタッフ・レポート「消費者をだまして罠にかけることを目的とした巧妙に洗練されたダーク・パターンの増加」に関する解説および2022年9月FTCスタッフ報告の概要
以下のFTC解説文およびFTCスタッフ報告の概要について仮訳する。
1.米連邦取引委員会は2022年9月15日、消費者をだましてオンライン操作して製品やサービスを購入させたり、プライバシーを放棄させたりする「ダーク・パターン」として知られる巧妙につくられたデザイン慣行を企業がどのように利用しているかを示す報告書を発表した。
この 報告書で詳述されているダーク・パターン戦術には、(1)広告を独立したコンテンツのように見せかけること、(2)消費者がサブスクリプション(注1)や料金をキャンセルすることを困難にすること、(3)重要な用語や追加料金を隠蔽すること、(4)消費者を騙してデータを共有させることなどが含まれる。この報告書は、市場でのダーク・パターンの使用と闘うためのFTCの取組みを強調し、消費者をだまして罠にはめることを目的とした企業の戦術に対して行動を起こすというFTCの取り組みを繰り返し述べた。
FTCの消費者保護局局長サミュエル・レバイン(Samuel Levine, Director of the FTC’s Bureau of Consumer Protection)は,「我々のレポートは、ますます多くの企業がデジタル・ダークパターンを使用して人々をだまして製品を購入し、個人情報を提供していることを示しており、このレポートと私たちのケースは、これらの罠が許容されないという明確なメッセージを送信し続ける」と述べた。
長年にわたり、悪徳ダイレクトメールや実店舗の小売店は、消費者に商品、お金やデータ等を諦めさせるために、(1)事前にチェック済のボックス、(2)見つけにくく読みにくい開示情報、(3)わかりにくいキャンセル・ポリシーなどのデザイン上のトリックや心理的戦術を使用してきた。 商取引のオンライン化が進むにつれ、ダーク・ パターンの規模と巧妙度が増し、企業は複雑な分析手法を開発し、より多くの個人データを収集し、ダーク・ パターンを実験して最も効果的なものを悪用できるようになってきた。 このFTCスタッフ報告書は、FTCが2021年4月に開催したワークショップの結果から派生したもので、ダーク・パターンが消費者の選択と意思決定をどのように曖昧にし、覆し、または損なう可能性があり、法律に違反する可能性があるかを調査した。
「ダーク・パターンに光を与える(Bringing Dark Patterns to Light)」題するそのレポートは、 「eコマース(e-commerce)」(注2)、「Cookie同意バナー(cookie consent banners)(注3)、子供向けアプリ、サブスクリプションの販売など、さまざまな業界や状況で使用されているダーク・パターンを明らかにした。
このレポートは、以下の4つの一般的なダーク・パターン戦術に焦点を当てている。
(1) 消費者に誤解を招く広告と偽装広告: これらの戦術には、独立した編集コンテンツのように見えるようにデザインされた広告が含まれる。 すなわち中立であると主張しているが、実際には報酬に基づいて企業をランク付けする比較ショッピング・ サイトがある。 また、カウントダウン・タイマー(countdown timers)は、申込に実際には期限がないにもかかわらず、消費者に製品やサービスを購入できる時間は限られていると思わせるように設計されている。 たとえば、FTCは在宅勤務制度の運営者に対し、CNNやFoxニュースなどの報道機関からのものであると偽る「差出人」の行を含む迷惑メールを消費者に送信した疑いで措置を講じた。 これらの電子メールの本文には、消費者をさらなる偽のオンライン・ ニュース記事に誘導し、最終的には同社の在宅勤務制度を宣伝する販売 Web サイトに消費者を誘導するリンクが含まれていた。
(2)サブスクリプションや料金のキャンセルを困難にする: もう 1 つのよくあるダーク・パターンには、誰かをだまして同意なしに商品やサービスの代金を支払わせるというものがある。 たとえば、欺瞞的なサブスクリプション販売者は、購入するつもりのなかった製品やサービス、または購入を継続したくない製品やサービスに対して、定期的な支払いを消費者に課す可能性がある。
たとえば、FTCはオンライン児童教育サービス会社「ABCmouse.com」に対する訴訟では、オンライン学習サイトが「簡単なキャンセル」を約束していたにもかかわらず、無料トライアルやサブスクリプション・プランのキャンセルを非常に困難にしていると主張した。 サブスクリプションをキャンセルしたい消費者は、多くの場合、会社の Web サイト上で①見つけにくく、②長く、③わかりにくいキャンセル・ パスをたどり、④数ページにわたるプロモーションやリンクをクリックすることを強いられ、クリックすると消費者がかえってキャンセル・ パスから遠ざかってしまった。
(3)重要な契約条件と追加料金(junk fees)の隠蔽: 一部のダーク・パターンは、製品やサービスの主要な制限を、消費者が購入前に目にすることのない密なサービス条件文書の中に埋め込むなど、消費者から重要な情報を隠したりすることによって機能させる。この戦術には追加料金ジャンク料金を埋め込むことも含まれる。企業は消費者を惹きつけるために製品の総額の一部のみを宣伝し、購入プロセスの後半になるまで他の必須な料金には言及しない。
LendingClubに対する訴訟で、FTCはオンライン金融業者が目立つ画像を使用してローン申込者に特定の融資金額を受け取り、「隠れた手数料なし(no hidden fees)」で支払うと虚偽の約束したが、手数料に関する言及をツールチップ・ボタン(tooltip buttons)(注4)の背後や目立つテキスト文書の間に隠したと主張した。
(4)消費者を騙してデータを共有させる: こうしたダーク・パターンは、消費者にプライバシー設定やデータ共有に関する選択肢を与えるものとして提示されることがよくあるが、最も個人情報を漏らすオプションにおいて消費者を意図的に誘導するように設計されている。
FTC は、スマート TV メーカー である“Vizio”がデフォルト設定を有効にし、同社が消費者の視聴活動を収集して第三者と共有できるようにし、一部の消費者には見逃されやすい短い通知のみを提供していたと主張した。
このスタッフレポートで詳述されているように、FTCは市場で使用されている進化しつつあるタイプのダーク・パターンに歩調を合わせるために取り組んできた。FTCは企業に対し繰り返し発生するサブスクリプションをキャンセルし、不要な製品を知らないうちに消費者に忍び込む’オンライン・ショッピング・カート、および不正なマーケティング・デザインを試す等、ユーザーが画面の迷路を十分ナビゲートする必要がある等を理由に訴えた。
FTCは、公開会議で5対0で投票し、このスタッフレポートのリリース公開を承認した。
Ⅲ.FTCはターゲットとする” Amazon Prime ”およびパブリック・クリアリングハウスに対するアクションにおける違法なダーク・パターンを理由に告訴
2023.8.14 付けローファームWilmer Cutler Pickering Hale and Dorr LLのレポートを仮訳する。著者はFrank Gorman、Benjamin Chapin、Reade Jacob、Julia M. Mayの各氏である。
Frank Gorman氏
Benjamin Chapin 氏
Reade Jacob 氏
Julia M. May 氏
近年の連邦取引委員会(FTC)は、いわゆるダーク・パターンに対してより積極的な法執行姿勢を採用する意図を明らかにしている。すなわち、FTCは違法なダーク・パターンを定義して、「ユーザーをだまして操作し、ユーザーが他の方法では行わなかった決定を行わせ、害を及ぼす可能性のあるオンラインサービスの設計慣行」を含めた。 以下述べる最近の2つの法執行措置において、既存の執行当局の下でのダーク・パターンの抑制にFTCが焦点を当てていることが確認され、規制当局による精査を引き出す可能性のあるデジタル設計手法の種類に関する有用な洞察が提供された。
(1)2023年6月21日、FTCは、Amazon Primeが操作的、強制的または欺罔的なユーザーインターフェイス(UI)設計を使用したと主張して、ワシントン西部地区連邦地方裁判所に訴状( 永久差止め、民事罰金、金銭的救済、衡平法上の救済)を提出した。つまり、ダーク・パターンは、消費者をだましてAmazon Prime のサブスクリプションサービスに登録させたとした。FTC委員長のリナ M.カーン(Lina M. Khan)(注5)(注6)、「 Amazonは人々を騙し、同意なしに定期購読に陥らせ、ユーザーをイライラさせただけでなく、多額の費用を費やした」と指摘した。
Lina M. Khan委員長
具体的には、FTCの告訴状は、Amazonのダーク・パターンの使用は、(1)FTC法の第5条に違反する不公正な取引慣行であったと主張した。さらに (2) 「オンラインショッパー信頼回復法(Restore Online Shoppers’ Confidence Act :ROSCA)」(注7)違反、これは通常、消費者を保護するための開示、同意、キャンセルの特定の要件を満たさずに、ネガティブオプション・マーケティングを通じてインターネットでの商品またはサービスの販売を禁止する法律である。
その1週間も経たない2023年6月27日、 FTCはさらなる法執行措置を発表し、「パブリッシャーズ・クリアリングハウス(Publishers Clearing House :PCH)」がダーク・パターンを使用して同社の有名な懸賞図面を入力上で消費者にどのように誤解を与えたかという申立てに関し、消費者に 1850万ドル(約28億3050万円)を支払うことを要求する同意命令(consent order)(注8)を提案した。
具体的には、FTCは、PCHが消費者に勝利または勝利の可能性を高めるために購入が“必要であり、懸賞エントリーが不完全であると消費者に信じさせたと主張した。 FTCは、PCHがFTC法第5条および「2003年無承諾ポルノおよびマーケティング攻撃を規制する法律(Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003 :CAN-SPAM Act)」(注9)の詐欺禁止規定に違反したと主張した。
本件については、本節の後半で詳しく解説する、
これらの法執行活動は、FTCが不公平、欺罔的、またはその他の方法で違法であると見なしているダーク・パターンのタイプに重要な明確さを提供した。消費者に面した幅広い業界にわたる企業は、この機会に、独自のオンライン設計プラクティスと製品フローを、その他のFTCガイダンスや2つの法執行措置で問題となっている慣行のカテゴリーに照らして検討することを勧める。
FTCの消費者保護局局長がPCH同意命令に付随する声明で述べたように、不正な設計手法を展開し続けている企業が通知されており、企業はFTCを真正面から受けとめるべきである。
FTCは施行方針声明に続き、2022年9月にスタッフ報告書を発表し、欺瞞的なダーク・パターンとみなす特定の慣行を指摘した。 たとえば、スタッフレポートは、製品やサービスの主要な制限を、消費者が購入前に目にしないサービスの用語の中に埋め込むなど、消費者から重要な情報を曖昧にする慣行を非難した。 また、同レポートは、消費者が同社の Web サイト上で見つけにくく、長く、わかりにくいキャンセル・ パスを移動し、プロモーションやリンクの数ページをクリックして、クリックするなど消費者をキャンセル経路から遠ざけた。 FTCスタッフ報告書によると、こうした実務慣行は、電子商取引、Cookie同意バナー、子供向けアプリケーション、サブスクリプション販売など、幅広い業界や状況で発生していることが判明した。
これら法執行と並行して、2023 年 4 月に FTC は、売り手がいわゆる「ネガティブ・ オプション・オファー(negative option offers)」(注10)を採用するための法的要件を大幅に拡大する「規則制定案告示 (Notice of Proposed Rulemaking :NPRM)」 を公布した。ネガティブ ・オプション ・オファーとは、 売り手は、顧客の沈黙または行動の失敗をオファーの受諾と解釈する必要があるというもの。 通常、ネガティブ・ オプションの取り決めには、自動更新、継続プラン、無料から有料への変換、または有料から有料への金額変換、および事前通知プランが含まれるが、これらに限定されない。
FTCは長い間、「復元オンライン購入者信頼法(Restore Online Shoppers’ Confidence Act :ROSCA)」、「テレマーケティング販売規則(Telemarketing Sales Rule :TSR)、「送り付け商法(ネガティブ・オプション)規制法 (39 U.S. Code § 3009 - Mailing of unordered merchandise)、電子資金移動法(Electronic Fund Transfers Act)などの法律の部分修正やFTC法の第5条に基づくその広範な権限に基づき、有害かつ否定的なオプションの慣行の廃止に取り組んできた。 FTCが推論した新しい提案されたルールは、“既存の法律と規制のパッチワークが業界と消費者にメディアとオファー全体で一貫した法的枠組みを提供しないため、絶対に必要であった。
新たに提案された規則案は、既存のFTCが取り組んできたパッチワークの法的枠組みを拡張し、次のような特定の変更を行う。 (1)単純なキャンセル・メカニズム(サブスクリプションを開始するのと同じくらい簡単にキャンセルできる)、(2)キャンセル・プロセス中に追加のオファーを行う前の新しい要件, (3)自動更新のリマインダーと確認に関する新しい要件を追加する、(4) 規則の違反には、確定した場合、売り手は民事罰および損害賠償訴訟等を起こされることになる。
2. Amazonに対するFTCの法執行措置
FTCはAmazonへの告訴で、同社が何百万もの消費者にさまざまなダーク・パターンを使用して無意識のうちにAmazon Primeサブスクリプション・サービスに登録させたと主張した。 また、サブスクライバーに迷路のようなキャンセル・プロセスを強制することにより、これらのサブスクリプションをキャンセルすることを困難にしていると主張した。Amazon Primeは、Amazonの有料サブスクリプションサービスである。 139ドル(約21000円)の年会費で、加入者は(1)製品の無料の迅速な配達、(2)無料動画のストリーミングコンテンツ、2)食料品の配達などの特典にアクセスできるとある。 FTCは現在、Amazon Primeの登録とキャンセルのプロセスが、FTC法の第5条とROSCAの双方に違反して、ダーク・パターンを活用したと主張している。
まず、FTC は、Amazon が、モバイルデバイスを使用する消費者が「 ウェブページの下部までスクロールすることによってのみアクセスできる「細かい文字を精査せずに、目立つオプションを選択する可能性を高くした。こうした取引慣行を通じて、アマゾンは顧客が購入を完了する前にプライムの重要な条件について「明確かつ目立つ開示を提供できていない」と FTC は主張した。また、FTC 法および ROSCA に違反して請求情報を収集する前に、「一切開示しない」ことを規定していると主張した。
具体的には、FTC は Amazon Prime に関連して使用されたと主張する 6 つの特定のダーク・パターンを特定した。
FTC はさらに、Amazon がプライム加入者向けに迷路のような解約プロセスを意図的に作成したと告発しており、同社はこれをキャンセル手続の迷路「イリアス・ フロー(Iliad flow)」(注11)と呼んでいるとされている。FTC の訴状で主張されているように、プライムの解約フローでは、加入者は「4 ページ、6 ページの手順」をナビゲートする必要があった。 FTC によると、このキャンセル・フローは、消費者がメンバーシップをキャンセルしようとするのを遅らせたり阻止したりするダーク・ パターンに依存しており、その結果、顧客は同意なしに不当に追加料金を請求されることになる。これは FTC 法に違反し、ROSCA に違反して定期的な請求を終了するための簡単なメカニズムを消費者から剥奪するものである。
具体的には、FTCは、Amazon Primeに関連して使用されたと主張する以下の6つの特定のダーク・パターンを特定した。
(1) 強制されたアクション(Forced Action): FTC は、「強制されたアクション」につき、特定の機能にアクセスするためにユーザーに特定のアクションまたはプロセスの実行を強制するあらゆる設計と定義する。 FTCは、Amazonがプライムの登録フローで消費者に購入を完了させる前にプライムに登録するかどうかの選択を強制するという強制措置を利用していると主張した。さらにFTCは、Amazonが消費者に定期購入をキャンセルするために複数の画面を通過させることにより、イリアス・フロー(Iliad flow)といえる強制的アクションを使用したと主張した。
(2) インターフェイス干渉(Interface Interference): FTC は、「インターフェイス干渉」を、ユーザー インターフェイスを操作して、他の情報と比較して特定の情報に特権を与えるあらゆる設計と定義した。 FTCは、AmazonがPrimeの登録フローにおいて、購入手続き中に一度だけ利用規約を表示し、その後は見落としやすい小さなフォントで利用規約を明らかにすることにより、インターフェース干渉を使用したと主張した。FTCによると、アマゾンはまた、消費者の注意を「送料無料」という言葉に誘導し、プライムの価格から遠ざけるために、文言の繰り返しや色彩を使用しており、それが一部の消費者がインフォームド・コンセントを提供せずに登録することにつながったとFTCは考えた。
(3) 解約手続のゴキブリホイホイ的妨害 (ローチ モーテル(Roach Motel): FTC は、「妨害」を、ユーザーが特定の行動をとるのを妨げる手順を追加することで、意図的にプロセスを複雑にするあらゆるデザイン(注12)と定義した。 妨害行為は、その名を冠したモーテルにゴキブリが侵入するように、「(消費者は)チェックインするのにチェックアウトしない」ことから、「ゴキブリのモーテル」としても知られている。 FTCは、Amazonが登録を拒否するオプションを見つけにくくし、Iliadフローで消費者がプライム会員をキャンセルできる機能を見つけにくくすることで、ローチ・モーテリングを導入したと主張している。
(4) 故意に誤つた指示を行わせる(Misdirection): FTC は、“Misdirection”を、別のことからユーザーの注意をそらすために、あるものにユーザーの注意を引き付けるデザインと定義している。 FTCは、AmazonがPrimeチェックアウトの登録フローに“Misdirection”を使用し、非対称の選択肢を提示することで、Primeへの登録をしやすくするものだと主張した。さらに、FTC によると、Amazon のチェックアウト登録フローの特定のバージョンでは、消費者にプライムを拒否するためのあまり目立たない青色のリンクしか提供していない。
さらにFTCは、Iliadフローが“Misdirection”を利用して、プライムをキャンセルする試みを完了するよりも簡単にキャンセルできるようにしていると主張している。 FTCによると、「Amazonは、アニメーション、対照的な色の青、テキストなどの誘引要素を使用して、消費者の注意を『キャンセルを続ける』ではなく『後で通知する』や『特典を維持する』オプションに引いている。
(5) 関連情報を隠したり、その開示を遅らせたりする「こそこそ“Sneaking”行為」: FTC は、“Sneaking”を、関連情報を隠したり、その開示を遅らせたりするあらゆるデザインと定義する。 FTCの訴状によると、「Amazonは、価格や自動更新属性を含むプライムの登録チェックアウトフロー中に、プライムの利用規約を明確かつ目立つように開示しない」こと、および消費者のカートに「プライムの価格や自動更新機能を表示しないことによって、“Sneaking”を利用している」としている。
(6)コンファーム・シェイミイング(羞恥心や罪悪感の植え付け)(Confirmshaming)(注13):最後に、FTC は「コンファーム・シェイミイング」を、消費者に好意的な選択肢を選ばせるよう、好意的でない選択肢を中心に感情的な文言を使用するデザインと定義しているが、このカテゴリーのダーク・パターンに関連する申立てでは完全に編集されている。
FTC は以前、法執行措置はダーク・パターンの取締まりであると説明していたが、Amazon の告発は、FTC が欺瞞的なダーク・パターンとみなす特定の慣行についてこれほど詳細なレベルを提示したのは初めてである。
3. PCH に対する FTC の法的強制措置
Amazonの発表からわずか数日後に出された「パブリッシャーズ・クリアリングハウス(PCH)に対するFTCの法執行措置は、PCHがダーク・パターンを利用して消費者を騙し、懸賞に参加したり当選の可能性を高めるために製品を購入する必要があると信じ込ませたと主張している。 告訴状によると、欺瞞は PCH のホームページから始まり、そこで消費者は実際に懸賞に参加できないボタンであるWIN IT!」または「一生勝ちます!」をクリックしてフォームに記入するが、その代わりに、消費者はエントリーを提出する機会が与えられる前に、数ページの広告を読み進めなければならない。また、顧客が懸賞に応募した後、PCH はあたかも追加の措置を講じなければ失格の危険があるかのように装う電子メールを送信する。これらの電子メールは消費者を PCH の電子商取引サイトに送るだけであり、消費者はそこで懸賞の応募に影響を及ぼさない追加の広告に遭遇する。懸賞の応募後に送信される誤解を招く電子メールは CAN-SPAM Act違反である。
FTC の訴状では、PCH が展開する 3 つの具体的なダーク・パターンを挙げている。
(1)トリックな言葉遣いや視覚的干渉を使用して、商品の「注文」と懸賞への「応募」を結び付けて消費者を混同させる。
(2) 開示内容を小さくて軽いフォントで、あえて消費者が目にしにくい場所に配置する。消費者に電子メールを大量に送信し、電子メールをクリックしてすぐに行動を起こすよう心理的圧力をかけたり、懸賞に参加したり当選したりする機会を失う危険を冒すこと等を誘う。
(3)消費者は注文なしで懸賞に参加することが困難になる。
FTのカーン委員長とスローター(Rebecca Kelly Slaughter)委員およびベドヤ(Alvaro Bedoya)委員は、この裁判行動に伴う声明の中で、PCHの行動を「デジタル詐欺を煽り、消費者に損害を与えるために違法なダーク・パターンを使用する企業を取り締まるこれまでの取組みを基礎とするものである」と述べた。 これら委員は、ダーク・パターンの結果として消費者が苦しむのは直接的な経済的損失だけではないと説明した。 むしろ、PCHの訴訟は、消費者の無駄な時間に対する補償を獲得するというFTCの勝利を意味すると彼らは説明した。
Rebecca Kelly Slaughter 氏
Alvaro Bedoya 氏
提案された裁判所命令は、PCH に対し、ウェブサイト上での顧客の混乱を防ぐための措置を講じることを要求している。たとえば、顧客に注文につながるボタンが表示された場合、PCH は次の文を表示する必要がある。「懸賞に参加するために何も購入する必要はなく、購入したからといって当選するわけではない」ことを理解させる。また、消費者を PCH の電子商取引プラットフォームに誘導する可能性のある電子メールでは、企業は次のように述べなければならない。「 購入しても当選確率は向上しない」
4.その他の消費者向けビジネスへの影響
Amazon と PCH ヘの訴訟は、FTC が不公平、欺瞞的、またはその他の違法なダーク・パターンとみなしている特定のタイプのデザイン慣行について重要な明確さを提供し、自社のオンライン・デザインの健全性を調査しようとしている他の消費者向け企業にとってのガイドとして役立つ。
電子商取引プラットフォームやサブスクリプション・ベースのモデルを展開している企業、あるいはオンライン・マーケティングに大きく依存している企業は、現在の規制環境においてデザイン関連のリスクを適切に特定して制御していることを確認するために、さまざまな措置を講じることができ、またそうすべきである。これらの手順には次のものが含まれる場合がある。
(1)登録/サインアップのフローを確認する: 企業は、この機会を利用して、Amazon の告訴で取り上げられている慣行の種類に目を向けて、既存のオンライン顧客フローと関連する設計原則を確認する必要がある。今日の簡単なチェックにより、製品フローやその他の設計上の決定を改善または合理化する機会が見つかる可能性がある。これにより、潜在的なダーク・ パターンに関連する規制リスクが軽減されるだけでなく、顧客とのコミュニケーションが改善され、収益も向上する。
(2)シンプルなキャンセル方法を検討する: 同様に、企業は既存のキャンセル フローを調査して、その結果を達成するための「シンプルなメカニズム」を提供していることを確認する必要があります。潜在的には、消費者がサービスを登録するのと少なくとも同じくらい簡単にサービスをキャンセルできるようにするべきである。FTC が提案したネガティブ・ オプション・ ルールと Amazon に対する強制措置に沿って、企業は見つけやすく使いやすいシンプルなキャンセル・プロセスを備え、消費者が登録に使用したのと同じ方法 (例: ウェブサイト、 電子メール アドレス、または他のアプリケーション)を提供すべきである。
インターネット上の販売者は、サインアップに使用したのと同じ Web サイトまたは Web ベースのアプリケーション上で、アクセス可能なキャンセル メカニズムを提供する必要がある。販売者がユーザーに電話を使用したサインアップを許可する場合は、少なくとも電話番号を提供し、その番号へのすべての通話が通常の営業時間内に応答されるようにする必要がある。 簡単に言うと、企業は消費者にサブスクリプション・プランをキャンセルするために面倒な手続き・厳しい審査など〕複雑な[何段階もの]手順を踏むことを避けるべきである。
(3)サブスクリプション・プランに関する明確な開示: 最後に、送り付け商法(negative option)のサブスクリプション・プランを採用している企業は、すべての重要な条件が事前に明確かつ目立つように開示されていることを確認するために、少し時間をかける必要がある。 また、その開示には、告発を避けるために取るべき措置と、その措置が必要となるスケジュールを含める必要がある。
まだ最終決定されていないが、FTC が提案している改正ネガティブ・オプション・ルールでは、消費者の請求情報を取得する前に次の情報が必要になる。 ① 該当する場合、消費者の支払いが定期的に行われること、② 消費者が停止するために行動しなければならない期限 、③ 消費者が負担する可能性のある費用の金額またはその範囲、④ 料金の支払いが提出される日付、⑤ 消費者が定期的な支払いをキャンセルするために使用できるメカニズムに関する情報。(注14)
もちろん、ダーク・パターンは違法であり、サブスクリプションのキャンセルはサインアップと同じくらい簡単でなければならないというFTCの決定の実現可能性と範囲についてはなお未解決の疑問がある。
FTC は、ダーク・ パターンの定義を満たす行為が、特定の事件の特定の事実に基づいて不当または欺瞞的であることを証明できるかもしれないが、事実のパターンが「強制されたアクション(Forced Action)」または「コンファーム・シェイミイング(羞恥心や罪悪感の植え付け)の定義を満たすことを示すには十分ではない。
結局のところ、FTC 法は「ダーク・パターン」を禁止しているのではなく、数十年にわたる判例法を通じて発展してきたように、不公平と欺瞞を禁止している。欺瞞を証明するために、FTC は依然として、状況下で合理的に行動する消費者が重要な用語について誤解される可能性が高く、その責任を負うためにコピーテストまたはその他の外部証拠を使用する必要がある可能性があることを証明する必要がある。不公平を証明するには、FTC は、その行為が合理的に回避できない損害を引き起こし、またはその可能性があり、商業および競争上の利益を上回るものではないことを証明する必要がある。 たとえば、ワンクリック・キャンセルには利点があるかもしれないが、キャンセル・フロー中の「保存」オファーは、サブスクリプションを低価格で維持したいと考えている消費者に多大なメリットを提供する可能性がある。節約オファーも価格競争を促進する可能性がある。
しかし、FTC は、広く使用されている取引慣行を含む、ダーク・パターンを考慮した慣行に対する強制を明確な優先事項とする。 競合他社の実践をベースラインとして見ることは、何の安心感もない。 規制上の不確実性とリスクを回避するために、企業は登録とキャンセルのフロープロセスについて慎重かつ現実的な視点を持つ必要がある。既存の(PCH の場合は長期的な)慣行を取り締まるという FTC の決定が何かを示唆しているからである。 FTCが積極的な法執法を続けるかどうかは、Amazonに対する苦情訴訟やネガティブオプション・オファーに関する「規則制定案告示 (Notice of Proposed Rulemaking :NPRM)」の経過を通じてより明らかになるであろう。
Ⅲ.FTCは、オンライン・サブスクリプションとキャンセル慣行に関する「ダークパターン」の苦情に3人のエグゼクティブを追加
2023年10月9日のDuane Morris LLP.の解説「FTCは、オンライン・サブスクリプションとキャンセル慣行に関する「ダーク・パターン」の告訴状に3人の上級幹部を追加」を仮訳する。(なお、公正取引委員会はFTCが6月21日に行ったリリース文「FTCは消費者を同意なくAmazon Prime に登録し、キャンセルの試みを妨害したとしてAmazonに対して裁判行動を起こすーFTCの告訴は、合意のない定期購入と解約の策略に対する会社の認識上の不履行の詳細を概説しているー」要旨を仮訳している)(注15)
連邦取引委員会(FTC)によるAmazonに対する最近の独占禁止法訴訟は多くの注目を集めているが、同委員会が以前に提出したAmazonに対する消費者保護訴訟は、Amazon幹部に重要なポイントを提供している。
2023年9月20日、FTCはAmazon.com Inc.に対する告訴状を修正し、3人のAmazon幹部を個々の被告として追加した。訴状では、Amazonが「ダーク・パターン」を使用して、消費者が無意識のうちに Amazon Prime のサブスクリプションに登録し、サブスクリプションのキャンセルを困難にしたと主張した。FTCは、これらの訴訟は、FTC法の第5条「Unfair or Deceptive Acts or Practices」および「オンラインショッパー信頼回復法(Restore Online Shoppers’ Confidence Act :ROSCA)」。 6月に提出された最初の告訴状は、Amazonのみを指名していた。
1.FTCの主な追加告訴事項
(1)修正された告訴状は、不正行為に直接関与している幹部の個人の説明責任に関してFTCでの焦点が高まっていることを示している可能性がある。
(2)幹部がFTC訴訟で指名されることの潜在的な結果には、民事罰、その他の形態の金銭的救済、および永久的差止命令が含まれる。
2.FTCの追加告訴の主張内容と求められた救済策
3人の幹部はすべてAmazon Prime を監督する上級副社長であり、そのうちの1人は現在Amazonのリーダーシップチームに所属している。修正された告訴状は、(1)3人の幹部全員が顧客が無意識のうちにAmazon Prime に登録していること、および(2)Amazonが加入者のキャンセルを防ぐために迷路 (labyrinthine) となるキャンセル手順を設計したことを知っていたと主張した。さらに、FTCは、(3)3人の幹部全員が登録およびキャンセル・プロセスを明確にするための内部の試みを遅らせるかあるいは拒否したと主張した。
修正された告訴状は、内部の電子メール、メモ、プレゼンテーションでこれらの主張をサポートし、不明な登録と困難なキャンセルを既知の問題として識別した。これらの内部文書の一部は3人の幹部によって承認または受信されただけであったが、他の文書は幹部’自身の通信文であった。コミュニケーションには、Amazonの従業員から幹部へのメールが含まれており、Primeの登録とキャンセルのプロセスについて懸念が生じた。
また、修正された告訴状は、Amazonと3人の幹部が特権の指定を誤用して文書を隠蔽したと主張し, たとえば、法的助言(legal advice)を要求しなかった大規模な通信において「弁護士に法的アドバイスを求めるべき(seeking counsel)」というフレーズを追加することによって、FTCは、この実務慣行は、被告らが調査される可能性が高いことを理解したことを示していると主張した。
3.FTCが告訴状で指名したAmazonの幹部の役割の重要性
Amazonの幹部を主要なリーダーシップの役割に追加する修正された告訴状は、個人の説明責任に関する機関での焦点の増加を示している可能性がある。
このような消費者保護問題裁判の場合、FTCが個人や企業を被告として指名することは珍しいことではない。ただし、そのような場合には通常、指名された幹部が被告事業の唯一の所有者または 別法人格(alter ego )である小企業が関係する。
しかし、近年、FTCは大企業の幹部の名前を告訴状に付け始めた。
2022年、FTCはDrizly LLCとそのCEOの両方をデータ侵害(データ侵害とは、社内の脅威や外部からの攻撃者が、医療記録、財務情報、個人識別情報(PI)などの機密データまたは機密情報に不正にアクセスするセキュリティインシデント)で訴えた。 この訴訟は同意命令(consent order)で終わったが、CEOは、25,000人以上の情報を収集する企業の過半数所有者、CEO、またはセキュリティ責任を持つ上級役員である場合、情報セキュリティトレーニングを実施する必要があるとされた。
4.セキュリティ責任を持つCEOまたは上級役員の指名
この訴訟の被告としてCEOを指名することで、FTCは違法行為とされる行為に直接関与した個々の幹部の責任を追及するのではなく、抑止のメッセージを送っているように見えた。実際、元FTC委員のロヒット・チョプラ(Rohit Chopra)氏(現金融消費者保護局長)とレベッカ・スローター(Rebecca Slaughter)委員は、大企業の個人の名前を明らかにすることを支持し、それが抑止の手段であることを強調してきた。 また、ドライズリー事件(Drizly, LLC.) (注15-2)では、元FTC委員のクリスーティーン・ウィルソン(Christine S.Wilson)氏が、一般にCEOは問題のある慣行についての知識や関与がほとんどないため、CEOが個人的に責任を問われるべきではないと主張した。 FTC委員長のリナ・カーン氏はこれに反対し、「大企業を監督することは、他の優先事項を優先して法的義務を後回しにする言い訳にはならない」と述べた。
Rohit Chopra 氏
Christine S.Wilson 氏
しかし、今回修正された訴状で名前が挙がったAmazon幹部らは、違法行為に積極的に参加していたと言われている。FTC によると、幹部 3 人は、問題のある実務慣行を阻止する権限を与えられた役職に就いている。 これらの実務慣行を止めるのではなく、継続することを許可した。そして証拠には、違法行為の疑いを助長するこれら幹部自身の通信も含まれていた。
結論
Amazonのプライム・プログラムに責任を負った幹部3名を名指しすることで、FTCは、たとえ大企業であっても違法行為に積極的に参加する幹部はFTCの消費者保護訴訟の被告として指名されるリスクがあることを示唆した。FTC の訴訟で名前が挙げられると、経営幹部が受ける影響は重大になる可能性がある。 Amazonプライムの訴訟では、企業と個々の被告は各違反ごとに最大5万120ドル(約766万8360円)の民事罰金を科される可能性があり、場合によっては他の形式の金銭的救済も行われる可能性がある。さらに、幹部は永久差止命令の対象となる可能性もある。
最後に、消費者と取引するすべての企業の経営者は、FTC が、企業による不当または欺瞞的な行為または慣行を促進する行為について、個人の責任を追及しようとする可能性があることを認識する必要がある。
Ⅳ.EUのダーク・パターン規制のあり方・スタンスおよび欧州データ保護会議 (EDPB) 、ソーシャルメディアインターフェースにおける「ダーク・パターン」の使用に関するガイドライン草案を公開の概要
1.Covington & Burling LLPの解説ブログ「2023.1.31The EU Stance on Dark Patterns」を仮訳する。
2022 年 3 月 21 日、欧州データ保護会議 (EDPB) は、3 月 14 日に開催された EDPB 本会議の後、
「ソーシャル メディア ・プラットフォーム・ インターフェイスのダーク・ パターンに関するガイドライン 3/2022 草案(Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them Version 1.0) 」(以下、「ガイドライン」)という) を発表した。ガイドラインの明記された目的は、ソーシャル メディア ・プラットフォームのデザイナーとユーザーの両方に、EU の一般データ保護規則 (GDPR)で定められた要件に違反するソーシャル メディア・ インターフェイスのいわゆる「ダーク・ パターン」を特定し、回避する方法について実践的なガイダンスを提供することである。
この意味で、ガイドラインは、GDPR に準拠した方法でプラットフォームとユーザー・インターフェイスを設計する方法を組織に指示するとともに、対象となる特定の慣行がどのように GDPR に反する可能性があるかをユーザーに教育する両方の役割を果たすものといえる。結果として、そのような行為に起因する GDPR の告訴の増加につながる可能性がある。 現在、このガイドラインは 6 週間の公開協議の対象となっており、関心のある方は、こちらから EDPB に直接フィードバックを送信するよう求められている (「フィードバックを提供する」ダウンロードボタンを参照)。
1.ダーク・ パターンの 6 つの定義された包括カテゴリーの分類の設定
EDPBはガイドラインの冒頭で、「ダーク・パターン」を「ユーザーが個人データの処理に関して意図的ではない、望まない、潜在的に有害な決定を下すように導く、ソーシャルメディア・プラットフォームに実装されたインターフェースとユーザーエクスペリエンス」と定義している。 次に EDPB は、ダーク パターンの 6 つの定義されたカテゴリの分類を提供した。
①過負荷 – 大量のリクエスト、情報、オプション、またはより多くのデータを共有するよう促す可能性によってユーザーを圧倒すること。
②スキップ – ユーザーが意思決定のすべてまたは特定のデータ保護側面を忘れる (または考慮しない) ような方法でインターフェイスまたはユーザー エクスペリエンスを設計すること。
③撹拌 – ユーザーの感情に訴えたり、視覚的なナッジを使用したりすること。
④妨害 – ユーザーが自分のデータの使用について知らされること、または特定のアクションを達成するのが困難または不可能にすることによってデータを制御することを妨害またはブロックすること。
⑤気まぐれ – 一貫性がなく不明瞭な方法でインターフェイスを設計するため、ユーザー コントロールの操作や処理の目的の理解が困難になること。
➅闇に放置 – 情報やプライバシー制御を非表示にしたり、データがどのように処理され、データに対して実行できる制御についてユーザーに不確実性を与えたりする方法でインターフェイスを設計すること。
上記で概説したダーク ・パターンの 6 つの包括的なカテゴリーの下で、EDPB は 15 の具体的なダーク パターンの行動を特定し、ソーシャル メディア ユーザー アカウントのライフサイクル中にそれぞれの行動がどのように現れるかを検討した。これは、EDPB が次の 5 つの段階の連続体である。
段階:(1)ソーシャルメディア・アカウントを開設する。 (2) ソーシャルメディアで最新情報を入手し続ける。 (3) ソーシャルメディア上で保護された状態を保つ。 (4) ソーシャルメディア上で個人データの権利を行使する。 (5) ソーシャルメディア・アカウントを離れる。
EDPB は、ソーシャル メディア ユーザーのライフサイクルにおける 5 つのユース ケースを詳しく説明する前に、組織や個人がダーク パターンの使用を検討する (および回避しようとする) 際に念頭に置くべき、以下のいくつかの基本的な GDPR 原則を強調している。
(1)公平性と透明性 (GDPR 第 5 条 (1)(a)): EDPB は、GDPR の公平性原則が、データ主体の個人データが有害、差別的、誤解を招く、または予想外の方法で処理されることを防ぐ「包括的な機能を果たす」ことを強調している。 透明性に関しては、GDPR 第 12 条に従って、情報は「明確で平易な言葉を使用した、簡潔、透明、理解しやすく、簡単にアクセスできる形式」でデータ主体に提供されなければならない。これは、潜在的なダーク パターンを調査する際の重要な考慮事項である。
(2)説明責任 (GDPR 第 5 条(2)): EDPB は、ソーシャル メディア プラットフォーム上のユーザー インターフェイス/ジャーニー自体が、ソーシャル メディア ユーザーに対して GDPR 要件への準拠を示す方法として使用できると述べている。 特に EDPB は、ソーシャル メディア プラットフォームの運営者に対し、GDPR の情報をどのように適切に満たしているかを示すために、インターフェイスのスクリーンショットを記録するだけでなく、定性的および定量的な調査 (A/B テスト、アイ トラッキング、ユーザー インタビューなど) を実施することを奨励している。
(3)設計およびデフォルトによるデータ保護 (GDPR 第 25 条): EDPB は、設計およびデフォルトで効果的なプライバシーを確保するには、ここで特定の要素を考慮する必要があると指摘している。特に、データ主体の自律性と合理的な期待を尊重し、データ主体のデータ主体のデータ保護を可能にすることである。 簡単な相互作用と権利行使、消費者の選択の促進と権力の不均衡の回避、データ主体を欺いたり、操作したり、誤解を与えたりしない客観的かつ中立的な方法での情報の提供である。
2.ソーシャルメディアユーザーのライフサイクルにおけるダーク・パターンを深く掘り下げる
EDPB は、ソーシャル メディア・ ユーザーのアカウント・ ライフサイクルの 5 つの段階にわたるダーク パターンの詳細な分析を提供し、各セクションを次のように分けている。(a) 関連するコンテキストの説明。 (b) 関連する法規定の概要。 (c) 特定のダーク・ パターン (コンテンツ ・ベースかインターフェイス ベースかを問わず) をそれぞれ複数の例とともに調査する。 (d) ダーク パターンを回避するためのベスト プラクティスのリスト。
以下に、ソーシャルメディアのライフサイクルのこれら 5 つの段階に関連した EDPB の注目すべき発言をいくつか挙げる。
(1)ソーシャルメディア・アカウントを開設するとき
①同意: EDPB は、ソーシャル メディア プロバイダーは、サインアップ段階で要求された場合に同意が区別できるように特別な注意を払う必要があると述べている。 そうしないと、このオンボーディングのステップでユーザーがあまりにも多くの情報に圧倒され、すべてを読む気をなくしてしまうのにも関わらず、プライバシー ポリシーをすべて読んだことを確認する必要がある同意が必要な場合、[プライバシー ポリシーに] という名前が付けられるが、これは特別な条件への強制的な同意とみなされる可能性がある。 ソーシャルメディア・プラットフォームのユーザーは、サインアップ段階でプラットフォームがシングルクリックで同意を取得した場合、ワンクリックで同意を取り消すこともできなければならない。
②データの最小化: EDPB はデータの最小化の原則にも焦点を当てており、ソーシャル メディア プラットフォームは追求される目的に客観的に必要な以上の個人情報を取得しようとするべきではないと明確に述べている。 ここで EDPB は、電子メール アドレスも同じ目的 (たとえば、特定のユーザーが電子メール アドレスを所有していることを証明するため) に使用できるにもかかわらず、アカウントの 2 要素セキュリティ認証のために電話番号を要求するプラットフォームの例を挙げている。例えば、 プラットフォームへのログインに使用されるデバイスの場合)。
③ダーク・パターンの例: EDPB は、ライフ サイクルのこの段階でのさまざまなダーク パターンの使用に焦点を当てている。これには、「感情操作」の使用、つまり、次のいずれかの方法でユーザーに情報を伝えるための言葉やビジュアルの使用が含まれる。(a)非常に前向きな見通しで、ユーザーに良い気分や安全を感じさせる。 (b) 非常に否定的な見通しで、ユーザーに不安や罪悪感を感じさせる。また、デフォルトのオプションとしてより多くのデータを共有するようにユーザーを誘導する。
(2)ソーシャルメディアで最新情報を入手する
①透明性(Transparency): EDPB は、GDPR には規範的な透明性要件があるものの (GDPR 第 12 条から第 14 条を参照)、「情報が多ければ多いほど良い情報になるとは限らず、無関係または混乱を招く情報が多すぎると、重要な内容がわかりにくくなったり、コンテンツの価値が低下したりする可能性がある」と強調している。
したがって、EDPB は、包括的な情報と容易なアクセス性の間で適切なバランスをとる、多層的なプライバシー通知の使用を推奨している。 EDPB は、これを、矛盾する情報や論理的一貫性を欠く情報、曖昧な表現を提供する情報、特定の情報を見つけにくくすることでユーザーに過大な負担をかける情報などのダーク・パターンの使用と対比している。 ここでも EDPB は、フィードバックを取得し、関連情報を確実に理解できるようにするために、ユーザーに対して階層化されたプライバシー通知の使用をテストすることを推奨している。
②共同管理者(Joint Controllership): EDPB は、共同管理者に共同管理者取り決めの本質をデータ主体に開示することを義務付ける。 GDPR 第 26 条の規定により、共同管理者に追加の透明性義務が課せられ、これには特定の状況ではソーシャル メディア プラットフォームが含まれる可能性があることに留意している。
③データ侵害の伝達(Communication of Data Breaches:): EDPB は、データ侵害に関する不特定または無関係な情報をデータ主体に提供することに対して警告している。たとえば、処理者のデータ侵害が管理者のセキュリティ侵害ではないことを示すなどである。 侵害の重大性は、データ主体への影響ではなく、プラットフォームまたはそのプロセッサへの影響によって左右されることを示唆している。 また、どの特定の種類の特別なカテゴリーの個人データが侵害で流出したかを示すものではない。
(3)ソーシャルメディア上での保護を維持する
①同意: ここでも EDPB は、ターゲットを絞った広告 (e-プライバシー指令に基づく Cookie およびトラッカーの使用に関する義務が適用される場合を含む) など、さまざまな処理目的でソーシャル メディア・ ユーザーが同意を付与または撤回するために提供される手段および同意の撤回を妨げるために使用できるダーク・パターン行動の種類に焦点を当てている。
②ユーザー・ コントロール: EDPB は、ユーザー・コントロールの表示におけるダーク・パターンについて懸念を提起している。特に、ユーザーが選択できるオプションやメニュー (またはサブメニュー) が多すぎる場合、それらは明確な機能を提供するのではなく、不明確または論理的に矛盾する可能性がある。 集中型とは、プライバシーの選択を管理することを意味する。 注目すべきは、EDPBが、「ソーシャル メディア ・プラットフォームのユーザーが設定を変更する際に必要な平均歩数に関しては、『すべてに適合する万能のアプローチ』はない。その数値は 必要な手順の数値は できるだけ少なくする必要がある」と述べていることである。
(4)ソーシャルメディア上での個人データの権利の行使
ここで EDPB は、ユーザーを無関係なページにリダイレクトすることでユーザーを「行き止まり」に導く、不十分または曖昧な開示を提供する、個人データの権利を行使するためにユーザーを「プライバシーの迷路」に導く、ユーザーに情報を提供しないなどのダーク・パターンに関する懸念を提起している。 権利を行使するためのフレンドリーな方法 (例: データのコピーをダウンロードするための直接リンク)、および特定の手順を必要以上に長くすること (例: 特定のアクションを実行したいと「確信している」かどうかをユーザーに尋ねるなど)などをあげている。
(5)ソーシャルメディア・アカウントを離れるときの留意点
EDPB は、正当な理由なく消去権の行使が困難になった場合、これは GDPR 違反となり、ソーシャル メディア アカウントの削除を求めるユーザーの要求は暗黙の同意の撤回として理解される必要があると述べている ( 信頼されている場合)、GDPR 第 7 条 (3) に基づいて処理される。
またEDPBは、現段階でユーザーを「プライバシーの迷路」に誘導してアカウントを削除したり、ユーザーを感情的にアカウントを維持するよう誘導したり、あいまいな情報や混乱を招く選択肢を提供したり、削除プロセスが中断される「死」に導くダーク・パターンについても懸念を表明している。
結論
これらのガイドラインは、ヨーロッパおよびその他の管轄区域全体における広範な傾向の一部であり、規制当局や裁判所は、消費者を欺いたり、操作したり、不当に影響を与えたりしていると解釈される可能性のある方法でウェブサイト、プラットフォーム、またはその他の消費者向けインターフェースを提供する組織の責任を追及している。 プライバシー保護の選択肢が少なくなる。 この点で、上で強調したように、これらのガイドライン (特に EDPB によって特定されたベスト プラクティス) は、欧州のプライバシー当局からの精査を受ける可能性のある慣行を避けたいソーシャル メディア分野以外の組織にとって有益となる可能性がある。 さらに、EDPB が指摘しているように、ダーク パターンは消費者保護法に違反する可能性もあり、これらの行為を行った当事者が二重の執行体制にさらされる可能性がある。
2.欧州データ保護会議 (EDPB) 、ソーシャルメディアインターフェースにおける「ダークパターン」の使用に関するガイドライン草案を公開:解説blogの要約
Covington & Burling LLPの解説blogを以下、仮訳する。筆者はNicholas Shepherd氏、Daniel P. Cooper 氏である。
Nicholas Shepherd 氏
Daniel P. Cooper 氏
2022 年 12 月 9 日、欧州委員会の司法・消費者保護担当委員、ディディエ・レインダース(Didier Reynders)氏(ベルギー代表)は、欧州委員会が次の 2023 年の任務を、オンライン広告市場の透明性や Cookie 疲労と並行してダーク・パターンの規制に焦点を当てると発表した。この義務の一環として、EU の消費者保護協力 (EU’s Consumer Protection Cooperation :CPC) ネットワークは、399 の小売 Web サイトとアプリのダーク パターンの徹底的な調査を実施し、オンライン ショッピング Web サイトの 40% 近くが消費者の脆弱性を悪用かつ騙す操作的行為に依存していることを発見した。
Didier Reynders氏
これらの問題を強制するために、EU にはダーク・パターンを規制する単一の法律は現状はないが、ダーク・パターンについて議論し、消費者をダーク・パターンから保護するツールとして使用される可能性のある複数の規制がある。 これには、「一般データ保護規則 (General Data Protection Regulation (GDPR)」、デジタル・サービス法 (Digital Markets Act:DSA)、デジタル市場法 (Digital Markets Act:DMA)、不公正商行為指令 (Unfair Commercial Practices Directive「UCPD」(注16)、およびAI法(Artificial Intelligence Act)やデータ法(Data Act)(注17)など規制案が含まれる。
1.ダーク・パターンに関する法的枠組み
EUで「ダーク・パターン」という用語には単一の定義はないが、特にマイナスの結果につながる場合、消費者に意図していないことややりたくないことをさせる操作的または欺瞞的な行為を指す。 例えば以下のとおり。
(1)欧州データ保護会議 (EDPB) は、「ダーク・ パターン」を「ユーザーの行動に影響を与えることを目的として、個人データに関して意図的ではない、望ましくない、潜在的に有害な決定をユーザーにさせるソーシャル メディア・ プラットフォームに実装されたインターフェイスおよびユーザー・ エクスペリエンス」と定義している。 EDPB は、ダーク・パターンを、(1) 過負荷(overloading)、(2) スキップ(skipping)、(3) 動揺させる(stirring)、(4) 妨害(hindering)、(5) 気まぐれ(fickle)、(6) 暗闇に放置(left in the dark,)の 6 つのカテゴリーも定義し、これらについては、ブログ記事「EDPB、ソーシャルメディアインターフェースにおける「ダーク・パターン」の使用に関するガイドライン草案を公開」で詳しく説明している。
(2)提案されているデータ法(Data Act)でも同様に、「ダーク・パターン」を「消費者にマイナスの結果をもたらす決定を押し付けたり欺いたりする設計手法またはメカニズム」と説明されている。 これらの操作手法は、ユーザー、特に弱い立場にある消費者を説得して望ましくない行動をとらせたり、データ開示取引に関する意思決定を誘導したり、サービスのユーザーの意思決定に不当にバイアスをかけたりすることでユーザーを欺くために使用される可能性があり、ユーザーの自主性、意思決定、選択を覆し、損なう方法である。
さまざまな説明にもかかわらず、「ダーク・パターン」の共通の特徴は、(i) 操作的または欺瞞的な性質、および (ii) その結果消費者にマイナスまたは有害な結果をもたらすことである。
この「ダーク・パターン」という表現は EU の法律全体に浸透しており、さまざまな規則、ガイドライン、原則の中に見られる。したがって、組織が「ダークパターン」とは何か、そしてこれが自社の業務にどのような影響を与えるかを検討しようとする場合、たとえば次のような多数の規制を考慮することが重要である。
(1)GDPR と eプライバシー指令。
GDPR と eプライバシー指令(注18)はダーク・パターンについて明示的に言及していないが、ダーク・パターンを規制する現在の法的枠組みの一部を形成している。たとえば、組織が GDPR に基づいて個人データを処理する法的根拠として同意に依存している場合、または eプライバシー指令に基づいて Cookie やマーケティング コミュニケーションについて同意を取得している場合、そのような同意を収集する際にダーク パターンに関与している可能性がある。
(A) ソーシャル メディア プラットフォーム・ インターフェイスのダーク・パターンに関する EDPB ガイドライン 03/2022 (「ガイドライン」) は、ソーシャル メディア・プラットフォームの「ダーク・パターン」を評価するための実践的な推奨事項を提供している。同ガイドラインでは、「ダーク・パターン」はユーザーが「自由に与えられた、具体的で十分な情報に基づいた明確な同意」を提供する能力を妨げる可能性があり、ひいてはデータ保護と消費者保護の観点からプライバシーの権利を侵害する可能性があると指摘している。 実際の例として、組織は次のような場合に「ダーク・パターン」に陥る可能性がある。 言葉やビジュアルの使用が、(a) 非常に前向きな見通しでユーザーに良い気分や安全を感じさせる、または (b) 非常に否定的な見通しのいずれかでユーザーに情報を伝える 1 つは、特にデフォルトのオプションとしてより多くのデータを共有するようにユーザーを誘導する方法で、ユーザーに不安や罪悪感を抱かせることである。ガイドラインの詳細については、本事務所のブログ投稿を参照されたい。
(B)CPC – EDPB の子供に対する公正な広告に関する共同原則(CPC – EDPB Joint Principles for Fair Advertising to Children)
2022 年 6 月 14 日、EU の CPC ネットワーク(Consumer Protection Cooperation Network)4/3(91)の代表者は、EU 内のいくつかの国家データ保護当局および EDPB 事務局とともに、子供に対する公正な広告のための 5 つの主要原則を承認した(プレスリリースを参照)。 これらには、例えば、子供をターゲットにする可能性が高い広告やマーケティング手法を設計する際に、子供特有の脆弱性を考慮すること(特に、子供を騙したり不当に影響を与えてはならない)や、子供をターゲットにしたり、アプリ内またはゲーム内のコンテンツの購入を促したり、購入を促したりしないことが含まれる。 このため、組織は子供を対象としたオンライン・インターフェイスを作成する際に、ダーク パターンを避けるために十分な注意を払う必要がある。 これらの原則と子供のプライバシーの詳細については、以前のブログ投稿を参照されたい。
(C)UCPD(不公正商行為指令)。不公正商行為指令 (Unfair Commercial Practices Directive:UCPD」は、契約締結前、契約締結中、契約締結後に消費者の経済的利益に影響を与える不公正な商行為を禁止している。 2021 年 12 月 29 日、欧州委員会は UCPD に関するガイダンスを発表し、UCPD がダーク パターンをカバーしていることを確認し、UCPD の関連規定がデータ駆動型の企業間取引(BtoB)の消費者の商習慣にどのように適用できるかを説明するセクション (4.2.7) を割当てた。
UCPD は、消費者の注意を引くなどの商行為を対象としている。これにより、サービスの使用を継続する (フィードをスクロールするなど)、広告コンテンツを表示する、またはリンクをクリックするなどの取引上の決定が行われる。これらの商慣行にダーク・ パターンが含まれており、誤解を招く限りにおいては、UCPD に違反することになる。 たとえば、ダーク・パターンは、オンライン広告に関連して平均的な消費者の経済行動を大きく歪める可能性があるため、UCPD に該当する可能性がある (ブログ投稿を参照)。
(D)DSA(デジタル・サービス法 (Digital Markets Act)
DSA は、ユーザーの自由な選択を歪めたり損なったりする可能性のある、ダーク・パターンを含む欺瞞的または誘導的な手法 (同意のオプションを視覚的に目立つようにしたり、ユーザーに決定を繰り返すよう要求したり促したりするなど) を特に禁止している。 さらに、DSA に基づいて、欧州委員会には、ダーク・パターンの範囲に含まれる可能性のある追加の商慣行を定義するための委任法を採択する権限も与えられている。 DSA の詳細については、ブログ投稿を参照。
(E)DMA(デジタル市場法 (Digital Markets Act:DMA)
DMA はダーク・パターンについては明示的に言及していないが、ダーク ・パターンと同様の方法で説明される義務をゲートキーパーに課している。 たとえば、ユーザーの自由な選択と同意の撤回に関して、ゲートキーパーは「エンドユーザーが自由に同意する能力を欺いたり、操作したり、その他の方法で実質的に歪めたり、損なったりするような方法で、オンラインインターフェイスを設計、編成、運用してはなりません」。 この目的を達成するために、DMA は、ユーザーが同意したときと同じように簡単に同意を撤回できる機能を提供し、追加の負担を回避させる。 同意を撤回するための簡単なメカニズムをユーザーに提供しない場合は、ダーク・パターンとみなされ、DMA に基づく違反とみなされる。 DMA の詳細については、ブログ投稿を参照。
2.規制立法法案
ダーク パターンに関する規制は継続的に進化しており、特にダーク パターンが消費者に与える悪影響がより多くの研究や調査によって明らかになっているため、新しい法律に組み込まれている。 次の今後のルールでも、ダーク・ パターンの使用が規制される。
(1)提案されているAI法(The proposed AI Act)
提案されている AI 法は、EU 全体での人工知能システム (「AI システム」という) の開発、市場投入、および使用に関する規則を定めている。 AI 法はまだ立法過程にあるが、現在の提案では AI システム内でのダーク パターンの使用が禁止されている。 すなわち、この提案は、「人の行動を、その人を引き起こす、またはその可能性のある方法で実質的に歪めるために、人の意識を超えた潜在意識技術を展開する AI システムの市場投入、運用、または他人の身体的または精神的危害を加える使用を明確に禁止している。 したがって、AI システムのメーカーは、ダーク パターンのような欺瞞的な手法の使用が禁止され、ダーク パターンの使用を避けるために、GDPR が推進する一般的なデータ保護原則、つまり透明性、説明責任、データの最小化などを考慮する必要があります。 AI システム内のパターン。 提案されている AI 法の詳細については、当事務所のブログ投稿を参照。(欧州委員会専門サイト「Shaping Europe’s digital future」でAI法など最新情報が入手可)
(2)提案されているデータ法(The proposed Data Act.)
提案されているデータ法は、ユーザーが接続された製品やサービスの使用を通じて生成されたデータにアクセスし、第三者に移植できるようにするなど、データへのアクセスと使用を促進することを目的としている。
この一環として、このデータを受け取る第三者は、「ユーザーとのデジタルインターフェースにおいてユーザーの自主性、意思決定、選択を破壊したり損なったりすることにより、いかなる方法でもユーザーを強制、欺瞞、操作しない義務を負う。Recital 34 では、これは、サードパーティがデジタル インターフェイスを設計する際に、特に消費者がより多くのデータを開示するように操作する方法でダーク パターンに依存すべきではないことを意味すると説明している。したがって、サードパーティは、GDPR で定義されているデータ最小化原則に準拠する必要がある。 インターフェイスでダーク・ パターンの実践を採用しないようにすべきである。( 提案されているデータ法の詳細については、ブログ投稿を参照)。
(3)デジタル公平性に関する公開協議(Digital Fairness Consultation)
2022 年 11 月 28 日、欧州委員会はデジタル公平性に関する公開協議を発表しました。この協議は現在 2023 年 2 月 20 日まで開かれている。この協議の目的は、既存の消費者保護法(不公正商法など)を更新する必要があるかどうかを判断することである。 オンライン世界のデジタル変革に適応するために、慣行指令、消費者権利指令、不当な契約条件指令などを遵守する。 特に、欧州委員会は、既存の消費者保護法が、他の消費者保護上の懸念事項(パーソナライゼーションの実践、インフルエンサー・マーケティング、仮想アイテム消費者のマーケティングなど)の中でも、ダーク・パターンを含むオンラインの欺瞞的およびナッシング手法などの新たな消費者保護問題から消費者を保護するのに適切であるかどうかを検討する予定である。
公開協議後、欧州委員会はスタッフ作業文書を公表する予定で、この文書はこれらの問題に対処し、ダーク・パターンをさらに規制する新たな立法提案を推奨する可能性がある。 その一方で、EU はすでに次のようなダーク パターンの施行を推進している。
(4)欧州委員会の新しい消費者アジェンダ(ダーク・ パターンの義務化を含む)の一環として、2022 年 4 月に欧州委員会は、デジタル環境における不当な商行為に関する行動調査を発表した。この調査では、ダーク・パターンの使用と操作的なパーソナライゼーションを調査し、 ダーク・パターンに関する懸念に対処するための既存の消費者保護法の潜在的なギャップ。 欧州委員会は、この調査で特定されたオンライントレーダーに連絡し、特定された問題を修正するよう依頼する予定である。
前述したように、CPC ネットワークは Web サイトやアプリでの「ダーク ・パターン」の使用を特定するためにオンライン調査を実施した。欧州委員会のプレスリリースによると、調査対象となったオンライン ショッピング Web サイトのほぼ 40% (399 件中 148 件) がこのサイトに依存していると記載されている。 消費者の脆弱性を悪用したり、消費者を騙したりする操作的行為(例:偽のカウントダウンタイマー、隠された情報、消費者を購入、定期購入、またはその他の選択肢に誘導するように設計された Web インターフェース)。 関連する加盟国の消費者保護当局は今後、関連する業者に連絡してウェブサイトを修正し、必要に応じてさらなる措置を講じることになる。
2022年11月21日に発表された、取引アプリや取引ポータルでのダーク・パターンを禁止するドイツ連邦金融監督庁(Bafin)の声明(注19)で証明されているように、金融セクターなど分野ベースでの施行も予想される可能性が高い。
結論
EUは、特にデジタル分野におけるEU消費者の権利をさらに保護するために重要な措置を講じており、企業がそのような目標を達成するための追加の勧告を提供し続けている。 EUはデジタル市場法とデジタルサービス法の採択、および今後の立法提案の交渉により、欧州の各機関はデジタル市場における透明性と説明責任の強化に向けて 2023 年に向けた調子を整えている。 ダーク ・パターンの規制に重点を置くことは、EU の多数の法律との関連性が示すように、広範囲に影響を与える可能性がある。 さらに、ダーク・パターンの規制は単一の規制に拘束されないため、ダーク・パターンに対する施行の数は増加するであろう。 たとえば、EU データ保護当局はダーク・ パターンの使用や個人データの処理、デジタル マーケティングを調査するため、ダーク ・パターンも施行の議題となっている。
***************************************************************************
(注1) サービスや商品を一定期間利用できる権利に対して料金を請求するビジネスモデルのこと。例:電子書籍、音楽配信、動画配信、ゲーム、洋服、車等
サブスクリプションとは、商品やサービスを購入することなく、一定の期間、サービスや商品を利用できるビジネスモデルである。一般的に料金を支払っている間は、自由に商品やサービスを利用できるが、契約が終了するとそれらは利用できなくなる。
ソフトウェアをサブスクリプション形態で提供するサービスも増えている。月単位、あるいは年単位で契約して料金を支払うと、その期間は対象のソフトウェアを利用できるという内容である。永続的にソフトウェアを利用できるライセンスを購入する従来の形式に比べ、安価にソフトウェアを使い始められ、短期間だけ利用する場合であればライセンスを購入するよりも安価であること、さらに企業で利用する場合にはライセンスを資産として計上する必要がないがメリットとなる。
多くの企業が参入するサブスクリプションであるが、メリットばかりではなく、以下のデメリットもある。
①複数登録するとコストがかさみやすい
②利用しなくても毎月支払いが発生する
③解約すると手元にものが残らない
(注2) e-commerceとは、WEBサイト上で物品を販売するオンラインショップや、ソフトウェアなどデジタルコンテンツのオンライン販売、金融商品の売買取引をWEB上で行うオンライントレード、ネットオークションなども、eコマースの一つの形態である。
(注3) Cookieは、一般に、GDPRにおいては、「オンライン識別子」(GDPR 4条1項)として「個人データ」に該当するとされる。したがって、EU域外適用を含め、GDPRが適用される場合には、Cookieの取得には、原則として明示の同意が要求される。日本における規制について述べたところと同様、GDPRは個人情報保護法制の観点からの規制であり、電気通信にかかる法制の観点からは別の規制が適用されることとなる。それが、EUのe-privacy指令4/3(54)である(通称として「Cookie指令」と呼ばれることもある)。
なお、e-privacy指令は2002年に制定されたものであり、2009年改正および2018年5月のGDPRの全面施行を経て、なお現在も有効なものである。(Business & Law LLPの解説から一部抜粋)
(注4) ツールチップは、ユーザーがグラフィカル ユーザー インターフェイス (GUI) 内の要素を操作するときに表示される短い情報メッセージをいう。(解説を仮訳、なお、その使用につきガイドラインがある。)
Tooltipコンポーネントは、UI上のスペースが限られている場合に、以下のような補足テキストを一時的に表示するために使う。
・補足的な説明テキストを表示する場合
・アイコンだけのボタンにラベルを表示する場合
・省略されたテキストを全文表示する場合
Tooltip内の情報は隠れるため、操作に必要な情報の表示への使用は避けるべきである。ユーザーが把握しておかないと操作が進められないような重要な情報は、常に明確に表示することを検討すべきである。
また、重要な情報とは、フォームの入力に必要な情報などが該当する。具体例は次の通り。
・パスワードに使用できる文字や、エラーになる入力値などの入力要件
・入力エラーとなった際のエラーメッセージ
・操作補助になる情報(ショートカットなど)
(注5) リナ・M・カーン委員長(1989年3月3日生まれ、35歳)は英国生まれの米国法学者で、2021年から連邦取引委員会(FTC)の委員長を務めている。同時に彼女はコロンビア・ロー・スクールの法学准教授(常勤)でもある。
イェール大学ロー・スクール在学中に、法曹、実務界に大いなる影響力を与えた学生論文「Amazon独占禁止のパラドックス(Amazon's Antitrust Paradox)」(注6)を発表した後、米国における独占禁止法と競争法の研究で知られるようになった。
バイデン大統領は2021年3月にカーン氏をFTC委員に指名し、彼女の承認を受けて2021年6月に同委員長に就任させた。FTCは彼女の任期中、非競争協定の禁止を推進し、反競争的行為に従事するヘルスケア企業等に対して訴訟を起こし、非競争慣行を批判し、Amazonに対して注目を集める訴訟を起こした。 2022 年、FTC と連邦司法省の独占禁止部門は、独占禁止を理由に記録的な数の合併を阻止した。(Wikipedia から抜粋、仮訳)
(注6) カーン委員長の有名な論文「Amazon's Antitrust Paradox」(Yale Law Journal)は無料でダウンロード可。
(注7) 米国では2010 年 12 月、オンラインに関連するデータパスマーケティングを禁止するオンラインショッパー信頼回復法(Restore Online Shoppers’ Confidence Act:「ROSCA」)が施行された。ROSCAは第三者である売手に対し、当初の販売事業者と関係がないことを含め、明確な事前宣伝販売情報の開示を消費者に提供することを義務付けている。さらにROSCAは、この種の売手が、消費者から、請求金額全額、消費者の連絡先及び消費者による「追加的確認行為」を含む明白な同意を消費者から直接得ることを求めている。
(注7-2) わが国では、Restore Online Shoppers' Confidence Actを「復元オンライン購入者信頼法」と100%訳している。
しかし、これは明らかに誤訳である。以下、同法の内容を仮訳、引用する。
(1)この法律は、取引後の第三者販売者(消費者が最初の販売者と取引を開始した後、最初の販売者を通じて商品やサービスをオンラインで販売する販売者)が、すべての資料を明確に開示していない限り、インターネット取引で金融口座に請求することを禁止している。 取引条件を遵守し、料金に対する消費者の明示的な同意を得たものとします。 販売者は、請求される口座の番号を消費者から直接取得する必要がある。(FTCの解説の訳)
(2)「オンラインショッパー信頼回復法」では、企業はネガティブオプション・マーケティング(オプトアウト・サブスクリプション・サービス)を使用して、以下の条件を満たさない限り、製品またはサービスをWeb経由でアメリカの消費者に販売することはできない。
【3つの法的要件】
①合理的な顧客が購入しているものを正確に理解する公正な機会を持つことができるように、購入の完全な条件は販売時に明確にされなければならない。
②販売者は、進行中のオプトアウト・サブスクリプション・プログラムに参加したいことを示す消費者からの明示的な同意を得る必要がある。もう一度、請求情報が取得される前に、販売者の特定の条件を明確にする必要がある。
③販売者は、いつでもサブスクリプションサービスをオプトアウトするための明確で明白なメカニズムを消費者に提供する必要がある。さらに、このオプトアウトは、不適切な面倒や過度の遅延なしに許可する必要がある。
販売者が上記の3つのことのいずれかを実行しなかった場合, そもそも、サブスクリプションサービスを販売していたという事実を隠していたか、販売者が製品やサービスをキャンセルすることをほぼ不可能にしたため, その後、そのビジネスは連邦消費者保護法に違反している。あなたが偽のインターネット広告のためにかなりの金額を失った消費者であるなら、あなたは行動を起こす必要がある。(Pike&Lustig、LLPの解説4/3(80)から引用、仮訳)
(注8) 連邦取引委員会(FTC)の同意命令(consent order):公正取引委員会資料「世界の競争法:米国」から一部抜粋した。
(2) FTCの事件処理手続
ア 審査手続
FTCは、特定事件について審査を開始するときには、職員の中から審査官を指定し、これに審査を行わせる。審査官は、連邦取引委員会法第9条に基づく罰則付き命令(Subpoena)による書証提出命令、出頭命令等及び同法第20条に基づく民事審査請求(Civil Investigation Demand :CID)による文書提出命令、口頭供述命令等を行うことができる。
イ 同意命令
FTCは、違反事件の審査の結果、法的措置を採ることが相当であると判断したときは、まず、関係人にFTCの申立てを記載した文書(Complaint)及び排除措置命令案(Orders to Cease and Desist)を送付し、これらの内容につき交渉し、合意に達した場合には、合意内容を踏まえた同意命令案を作成し、委員会の議決を経て、通常30日間のパブリック・コメントを行う。その後、再度委員会の議決を経て、同意命令(Consent Order)を発出する。
また、下記ウの審判開始決定後であっても、同意命令の手続を行うことができる。審判開始決定後、被審人との間で同意された同意命令案が審判官を通じてFTCに付託される。この場合も、同案を官報に掲載し、一般からの意見を求めることとなる。FTCは、当該意見等を考慮して、再審査を行い、同意命令を発出する。
同意命令は、審判手続を経た命令ではない。したがって、同一の事案について後に損害賠償請求訴訟が提起されても、同意命令による事実や違法性についての推定といった効果は発生しない。
【補足説明】
・いわゆる裁判上の和解。効率的な紛争解決手段として多用されている。
・ 同意判決・同意命令に対しては上訴できない。
・ その後の民事の損害賠償請求訴訟において証拠価値をもたない。
・ 第三者意見聴取あり。
(注9) 2003年のCAN-SPAM法(Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003)は、PCによる商業メールを送信する者の要件を定め、スパマーやスパムで製品を宣伝している企業が法律に違反した場合の罰則を明記し、消費者にスパムメールの停止を求める権利を与えた。
2004年1月1日から施行されたこの法律は、ウェブサイト上のコンテンツを含め、商業的な製品やサービスの広告や宣伝を主な目的とするPC向け電子メールを対象としている。 取引や関係のあるメッセージ. 合意された取引を促進する、または既存のビジネス関係における顧客を更新する電子メールは、虚偽または誤解を招くような経路情報を含まないが、それ以外はCAN-SPAM法のほとんどの条項から免除される。
CAN-SPAM法の施行は、米国の消費者保護機関である連邦取引委員会(FTC)が権限を有する。 CAN-SPAMはまた、司法省(DOJ)にその刑事制裁を執行する権限を与えている。 また、他の連邦政府機関や州政府機関は、その管轄下にある組織に対して同法を執行することができ、インターネットアクセスを提供する企業も同様に違反者を訴えることができる。
一方、連邦通信委員会(FCC)は,携帯電話やポケットベルにユーザーの承諾がない商用電子メール(スパム・メール)の送信を禁じる規制法案4/3(108)を可決したことを, 8月4日に発表した。米国議会は2003年、スパム対策法「Controlling the Assault of Non-Solicited Pornography and Marketing(CAN-SPAM)」を可決した際に,携帯電話に送られるスパム・メールを規制する権限をFCCに与えていた。今回の法規制は,その流れを受けてのもの。
FCCの法規制によれば,携帯電話ユーザーがあらかじめ承諾しない限り(オプトイン),いかなる無線サービス加入者のアドレスにも商用電子メールを送信してはならない。ユーザーがオプトアウト(受信拒否手続き)するまで送信が認められているコンピュータの電子メール・アドレス宛て商用メールと比べ,より厳しい条件となっている。
以下で、CAN-SPAM同法の概要を引用する。
1.迷惑メール規制法:
・「CAN-SPAM法」(2003年)により、PC向けメールを規制
・「CAN-SPAM法」に基づき、連邦通信委員会(FCC)規則により、2004年より携帯電話向けメールを規制(Rules and Regulations Implementing the Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003
Rules and Regulations Implementing the Telephone Consumer Protection Act of 1991)
2.迷惑メールの範囲 :商業電子メール
3.送信者等に対する規制
【PC向けメール】
・オプトアウト規制
・表示義務
・許可なくアクセスしたPCからの送信禁止
・偽ヘッダー情報による送信禁止
・欺瞞的表題を付した送信禁止 等
【携帯電話向けメール】
・オプトイン規制
・表示義務
・オプトアウトを受けた時は、10日以内に送信終了する義務 等
4.制裁措置 ・行政処分(停止命令)
・拘禁刑最高5年又は罰金(違反行為により被告が得た利益若しくは他者が被った損害の2倍の額、又は25万ドル(個人)、50万ドル(法人)のうち、いずれか高額な方が上限)等
5.執行状況 :FTCが扱ったスパム関連事案の80%はオプトアウト義務違反
6.国際連携施策:(日本等との連携等)
「US SAFE WEB ACT」の制定(2006年)
(注10) 「ネガティブ・オプション」とは、注文していない商品を、勝手に送り付け、その人が断らなければ買ったものとみなして、代金を一方的に請求する商法をいう。
特定商取引法が改正され、令和3年7月6日以降売買契約に基づかないで、一方的に送り付けられた商品は直ちに処分することができることとなった。
例示:①売買契約に基づかないで送付された商品を受け取ったときは商品を直ちに処分することができる。
②事業者から金銭を請求されたときは金銭を支払う必要はない。
③商品を開封や処分しても、金銭の支払いは不要であり、事業者から金銭の支払を請求されても応じないようにしましょう。
④商品の代金を誤って支払ってしまったときは代金について返還を請求することができる。(警視庁サイトから抜粋)
(注11) “Iliad Flow”とは、オンラインの迷路のようなキャンセル・フローをいう。
具体的手順については解説例参照。
(注12) ローチ・モーテル((Roach Motel)とは、簡単に登録できるが、キャンセルや退会方法が複雑で難しいものをいう。数回のステップで簡単に登録できるが、いざ退会・解約する際にはその何倍もの労力が必要。故意に解約方法をわかりにくくしたり、電話だけで解約を受け付ける企業が多く存在する。
(注13) ユーザーがオファーを断ろうとすると、羞恥心や罪悪感を与えて、あたかも断ることに罪があるように思わせること。海外サイトで多く見られるダーク・パターンの一種。感情的なコピーを用いて「この選択肢を選ばないのは愚かである」と、暗にプレッシャーをかける。
海外サイトで多く見られるダーク・パターンの一種。感情的なコピーを用いて「この選択肢を選ばないのは愚かである」と、暗にプレッシャーをかける。
(注14)2023年4月24日 FTCが公表したNegative Option Ruleに関するFTCの「A Proposed Rule by the Federal Trade Commission」の改正案の要旨は以下のとおり。なお、詳細はFTC解説参照。
連邦取引委員会は、「サブスクリプションおよびその他のネガティブ・オプション・プランに関する規則」(“ネガティブ・オプション規則”または“規則”)の改正を提案している。提案された変更は、消費者が望まない製品またはサービスの繰り返し料金を含み、過度の困難なしにキャンセルすることができない、不公正または欺罔的なビジネス慣行と戦うために計算される。
(注15) 公正取引委員会の仮訳は「過去のある報道では、アマゾンが解約手続を説明するために 「イリアス(Iliad)」 という言葉を使ったと指摘した上、この解約手続は、十年間にわたるトロイア戦争について書かれたホメロスの大叙事詩のようであると報じられている。」しかし、これでは読者はイリアス(Iliad)を正確に理解できまい。本文で述べたように「解約手続きが複雑な迷路である」というのが正しい訳語であろう。
(注5-2) 米連邦取引委員会は、オンラインアルコール市場のDrizlyと同社CEOのJames Cory Rellasに対し、同社のセキュリティ上の欠陥がデータ侵害につながり、約250万人の消費者の個人情報が流出したとの申し立てを巡り、訴訟を起こした。
(注16) 長島・大野・常松法律事務所パートナー 福原あゆみ氏のニュースレター「欧州におけるグリーン・ウォッシュ規制のアップデート」から一部抜粋する。なお、EUサイト(DIRECTIVE (EU) 2024/825 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 28 February 2024)とのリンクは本ブログの筆者が独自に行った。
福原あゆみ 氏
(1)EU理事会は、2024年2月20日、従前の欧州の不公正商行為指令(Unfair Commercial Practices Directive: UCPD)と消費者権利指令(Consumer Rights Directive: CRD)を改正する形で、不公正な慣行に対するより良い保護と情報提供を通じてグリーン移行するための消費者の権限強化に関する指令(Directive on empowering consumers for the green transition through better protection against unfair practices and better information 以下「ECD」といいます。)を採択し、同指令は同年3月26日に発効した。今後、EU加盟国は採択から2年以内に国内法規制への置き換えを行い、30か月以内に適用することが求められる。
(2) 禁止される行為の概要
ECDに基づく禁止行為又は規制には以下のものが含まれる。
①一般的な環境主張の規制
②持続可能性ラベルの使用の規制
③カーボンオフセットのみに基づく主張の禁止
④将来の環境性能に関する主張の来の環境性能に関する主張の規制
(2)グリーン・クレーム指令(The green claims directive)
グリーン・クレーム指令(The green claims directive 以下「GCD」という。)は、環境主張の広告を出す前に、環境マーケティングのクレームに関する証拠の提出を企業に義務付けるものであり、ECDに基づくグリーン・ウォッシュの規制を補完するものになる。同指令は、消費者が購入する製品の環境認証に関する信頼できる情報をアクセス可能にすることを目的として2023年3月に提案され、審議がなされていたが、2024年3月12日に欧州議会により採択がなされている。今後、2024年6月に実施される欧州選挙後の新議会で更に同指令案の審議が行われることが見込まれ、内容については変更がありうるものの、現時点で同指令で定められる項目には以下のものが含まれる。
①明示的な環境主張に関するアセスメントの実施と立証に関する要件
②環境主張の伝達に関する要件
③環境ラベル制度の要件
(注17) REGULATION (EU) 2023/2854 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act)
(注18) GDPRとeプライバシー指令は相互に補完しあう関係にある。GDPR第95条によれば、eプライバシー指令(及び同指令を実施する国内法)が企業に義務を課している範囲において、GDPRがさらなる義務を課すことはないとされている。これは、原則として、eプライバシー指令の規定が、電気通信サービス(特に電子メールとインターネット)についての枠組みを定める、いわゆる特別法であり、より一般的なGDPRの規定に優先することを意味する。GDPRは、eプライバシー指令によって具体的に規律されていない事項についてのみ直接的に適用されることとなる。(長島・大野・常松法律事務所「GDPRとEU加盟国法との相互関係に関する最新動向 -eプライバシーに関する規律やドイツの事例を題材として-」から一部抜粋)
この 2002 年の e プライバシー指令は、デジタル時代のプライバシー、より具体的には通信の機密性と追跡と監視に関する規則に関する重要な法的手段である。
2011 年 5 月に発効した電子プライバシー指令 2009/136/EC は、電子通信分野における個人データの処理とプライバシーの保護に関するものである。 これは通常「電子プライバシー指令」と呼ばれ、第一次指令 2002/58/EC の修正指令である。(Wikipedia から抜粋、仮訳)
一般データ保護規則(GDPR)の発効により、EU 立法者はこの文書を更新する必要があり、欧州委員会は 2017 年 1 月 10 日に提案を発表した。この新しい文書は、機械の機密性などの問題を伴い、急速に進化する技術情勢に取り組む必要があり、 マシン間の通信 (モノのインターネット)、または公的にアクセス可能なネットワーク (公衆 Wi-Fi など) 上の個人の通信の機密性等に言及している(EDPSサイトを仮訳)。
(注19)Bafin声明(独文)および第63条第6項を筆者なりに仮訳する。
「また、BaFin は、取引アプリや取引ポータルにある関連性のある重要なボタン (取引をキャンセルするためなど) が完全に欠落していてはいけないことも明確にしている。 投資サービス会社が重要かつ関連性のある意思決定の選択肢のボタンを提供しない場合は、WpHG 第 63 条第 6 項 (§ 63 Abs. 6 Satz WpHG.)に基づく誠実さの要件にも違反する。」
*連邦証券取引法 (有価証券取引法: Gesetz über den Wertpapierhandel: WpHG)第 63 条:一般的な行動規則; 規制を発行する権限:第6項 投資サービス会社が顧客に提供するマーケティング・コミュニケーションを含むすべての情報は、正直、明確で、誤解を招くものであってはならない。 マーケティング コミュニケーションは、それを明確に識別できる必要がある。 (資本投資法第 302 条(Kapitalanlagegesetzbuch (KAGB)§ 302 Werbung 広告)、規制 (EU) 2017/1129(Artikel 22 der Verordnung (EU) 2017/1129)( 2017 年 6 月 14 日の欧州議会および欧州理事会の規則 (EU) 2017/1129 は、有価証券が一般に提供される場合、または規制された市場での取引が認められる場合に発行される目論見書に関するものであり、指令 2003/71/ECText を繰り返している(Verordnung (EU) 2017/1129 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über den Prospekt, der beim öffentlichen Angebot von Wertpapieren oder bei deren Zulassung zum Handel an einem geregelten Markt zu veröffentlichen ist und zur Aufhebung der Richtlinie 2003/71/EGText von Bedeutung für den EWR.)、証券目論見書法(Wertpapierprospektgesetz - WpPG)の第 7 条(§ 7 証券情報シートの発行が必要なオファーの広告)は影響を受けない。
BaFin は、第 63 条以降に従って、2018年1月に施行された第2次金融商品市場指令(MiFID II )の行動規則に関する 2 つの新しい FAQ を公開した。 投資サービス会社は、オンラインでのプレゼンスを適宜確認することが求められる。 BaFinが独自の監査手続きを通じて取引アプリのダーク・パターンをすでに特定している場合、直ちに関係企業に対処する予定である。
*************************************************************
Copyright © 2006-2024 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
