2024-04-19

悪意あるインタフェース・デザイン・パターンの一種でエンドユーザーをだまし、本人の意図または期待とは異なる行動を取らせる「ダーク・パターン」の米国やＥＵの規制強化に向けた具体的活動内容を検証

　読者は「ダーク・パターン」すなわち、悪意のあるインタフェース・デザイン・パターンの一種で、エンドユーザーをだまし、本人の意図または期待とは異なる行動を取らせ、インタフェースの提供者に利益を与えるものを十分理解されてあろうか。

　筆者は、最近のブログの(注4)で簡単にこの問題を取り上げた。その趣旨は違法なマーケティング規制のあり方の実態およびわが国の法規制のあり方を論じたいと考えたからである。

　改めて考えると、この問題の重要性から見て問題を整理すべく、今回のブログは、(1)「ダーク・パターン」の実態と技術面からみた本質的な違法性問題、(2)米連邦取引委員会(FTC)のダーク・パターン・レポートの内容と法規制・執行機関の取組みの意義、(3)FTCのターゲットとするアマゾンおよび出版社クリアリングハウスに対する告発におけるダーク・パターン問題、 (4) FTCはAmazon.com Inc.に対する告訴状を修正し、3人のAmazon上級幹部を個々の被告として追加したダーク・パターンの幹部責任の裁判問題、(5)EUのダーク・パターン」の取組みスタンスや欧州データ保護会議 (EDPB)の「ダーク・パターン」の使用に関するガイドライン草案等につき概観する。

　これら問題の背景には、サービスや商品を一定期間利用できる権利に対して料金を請求するビジネスモデルであるサブスクリプションの普及(例：電子書籍、音楽配信、動画配信、ゲーム、洋服、車等の普及と併せた違法なマーケテイングの急増)だけでなく、悪徳ダイレクトメールやテレビ広告、さらに実店舗の小売店のチラシ等あげれば、切りがない。

　翻って、これらの問題にわが国の規制監督機関や具体的規制の実態はどのようか。法執行機関として具体的に取り上げるとすれは「消費者庁」や「公正取引委員会」くらいであろうか。

　また、比較法レポートとしては内閣府経済社会総合研究所　加納克利「デジタル化と消費者政策（いわゆる「ダークパターン」）に関する研究のサーベイ」があるが、専門外の読者に極めて読みにくい。さらに言えば、筆者のP.20以下の③小括には「EU 及び米国においては、比較的汎用性のある規定に関し、その解釈・適用関係の詳細をガイダンスやガイドラインによって明らかにした上で活用しているように見受けられる。技術の進展等により対応しなければならない事案が日々変化することを踏まえると、一つの在り方として参考になる」とあるが、我が国の法規制強化にかかる研究レポートとしては、踏み込みが極めて弱い。

Ⅰ．ダーク・パターンに関するわが国法律事務所の解説例

１．2023.10.12 西村あさひ法律事務所「ダーク・パターンに対する米英の規制動向及び日本の現況」の著者は角田龍哉、上野太資、小川慶、原田実侑の各氏である。

　わが国のダーク・パターンの法規制に関する数少ないレポ―トと言えよう。ただし、本レポートは米英の解説はあるがEUの取組みは言及していない。EUのEU欧州データ保護会議 (EDPB)の「ダーク・パターン」の使用に関するガイドライン草案などにつき筆者は独自に調査し、本ブログ第Ⅳ節で解説する。

２．2024年 2月 27日Internet Initiative Japan Inc.石村卓也「欧米でのダークパターン規制の動向と日本企業に求められる対応」

　欧米を中心としたダーク・パターン規制の概要を解説した上で、各国のガイドライン等で示されている具体的なUI/UXのNGパターンを紹介し、消費者の信頼獲得のために日本企業に求められる対応について考察している。

Ⅱ． FTCの委員会が公開審議で承認したFTCスタッフ・レポート「消費者をだまして罠にかけることを目的とした巧妙に洗練されたダーク・パターンの増加」に関する解説および2022年9月FTCスタッフ報告の概要

　以下のFTC解説文およびFTCスタッフ報告の概要について仮訳する。

１．米連邦取引委員会は2022年9月15日、消費者をだましてオンライン操作して製品やサービスを購入させたり、プライバシーを放棄させたりする「ダーク・パターン」として知られる巧妙につくられたデザイン慣行を企業がどのように利用しているかを示す報告書を発表した。

　この報告書で詳述されているダーク・パターン戦術には、(1)広告を独立したコンテンツのように見せかけること、(2)消費者がサブスクリプション(注1)や料金をキャンセルすることを困難にすること、(3)重要な用語や追加料金を隠蔽すること、(4)消費者を騙してデータを共有させることなどが含まれる。この報告書は、市場でのダーク・パターンの使用と闘うためのFTCの取組みを強調し、消費者をだまして罠にはめることを目的とした企業の戦術に対して行動を起こすというFTCの取り組みを繰り返し述べた。

　FTCの消費者保護局局長サミュエル・レバイン(Samuel Levine, Director of the FTC’s Bureau of Consumer Protection)は,「我々のレポートは、ますます多くの企業がデジタル・ダークパターンを使用して人々をだまして製品を購入し、個人情報を提供していることを示しており、このレポートと私たちのケースは、これらの罠が許容されないという明確なメッセージを送信し続ける」と述べた。

　長年にわたり、悪徳ダイレクトメールや実店舗の小売店は、消費者に商品、お金やデータ等を諦めさせるために、(1)事前にチェック済のボックス、(2)見つけにくく読みにくい開示情報、(3)わかりにくいキャンセル・ポリシーなどのデザイン上のトリックや心理的戦術を使用してきた。商取引のオンライン化が進むにつれ、ダーク・パターンの規模と巧妙度が増し、企業は複雑な分析手法を開発し、より多くの個人データを収集し、ダーク・パターンを実験して最も効果的なものを悪用できるようになってきた。このFTCスタッフ報告書は、FTCが2021年4月に開催したワークショップの結果から派生したもので、ダーク・パターンが消費者の選択と意思決定をどのように曖昧にし、覆し、または損なう可能性があり、法律に違反する可能性があるかを調査した。

「ダーク・パターンに光を与える(Bringing Dark Patterns to Light)」題するそのレポートは、「eコマース(e-commerce)」(注2)、「Cookie同意バナー(cookie consent banners)(注3)、子供向けアプリ、サブスクリプションの販売など、さまざまな業界や状況で使用されているダーク・パターンを明らかにした。

　このレポートは、以下の4つの一般的なダーク・パターン戦術に焦点を当てている。

(1) 消費者に誤解を招く広告と偽装広告: これらの戦術には、独立した編集コンテンツのように見えるようにデザインされた広告が含まれる。すなわち中立であると主張しているが、実際には報酬に基づいて企業をランク付けする比較ショッピング・サイトがある。また、カウントダウン・タイマー(countdown timers)は、申込に実際には期限がないにもかかわらず、消費者に製品やサービスを購入できる時間は限られていると思わせるように設計されている。たとえば、FTCは在宅勤務制度の運営者に対し、CNNやFoxニュースなどの報道機関からのものであると偽る「差出人」の行を含む迷惑メールを消費者に送信した疑いで措置を講じた。これらの電子メールの本文には、消費者をさらなる偽のオンライン・ニュース記事に誘導し、最終的には同社の在宅勤務制度を宣伝する販売 Web サイトに消費者を誘導するリンクが含まれていた。

(2)サブスクリプションや料金のキャンセルを困難にする: もう 1 つのよくあるダーク・パターンには、誰かをだまして同意なしに商品やサービスの代金を支払わせるというものがある。たとえば、欺瞞的なサブスクリプション販売者は、購入するつもりのなかった製品やサービス、または購入を継続したくない製品やサービスに対して、定期的な支払いを消費者に課す可能性がある。

　たとえば、FTCはオンライン児童教育サービス会社「ABCmouse.com」に対する訴訟では、オンライン学習サイトが「簡単なキャンセル」を約束していたにもかかわらず、無料トライアルやサブスクリプション・プランのキャンセルを非常に困難にしていると主張した。サブスクリプションをキャンセルしたい消費者は、多くの場合、会社の Web サイト上で①見つけにくく、②長く、③わかりにくいキャンセル・パスをたどり、④数ページにわたるプロモーションやリンクをクリックすることを強いられ、クリックすると消費者がかえってキャンセル・パスから遠ざかってしまった。

(3)重要な契約条件と追加料金(junk fees)の隠蔽: 一部のダーク・パターンは、製品やサービスの主要な制限を、消費者が購入前に目にすることのない密なサービス条件文書の中に埋め込むなど、消費者から重要な情報を隠したりすることによって機能させる。この戦術には追加料金ジャンク料金を埋め込むことも含まれる。企業は消費者を惹きつけるために製品の総額の一部のみを宣伝し、購入プロセスの後半になるまで他の必須な料金には言及しない。

　LendingClubに対する訴訟で、FTCはオンライン金融業者が目立つ画像を使用してローン申込者に特定の融資金額を受け取り、「隠れた手数料なし(no hidden fees)」で支払うと虚偽の約束したが、手数料に関する言及をツールチップ・ボタン(tooltip buttons)(注4)の背後や目立つテキスト文書の間に隠したと主張した。

(4)消費者を騙してデータを共有させる: こうしたダーク・パターンは、消費者にプライバシー設定やデータ共有に関する選択肢を与えるものとして提示されることがよくあるが、最も個人情報を漏らすオプションにおいて消費者を意図的に誘導するように設計されている。

FTC は、スマート TV メーカーである“Vizio”がデフォルト設定を有効にし、同社が消費者の視聴活動を収集して第三者と共有できるようにし、一部の消費者には見逃されやすい短い通知のみを提供していたと主張した。

　このスタッフレポートで詳述されているように、FTCは市場で使用されている進化しつつあるタイプのダーク・パターンに歩調を合わせるために取り組んできた。FTCは企業に対し繰り返し発生するサブスクリプションをキャンセルし、不要な製品を知らないうちに消費者に忍び込む’オンライン・ショッピング・カート、および不正なマーケティング・デザインを試す等、ユーザーが画面の迷路を十分ナビゲートする必要がある等を理由に訴えた。

　FTCは、公開会議で5対0で投票し、このスタッフレポートのリリース公開を承認した。

Ⅲ．FTCはターゲットとする” Amazon Prime ”およびパブリック・クリアリングハウスに対するアクションにおける違法なダーク・パターンを理由に告訴

　2023.8.14　付けローファームWilmer Cutler Pickering Hale and Dorr LLのレポートを仮訳する。著者はFrank Gorman、Benjamin Chapin、Reade Jacob、Julia M. Mayの各氏である。

Frank Gorman氏

Benjamin Chapin 氏

Reade Jacob 氏

Julia M. May 氏

　近年の連邦取引委員会(FTC)は、いわゆるダーク・パターンに対してより積極的な法執行姿勢を採用する意図を明らかにしている。すなわち、FTCは違法なダーク・パターンを定義して、「ユーザーをだまして操作し、ユーザーが他の方法では行わなかった決定を行わせ、害を及ぼす可能性のあるオンラインサービスの設計慣行」を含めた。以下述べる最近の2つの法執行措置において、既存の執行当局の下でのダーク・パターンの抑制にFTCが焦点を当てていることが確認され、規制当局による精査を引き出す可能性のあるデジタル設計手法の種類に関する有用な洞察が提供された。

(1)2023年6月21日、FTCは、Amazon Primeが操作的、強制的または欺罔的なユーザーインターフェイス(UI)設計を使用したと主張して、ワシントン西部地区連邦地方裁判所に訴状( 永久差止め、民事罰金、金銭的救済、衡平法上の救済)を提出した。つまり、ダーク・パターンは、消費者をだましてAmazon Prime のサブスクリプションサービスに登録させたとした。FTC委員長のリナ M．カーン(Lina M. Khan)(注5)（注6）、「 Amazonは人々を騙し、同意なしに定期購読に陥らせ、ユーザーをイライラさせただけでなく、多額の費用を費やした」と指摘した。

Lina M. Khan委員長

　具体的には、FTCの告訴状は、Amazonのダーク・パターンの使用は、(1)FTC法の第5条に違反する不公正な取引慣行であったと主張した。さらに (2) 「オンラインショッパー信頼回復法(Restore Online Shoppers’ Confidence Act :ROSCA)」(注7)違反、これは通常、消費者を保護するための開示、同意、キャンセルの特定の要件を満たさずに、ネガティブオプション・マーケティングを通じてインターネットでの商品またはサービスの販売を禁止する法律である。

　その1週間も経たない2023年6月27日、 FTCはさらなる法執行措置を発表し、「パブリッシャーズ・クリアリングハウス(Publishers Clearing House ：PCH)」がダーク・パターンを使用して同社の有名な懸賞図面を入力上で消費者にどのように誤解を与えたかという申立てに関し、消費者に 1850万ドル(約28億3050万円)を支払うことを要求する同意命令(consent order)(注8)を提案した。

　具体的には、FTCは、PCHが消費者に勝利または勝利の可能性を高めるために購入が“必要であり、懸賞エントリーが不完全であると消費者に信じさせたと主張した。 FTCは、PCHがFTC法第5条および「2003年無承諾ポルノおよびマーケティング攻撃を規制する法律(Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003 :CAN-SPAM Act)」(注9)の詐欺禁止規定に違反したと主張した。

　本件については、本節の後半で詳しく解説する、

　これらの法執行活動は、FTCが不公平、欺罔的、またはその他の方法で違法であると見なしているダーク・パターンのタイプに重要な明確さを提供した。消費者に面した幅広い業界にわたる企業は、この機会に、独自のオンライン設計プラクティスと製品フローを、その他のFTCガイダンスや2つの法執行措置で問題となっている慣行のカテゴリーに照らして検討することを勧める。

　FTCの消費者保護局局長がPCH同意命令に付随する声明で述べたように、不正な設計手法を展開し続けている企業が通知されており、企業はFTCを真正面から受けとめるべきである。

　FTCは施行方針声明に続き、2022年9月にスタッフ報告書を発表し、欺瞞的なダーク・パターンとみなす特定の慣行を指摘した。たとえば、スタッフレポートは、製品やサービスの主要な制限を、消費者が購入前に目にしないサービスの用語の中に埋め込むなど、消費者から重要な情報を曖昧にする慣行を非難した。また、同レポートは、消費者が同社の Web サイト上で見つけにくく、長く、わかりにくいキャンセル・パスを移動し、プロモーションやリンクの数ページをクリックして、クリックするなど消費者をキャンセル経路から遠ざけた。 FTCスタッフ報告書によると、こうした実務慣行は、電子商取引、Cookie同意バナー、子供向けアプリケーション、サブスクリプション販売など、幅広い業界や状況で発生していることが判明した。

　これら法執行と並行して、2023 年 4 月に FTC は、売り手がいわゆる「ネガティブ・オプション・オファー(negative option offers)」(注10)を採用するための法的要件を大幅に拡大する「規則制定案告示 (Notice of Proposed Rulemaking ：NPRM)」を公布した。ネガティブ・オプション・オファーとは、売り手は、顧客の沈黙または行動の失敗をオファーの受諾と解釈する必要があるというもの。通常、ネガティブ・オプションの取り決めには、自動更新、継続プラン、無料から有料への変換、または有料から有料への金額変換、および事前通知プランが含まれるが、これらに限定されない。

　FTCは長い間、「復元オンライン購入者信頼法(Restore Online Shoppers’ Confidence Act :ROSCA)」、「テレマーケティング販売規則(Telemarketing Sales Rule ：TSR)、「送り付け商法（ネガティブ・オプション）規制法 (39 U.S. Code § 3009 - Mailing of unordered merchandise)、電子資金移動法(Electronic Fund Transfers Act)などの法律の部分修正やFTC法の第5条に基づくその広範な権限に基づき、有害かつ否定的なオプションの慣行の廃止に取り組んできた。 FTCが推論した新しい提案されたルールは、“既存の法律と規制のパッチワークが業界と消費者にメディアとオファー全体で一貫した法的枠組みを提供しないため、絶対に必要であった。

　新たに提案された規則案は、既存のFTCが取り組んできたパッチワークの法的枠組みを拡張し、次のような特定の変更を行う。 (1)単純なキャンセル・メカニズム(サブスクリプションを開始するのと同じくらい簡単にキャンセルできる)、(2)キャンセル・プロセス中に追加のオファーを行う前の新しい要件, (3)自動更新のリマインダーと確認に関する新しい要件を追加する、(4) 規則の違反には、確定した場合、売り手は民事罰および損害賠償訴訟等を起こされることになる。

2． Amazonに対するFTCの法執行措置

　FTCはAmazonへの告訴で、同社が何百万もの消費者にさまざまなダーク・パターンを使用して無意識のうちにAmazon Prime サブスクリプション・サービスに登録させたと主張した。また、サブスクライバーに迷路のようなキャンセル・プロセスを強制することにより、これらのサブスクリプションをキャンセルすることを困難にしていると主張した。Amazon Primeは、Amazonの有料サブスクリプションサービスである。 139ドル(約21000円)の年会費で、加入者は(1)製品の無料の迅速な配達、(2)無料動画のストリーミングコンテンツ、2)食料品の配達などの特典にアクセスできるとある。 FTCは現在、Amazon Primeの登録とキャンセルのプロセスが、FTC法の第5条とROSCAの双方に違反して、ダーク・パターンを活用したと主張している。

　まず、FTC は、Amazon が、モバイルデバイスを使用する消費者が「ウェブページの下部までスクロールすることによってのみアクセスできる「細かい文字を精査せずに、目立つオプションを選択する可能性を高くした。こうした取引慣行を通じて、アマゾンは顧客が購入を完了する前にプライムの重要な条件について「明確かつ目立つ開示を提供できていない」と FTC は主張した。また、FTC 法および ROSCA に違反して請求情報を収集する前に、「一切開示しない」ことを規定していると主張した。

　具体的には、FTC は Amazon Prime に関連して使用されたと主張する 6 つの特定のダーク・パターンを特定した。

　FTC はさらに、Amazon がプライム加入者向けに迷路のような解約プロセスを意図的に作成したと告発しており、同社はこれをキャンセル手続の迷路「イリアス・フロー(Iliad flow)」(注11)と呼んでいるとされている。FTC の訴状で主張されているように、プライムの解約フローでは、加入者は「4 ページ、6 ページの手順」をナビゲートする必要があった。 FTC によると、このキャンセル・フローは、消費者がメンバーシップをキャンセルしようとするのを遅らせたり阻止したりするダーク・パターンに依存しており、その結果、顧客は同意なしに不当に追加料金を請求されることになる。これは FTC 法に違反し、ROSCA に違反して定期的な請求を終了するための簡単なメカニズムを消費者から剥奪するものである。

　具体的には、FTCは、Amazon Primeに関連して使用されたと主張する以下の6つの特定のダーク・パターンを特定した。

(1) 強制されたアクション(Forced Action): FTC は、「強制されたアクション」につき、特定の機能にアクセスするためにユーザーに特定のアクションまたはプロセスの実行を強制するあらゆる設計と定義する。 FTCは、Amazonがプライムの登録フローで消費者に購入を完了させる前にプライムに登録するかどうかの選択を強制するという強制措置を利用していると主張した。さらにFTCは、Amazonが消費者に定期購入をキャンセルするために複数の画面を通過させることにより、イリアス・フロー(Iliad flow)といえる強制的アクションを使用したと主張した。

(2) インターフェイス干渉(Interface Interference): FTC は、「インターフェイス干渉」を、ユーザーインターフェイスを操作して、他の情報と比較して特定の情報に特権を与えるあらゆる設計と定義した。 FTCは、AmazonがPrimeの登録フローにおいて、購入手続き中に一度だけ利用規約を表示し、その後は見落としやすい小さなフォントで利用規約を明らかにすることにより、インターフェース干渉を使用したと主張した。FTCによると、アマゾンはまた、消費者の注意を「送料無料」という言葉に誘導し、プライムの価格から遠ざけるために、文言の繰り返しや色彩を使用しており、それが一部の消費者がインフォームド・コンセントを提供せずに登録することにつながったとFTCは考えた。

(3) 解約手続のゴキブリホイホイ的妨害 (ローチモーテル(Roach Motel): FTC は、「妨害」を、ユーザーが特定の行動をとるのを妨げる手順を追加することで、意図的にプロセスを複雑にするあらゆるデザイン(注12)と定義した。妨害行為は、その名を冠したモーテルにゴキブリが侵入するように、「（消費者は）チェックインするのにチェックアウトしない」ことから、「ゴキブリのモーテル」としても知られている。 FTCは、Amazonが登録を拒否するオプションを見つけにくくし、Iliadフローで消費者がプライム会員をキャンセルできる機能を見つけにくくすることで、ローチ・モーテリングを導入したと主張している。

(4) 故意に誤つた指示を行わせる(Misdirection): FTC は、“Misdirection”を、別のことからユーザーの注意をそらすために、あるものにユーザーの注意を引き付けるデザインと定義している。 FTCは、AmazonがPrimeチェックアウトの登録フローに“Misdirection”を使用し、非対称の選択肢を提示することで、Primeへの登録をしやすくするものだと主張した。さらに、FTC によると、Amazon のチェックアウト登録フローの特定のバージョンでは、消費者にプライムを拒否するためのあまり目立たない青色のリンクしか提供していない。

　さらにFTCは、Iliadフローが“Misdirection”を利用して、プライムをキャンセルする試みを完了するよりも簡単にキャンセルできるようにしていると主張している。 FTCによると、「Amazonは、アニメーション、対照的な色の青、テキストなどの誘引要素を使用して、消費者の注意を『キャンセルを続ける』ではなく『後で通知する』や『特典を維持する』オプションに引いている。

(5) 関連情報を隠したり、その開示を遅らせたりする「こそこそ“Sneaking”行為」: FTC は、“Sneaking”を、関連情報を隠したり、その開示を遅らせたりするあらゆるデザインと定義する。 FTCの訴状によると、「Amazonは、価格や自動更新属性を含むプライムの登録チェックアウトフロー中に、プライムの利用規約を明確かつ目立つように開示しない」こと、および消費者のカートに「プライムの価格や自動更新機能を表示しないことによって、“Sneaking”を利用している」としている。

(6)コンファーム・シェイミイング（羞恥心や罪悪感の植え付け）(Confirmshaming)(注13)：最後に、FTC は「コンファーム・シェイミイング」を、消費者に好意的な選択肢を選ばせるよう、好意的でない選択肢を中心に感情的な文言を使用するデザインと定義しているが、このカテゴリーのダーク・パターンに関連する申立てでは完全に編集されている。

　FTC は以前、法執行措置はダーク・パターンの取締まりであると説明していたが、Amazon の告発は、FTC が欺瞞的なダーク・パターンとみなす特定の慣行についてこれほど詳細なレベルを提示したのは初めてである。

３. PCH に対する FTC の法的強制措置

　Amazonの発表からわずか数日後に出された「パブリッシャーズ・クリアリングハウス（PCH）に対するFTCの法執行措置は、PCHがダーク・パターンを利用して消費者を騙し、懸賞に参加したり当選の可能性を高めるために製品を購入する必要があると信じ込ませたと主張している。告訴状によると、欺瞞は PCH のホームページから始まり、そこで消費者は実際に懸賞に参加できないボタンであるWIN IT!」または「一生勝ちます！」をクリックしてフォームに記入するが、その代わりに、消費者はエントリーを提出する機会が与えられる前に、数ページの広告を読み進めなければならない。また、顧客が懸賞に応募した後、PCH はあたかも追加の措置を講じなければ失格の危険があるかのように装う電子メールを送信する。これらの電子メールは消費者を PCH の電子商取引サイトに送るだけであり、消費者はそこで懸賞の応募に影響を及ぼさない追加の広告に遭遇する。懸賞の応募後に送信される誤解を招く電子メールは CAN-SPAM Act違反である。

　FTC の訴状では、PCH が展開する 3 つの具体的なダーク・パターンを挙げている。

(1)トリックな言葉遣いや視覚的干渉を使用して、商品の「注文」と懸賞への「応募」を結び付けて消費者を混同させる。

(2) 開示内容を小さくて軽いフォントで、あえて消費者が目にしにくい場所に配置する。消費者に電子メールを大量に送信し、電子メールをクリックしてすぐに行動を起こすよう心理的圧力をかけたり、懸賞に参加したり当選したりする機会を失う危険を冒すこと等を誘う。

(3)消費者は注文なしで懸賞に参加することが困難になる。

　FTのカーン委員長とスローター(Rebecca Kelly Slaughter)委員およびベドヤ(Alvaro Bedoya)委員は、この裁判行動に伴う声明の中で、PCHの行動を「デジタル詐欺を煽り、消費者に損害を与えるために違法なダーク・パターンを使用する企業を取り締まるこれまでの取組みを基礎とするものである」と述べた。これら委員は、ダーク・パターンの結果として消費者が苦しむのは直接的な経済的損失だけではないと説明した。むしろ、PCHの訴訟は、消費者の無駄な時間に対する補償を獲得するというFTCの勝利を意味すると彼らは説明した。

Rebecca Kelly Slaughter 氏

Alvaro Bedoya 氏

　提案された裁判所命令は、PCH に対し、ウェブサイト上での顧客の混乱を防ぐための措置を講じることを要求している。たとえば、顧客に注文につながるボタンが表示された場合、PCH は次の文を表示する必要がある。「懸賞に参加するために何も購入する必要はなく、購入したからといって当選するわけではない」ことを理解させる。また、消費者を PCH の電子商取引プラットフォームに誘導する可能性のある電子メールでは、企業は次のように述べなければならない。「購入しても当選確率は向上しない」

４．その他の消費者向けビジネスへの影響

　Amazon と PCH ヘの訴訟は、FTC が不公平、欺瞞的、またはその他の違法なダーク・パターンとみなしている特定のタイプのデザイン慣行について重要な明確さを提供し、自社のオンライン・デザインの健全性を調査しようとしている他の消費者向け企業にとってのガイドとして役立つ。

　電子商取引プラットフォームやサブスクリプション・ベースのモデルを展開している企業、あるいはオンライン・マーケティングに大きく依存している企業は、現在の規制環境においてデザイン関連のリスクを適切に特定して制御していることを確認するために、さまざまな措置を講じることができ、またそうすべきである。これらの手順には次のものが含まれる場合がある。

(1)登録/サインアップのフローを確認する: 企業は、この機会を利用して、Amazon の告訴で取り上げられている慣行の種類に目を向けて、既存のオンライン顧客フローと関連する設計原則を確認する必要がある。今日の簡単なチェックにより、製品フローやその他の設計上の決定を改善または合理化する機会が見つかる可能性がある。これにより、潜在的なダーク・パターンに関連する規制リスクが軽減されるだけでなく、顧客とのコミュニケーションが改善され、収益も向上する。

(2)シンプルなキャンセル方法を検討する: 同様に、企業は既存のキャンセルフローを調査して、その結果を達成するための「シンプルなメカニズム」を提供していることを確認する必要があります。潜在的には、消費者がサービスを登録するのと少なくとも同じくらい簡単にサービスをキャンセルできるようにするべきである。FTC が提案したネガティブ・オプション・ルールと Amazon に対する強制措置に沿って、企業は見つけやすく使いやすいシンプルなキャンセル・プロセスを備え、消費者が登録に使用したのと同じ方法 (例: ウェブサイト、電子メールアドレス、または他のアプリケーション）を提供すべきである。

　インターネット上の販売者は、サインアップに使用したのと同じ Web サイトまたは Web ベースのアプリケーション上で、アクセス可能なキャンセルメカニズムを提供する必要がある。販売者がユーザーに電話を使用したサインアップを許可する場合は、少なくとも電話番号を提供し、その番号へのすべての通話が通常の営業時間内に応答されるようにする必要がある。簡単に言うと、企業は消費者にサブスクリプション・プランをキャンセルするために面倒な手続き・厳しい審査など〕複雑な［何段階もの］手順を踏むことを避けるべきである。

(3)サブスクリプション・プランに関する明確な開示: 最後に、送り付け商法(negative option)のサブスクリプション・プランを採用している企業は、すべての重要な条件が事前に明確かつ目立つように開示されていることを確認するために、少し時間をかける必要がある。また、その開示には、告発を避けるために取るべき措置と、その措置が必要となるスケジュールを含める必要がある。

　まだ最終決定されていないが、FTC が提案している改正ネガティブ・オプション・ルールでは、消費者の請求情報を取得する前に次の情報が必要になる。 ① 該当する場合、消費者の支払いが定期的に行われること、② 消費者が停止するために行動しなければならない期限、③ 消費者が負担する可能性のある費用の金額またはその範囲、④ 料金の支払いが提出される日付、⑤ 消費者が定期的な支払いをキャンセルするために使用できるメカニズムに関する情報。(注14)

　もちろん、ダーク・パターンは違法であり、サブスクリプションのキャンセルはサインアップと同じくらい簡単でなければならないというFTCの決定の実現可能性と範囲についてはなお未解決の疑問がある。

　FTC は、ダーク・パターンの定義を満たす行為が、特定の事件の特定の事実に基づいて不当または欺瞞的であることを証明できるかもしれないが、事実のパターンが「強制されたアクション(Forced Action)」または「コンファーム・シェイミイング（羞恥心や罪悪感の植え付け）の定義を満たすことを示すには十分ではない。

　結局のところ、FTC 法は「ダーク・パターン」を禁止しているのではなく、数十年にわたる判例法を通じて発展してきたように、不公平と欺瞞を禁止している。欺瞞を証明するために、FTC は依然として、状況下で合理的に行動する消費者が重要な用語について誤解される可能性が高く、その責任を負うためにコピーテストまたはその他の外部証拠を使用する必要がある可能性があることを証明する必要がある。不公平を証明するには、FTC は、その行為が合理的に回避できない損害を引き起こし、またはその可能性があり、商業および競争上の利益を上回るものではないことを証明する必要がある。たとえば、ワンクリック・キャンセルには利点があるかもしれないが、キャンセル・フロー中の「保存」オファーは、サブスクリプションを低価格で維持したいと考えている消費者に多大なメリットを提供する可能性がある。節約オファーも価格競争を促進する可能性がある。

　しかし、FTC は、広く使用されている取引慣行を含む、ダーク・パターンを考慮した慣行に対する強制を明確な優先事項とする。競合他社の実践をベースラインとして見ることは、何の安心感もない。規制上の不確実性とリスクを回避するために、企業は登録とキャンセルのフロープロセスについて慎重かつ現実的な視点を持つ必要がある。既存の（PCH の場合は長期的な）慣行を取り締まるという FTC の決定が何かを示唆しているからである。 FTCが積極的な法執法を続けるかどうかは、Amazonに対する苦情訴訟やネガティブオプション・オファーに関する「規則制定案告示 (Notice of Proposed Rulemaking ：NPRM)」の経過を通じてより明らかになるであろう。

Ⅲ．FTCは、オンライン・サブスクリプションとキャンセル慣行に関する「ダークパターン」の苦情に3人のエグゼクティブを追加

　2023年10月9日のDuane Morris LLP.の解説「FTCは、オンライン・サブスクリプションとキャンセル慣行に関する「ダーク・パターン」の告訴状に3人の上級幹部を追加」を仮訳する。(なお、公正取引委員会はFTCが６月21日に行ったリリース文「FTCは消費者を同意なくAmazon Prime に登録し、キャンセルの試みを妨害したとしてAmazonに対して裁判行動を起こすーFTCの告訴は、合意のない定期購入と解約の策略に対する会社の認識上の不履行の詳細を概説しているー」要旨を仮訳している)(注15)

　連邦取引委員会(FTC)によるAmazonに対する最近の独占禁止法訴訟は多くの注目を集めているが、同委員会が以前に提出したAmazonに対する消費者保護訴訟は、Amazon幹部に重要なポイントを提供している。

　2023年9月20日、FTCはAmazon.com Inc.に対する告訴状を修正し、3人のAmazon幹部を個々の被告として追加した。訴状では、Amazonが「ダーク・パターン」を使用して、消費者が無意識のうちに Amazon Prime のサブスクリプションに登録し、サブスクリプションのキャンセルを困難にしたと主張した。FTCは、これらの訴訟は、FTC法の第5条「Unfair or Deceptive Acts or Practices」および「オンラインショッパー信頼回復法(Restore Online Shoppers’ Confidence Act :ROSCA)」。 6月に提出された最初の告訴状は、Amazonのみを指名していた。

１．FTCの主な追加告訴事項

(1)修正された告訴状は、不正行為に直接関与している幹部の個人の説明責任に関してFTCでの焦点が高まっていることを示している可能性がある。

(2)幹部がFTC訴訟で指名されることの潜在的な結果には、民事罰、その他の形態の金銭的救済、および永久的差止命令が含まれる。

２．FTCの追加告訴の主張内容と求められた救済策

　3人の幹部はすべてAmazon Prime を監督する上級副社長であり、そのうちの1人は現在Amazonのリーダーシップチームに所属している。修正された告訴状は、(1)3人の幹部全員が顧客が無意識のうちにAmazon Prime に登録していること、および(2)Amazonが加入者のキャンセルを防ぐために迷路 (labyrinthine) となるキャンセル手順を設計したことを知っていたと主張した。さらに、FTCは、(3)3人の幹部全員が登録およびキャンセル・プロセスを明確にするための内部の試みを遅らせるかあるいは拒否したと主張した。

　修正された告訴状は、内部の電子メール、メモ、プレゼンテーションでこれらの主張をサポートし、不明な登録と困難なキャンセルを既知の問題として識別した。これらの内部文書の一部は3人の幹部によって承認または受信されただけであったが、他の文書は幹部’自身の通信文であった。コミュニケーションには、Amazonの従業員から幹部へのメールが含まれており、Primeの登録とキャンセルのプロセスについて懸念が生じた。

　また、修正された告訴状は、Amazonと3人の幹部が特権の指定を誤用して文書を隠蔽したと主張し, たとえば、法的助言(legal advice)を要求しなかった大規模な通信において「弁護士に法的アドバイスを求めるべき(seeking counsel)」というフレーズを追加することによって、FTCは、この実務慣行は、被告らが調査される可能性が高いことを理解したことを示していると主張した。

３．FTCが告訴状で指名したAmazonの幹部の役割の重要性

　Amazonの幹部を主要なリーダーシップの役割に追加する修正された告訴状は、個人の説明責任に関する機関での焦点の増加を示している可能性がある。

　このような消費者保護問題裁判の場合、FTCが個人や企業を被告として指名することは珍しいことではない。ただし、そのような場合には通常、指名された幹部が被告事業の唯一の所有者または別法人格(alter ego )である小企業が関係する。

　しかし、近年、FTCは大企業の幹部の名前を告訴状に付け始めた。

　2022年、FTCはDrizly LLCとそのCEOの両方をデータ侵害(データ侵害とは、社内の脅威や外部からの攻撃者が、医療記録、財務情報、個人識別情報（PI）などの機密データまたは機密情報に不正にアクセスするセキュリティインシデント)で訴えた。この訴訟は同意命令(consent order)で終わったが、CEOは、25,000人以上の情報を収集する企業の過半数所有者、CEO、またはセキュリティ責任を持つ上級役員である場合、情報セキュリティトレーニングを実施する必要があるとされた。

４．セキュリティ責任を持つCEOまたは上級役員の指名

　この訴訟の被告としてCEOを指名することで、FTCは違法行為とされる行為に直接関与した個々の幹部の責任を追及するのではなく、抑止のメッセージを送っているように見えた。実際、元FTC委員のロヒット・チョプラ(Rohit Chopra)氏(現金融消費者保護局長)とレベッカ・スローター(Rebecca Slaughter)委員は、大企業の個人の名前を明らかにすることを支持し、それが抑止の手段であることを強調してきた。また、ドライズリー事件(Drizly, LLC.)　(注15-2)では、元FTC委員のクリスーティーン・ウィルソン(Christine S.Wilson)氏が、一般にCEOは問題のある慣行についての知識や関与がほとんどないため、CEOが個人的に責任を問われるべきではないと主張した。 FTC委員長のリナ・カーン氏はこれに反対し、「大企業を監督することは、他の優先事項を優先して法的義務を後回しにする言い訳にはならない」と述べた。

Rohit Chopra 氏

Christine S.Wilson 氏

　しかし、今回修正された訴状で名前が挙がったAmazon幹部らは、違法行為に積極的に参加していたと言われている。FTC によると、幹部 3 人は、問題のある実務慣行を阻止する権限を与えられた役職に就いている。これらの実務慣行を止めるのではなく、継続することを許可した。そして証拠には、違法行為の疑いを助長するこれら幹部自身の通信も含まれていた。

結論

　Amazonのプライム・プログラムに責任を負った幹部3名を名指しすることで、FTCは、たとえ大企業であっても違法行為に積極的に参加する幹部はFTCの消費者保護訴訟の被告として指名されるリスクがあることを示唆した。FTC の訴訟で名前が挙げられると、経営幹部が受ける影響は重大になる可能性がある。 Amazonプライムの訴訟では、企業と個々の被告は各違反ごとに最大5万120ドル(約766万8360円)の民事罰金を科される可能性があり、場合によっては他の形式の金銭的救済も行われる可能性がある。さらに、幹部は永久差止命令の対象となる可能性もある。

　最後に、消費者と取引するすべての企業の経営者は、FTC が、企業による不当または欺瞞的な行為または慣行を促進する行為について、個人の責任を追及しようとする可能性があることを認識する必要がある。

Ⅳ．EUのダーク・パターン規制のあり方・スタンスおよび欧州データ保護会議 (EDPB) 、ソーシャルメディアインターフェースにおける「ダーク・パターン」の使用に関するガイドライン草案を公開の概要

１．Covington & Burling LLPの解説ブログ「2023.1.31The EU Stance on Dark Patterns」を仮訳する。

　2022 年 3 月 21 日、欧州データ保護会議 (EDPB) は、3 月 14 日に開催された EDPB 本会議の後、

「ソーシャルメディア・プラットフォーム・インターフェイスのダーク・パターンに関するガイドライン 3/2022 草案(Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them　Version 1.0) 」(以下、「ガイドライン」)という) を発表した。ガイドラインの明記された目的は、ソーシャルメディア・プラットフォームのデザイナーとユーザーの両方に、EU の一般データ保護規則 (GDPR)で定められた要件に違反するソーシャルメディア・インターフェイスのいわゆる「ダーク・パターン」を特定し、回避する方法について実践的なガイダンスを提供することである。

　この意味で、ガイドラインは、GDPR に準拠した方法でプラットフォームとユーザー・インターフェイスを設計する方法を組織に指示するとともに、対象となる特定の慣行がどのように GDPR に反する可能性があるかをユーザーに教育する両方の役割を果たすものといえる。結果として、そのような行為に起因する GDPR の告訴の増加につながる可能性がある。現在、このガイドラインは 6 週間の公開協議の対象となっており、関心のある方は、こちらから EDPB に直接フィードバックを送信するよう求められている (「フィードバックを提供する」ダウンロードボタンを参照)。

１．ダーク・ パターンの 6 つの定義された包括カテゴリーの分類の設定

　EDPBはガイドラインの冒頭で、「ダーク・パターン」を「ユーザーが個人データの処理に関して意図的ではない、望まない、潜在的に有害な決定を下すように導く、ソーシャルメディア・プラットフォームに実装されたインターフェースとユーザーエクスペリエンス」と定義している。次に EDPB は、ダークパターンの 6 つの定義されたカテゴリの分類を提供した。

①過負荷 – 大量のリクエスト、情報、オプション、またはより多くのデータを共有するよう促す可能性によってユーザーを圧倒すること。

②スキップ – ユーザーが意思決定のすべてまたは特定のデータ保護側面を忘れる (または考慮しない) ような方法でインターフェイスまたはユーザーエクスペリエンスを設計すること。

③撹拌 – ユーザーの感情に訴えたり、視覚的なナッジを使用したりすること。

④妨害 – ユーザーが自分のデータの使用について知らされること、または特定のアクションを達成するのが困難または不可能にすることによってデータを制御することを妨害またはブロックすること。

⑤気まぐれ – 一貫性がなく不明瞭な方法でインターフェイスを設計するため、ユーザーコントロールの操作や処理の目的の理解が困難になること。

➅闇に放置 – 情報やプライバシー制御を非表示にしたり、データがどのように処理され、データに対して実行できる制御についてユーザーに不確実性を与えたりする方法でインターフェイスを設計すること。

　上記で概説したダーク・パターンの 6 つの包括的なカテゴリーの下で、EDPB は 15 の具体的なダークパターンの行動を特定し、ソーシャルメディアユーザーアカウントのライフサイクル中にそれぞれの行動がどのように現れるかを検討した。これは、EDPB が次の 5 つの段階の連続体である。

段階：（1）ソーシャルメディア・アカウントを開設する。 (2) ソーシャルメディアで最新情報を入手し続ける。 (3) ソーシャルメディア上で保護された状態を保つ。 (4) ソーシャルメディア上で個人データの権利を行使する。 (5) ソーシャルメディア・アカウントを離れる。

　EDPB は、ソーシャルメディアユーザーのライフサイクルにおける 5 つのユースケースを詳しく説明する前に、組織や個人がダークパターンの使用を検討する (および回避しようとする) 際に念頭に置くべき、以下のいくつかの基本的な GDPR 原則を強調している。

(1)公平性と透明性 (GDPR 第 5 条 (1)(a)): EDPB は、GDPR の公平性原則が、データ主体の個人データが有害、差別的、誤解を招く、または予想外の方法で処理されることを防ぐ「包括的な機能を果たす」ことを強調している。透明性に関しては、GDPR 第 12 条に従って、情報は「明確で平易な言葉を使用した、簡潔、透明、理解しやすく、簡単にアクセスできる形式」でデータ主体に提供されなければならない。これは、潜在的なダークパターンを調査する際の重要な考慮事項である。

(2)説明責任 (GDPR 第 5 条(2)): EDPB は、ソーシャルメディアプラットフォーム上のユーザーインターフェイス/ジャーニー自体が、ソーシャルメディアユーザーに対して GDPR 要件への準拠を示す方法として使用できると述べている。特に EDPB は、ソーシャルメディアプラットフォームの運営者に対し、GDPR の情報をどのように適切に満たしているかを示すために、インターフェイスのスクリーンショットを記録するだけでなく、定性的および定量的な調査 (A/B テスト、アイトラッキング、ユーザーインタビューなど) を実施することを奨励している。

(3)設計およびデフォルトによるデータ保護 (GDPR 第 25 条): EDPB は、設計およびデフォルトで効果的なプライバシーを確保するには、ここで特定の要素を考慮する必要があると指摘している。特に、データ主体の自律性と合理的な期待を尊重し、データ主体のデータ主体のデータ保護を可能にすることである。簡単な相互作用と権利行使、消費者の選択の促進と権力の不均衡の回避、データ主体を欺いたり、操作したり、誤解を与えたりしない客観的かつ中立的な方法での情報の提供である。

２．ソーシャルメディアユーザーのライフサイクルにおけるダーク・パターンを深く掘り下げる

　EDPB は、ソーシャルメディア・ユーザーのアカウント・ライフサイクルの 5 つの段階にわたるダークパターンの詳細な分析を提供し、各セクションを次のように分けている。(a) 関連するコンテキストの説明。 (b) 関連する法規定の概要。 (c) 特定のダーク・パターン (コンテンツ・ベースかインターフェイスベースかを問わず) をそれぞれ複数の例とともに調査する。 (d) ダークパターンを回避するためのベストプラクティスのリスト。

　以下に、ソーシャルメディアのライフサイクルのこれら 5 つの段階に関連した EDPB の注目すべき発言をいくつか挙げる。

(1)ソーシャルメディア・アカウントを開設するとき

①同意: EDPB は、ソーシャルメディアプロバイダーは、サインアップ段階で要求された場合に同意が区別できるように特別な注意を払う必要があると述べている。そうしないと、このオンボーディングのステップでユーザーがあまりにも多くの情報に圧倒され、すべてを読む気をなくしてしまうのにも関わらず、プライバシーポリシーをすべて読んだことを確認する必要がある同意が必要な場合、[プライバシーポリシーに] という名前が付けられるが、これは特別な条件への強制的な同意とみなされる可能性がある。ソーシャルメディア・プラットフォームのユーザーは、サインアップ段階でプラットフォームがシングルクリックで同意を取得した場合、ワンクリックで同意を取り消すこともできなければならない。

②データの最小化: EDPB はデータの最小化の原則にも焦点を当てており、ソーシャルメディアプラットフォームは追求される目的に客観的に必要な以上の個人情報を取得しようとするべきではないと明確に述べている。ここで EDPB は、電子メールアドレスも同じ目的 (たとえば、特定のユーザーが電子メールアドレスを所有していることを証明するため) に使用できるにもかかわらず、アカウントの 2 要素セキュリティ認証のために電話番号を要求するプラットフォームの例を挙げている。例えば、プラットフォームへのログインに使用されるデバイスの場合)。

③ダーク・パターンの例: EDPB は、ライフサイクルのこの段階でのさまざまなダークパターンの使用に焦点を当てている。これには、「感情操作」の使用、つまり、次のいずれかの方法でユーザーに情報を伝えるための言葉やビジュアルの使用が含まれる。(a)非常に前向きな見通しで、ユーザーに良い気分や安全を感じさせる。 (b) 非常に否定的な見通しで、ユーザーに不安や罪悪感を感じさせる。また、デフォルトのオプションとしてより多くのデータを共有するようにユーザーを誘導する。

(2)ソーシャルメディアで最新情報を入手する

①透明性(Transparency): EDPB は、GDPR には規範的な透明性要件があるものの (GDPR 第 12 条から第 14 条を参照)、「情報が多ければ多いほど良い情報になるとは限らず、無関係または混乱を招く情報が多すぎると、重要な内容がわかりにくくなったり、コンテンツの価値が低下したりする可能性がある」と強調している。

　したがって、EDPB は、包括的な情報と容易なアクセス性の間で適切なバランスをとる、多層的なプライバシー通知の使用を推奨している。 EDPB は、これを、矛盾する情報や論理的一貫性を欠く情報、曖昧な表現を提供する情報、特定の情報を見つけにくくすることでユーザーに過大な負担をかける情報などのダーク・パターンの使用と対比している。ここでも EDPB は、フィードバックを取得し、関連情報を確実に理解できるようにするために、ユーザーに対して階層化されたプライバシー通知の使用をテストすることを推奨している。

②共同管理者(Joint Controllership): EDPB は、共同管理者に共同管理者取り決めの本質をデータ主体に開示することを義務付ける。 GDPR 第 26 条の規定により、共同管理者に追加の透明性義務が課せられ、これには特定の状況ではソーシャルメディアプラットフォームが含まれる可能性があることに留意している。

③データ侵害の伝達(Communication of Data Breaches:): EDPB は、データ侵害に関する不特定または無関係な情報をデータ主体に提供することに対して警告している。たとえば、処理者のデータ侵害が管理者のセキュリティ侵害ではないことを示すなどである。侵害の重大性は、データ主体への影響ではなく、プラットフォームまたはそのプロセッサへの影響によって左右されることを示唆している。また、どの特定の種類の特別なカテゴリーの個人データが侵害で流出したかを示すものではない。

(3)ソーシャルメディア上での保護を維持する

①同意: ここでも EDPB は、ターゲットを絞った広告 (e-プライバシー指令に基づく Cookie およびトラッカーの使用に関する義務が適用される場合を含む) など、さまざまな処理目的でソーシャルメディア・ユーザーが同意を付与または撤回するために提供される手段および同意の撤回を妨げるために使用できるダーク・パターン行動の種類に焦点を当てている。

②ユーザー・コントロール: EDPB は、ユーザー・コントロールの表示におけるダーク・パターンについて懸念を提起している。特に、ユーザーが選択できるオプションやメニュー (またはサブメニュー) が多すぎる場合、それらは明確な機能を提供するのではなく、不明確または論理的に矛盾する可能性がある。集中型とは、プライバシーの選択を管理することを意味する。注目すべきは、EDPBが、「ソーシャルメディア・プラットフォームのユーザーが設定を変更する際に必要な平均歩数に関しては、『すべてに適合する万能のアプローチ』はない。その数値は必要な手順の数値はできるだけ少なくする必要がある」と述べていることである。

(4)ソーシャルメディア上での個人データの権利の行使

　ここで EDPB は、ユーザーを無関係なページにリダイレクトすることでユーザーを「行き止まり」に導く、不十分または曖昧な開示を提供する、個人データの権利を行使するためにユーザーを「プライバシーの迷路」に導く、ユーザーに情報を提供しないなどのダーク・パターンに関する懸念を提起している。権利を行使するためのフレンドリーな方法 (例: データのコピーをダウンロードするための直接リンク)、および特定の手順を必要以上に長くすること (例: 特定のアクションを実行したいと「確信している」かどうかをユーザーに尋ねるなど)などをあげている。

(5)ソーシャルメディア・アカウントを離れるときの留意点

　EDPB は、正当な理由なく消去権の行使が困難になった場合、これは GDPR 違反となり、ソーシャルメディアアカウントの削除を求めるユーザーの要求は暗黙の同意の撤回として理解される必要があると述べている ( 信頼されている場合)、GDPR 第 7 条 (3) に基づいて処理される。

　またEDPBは、現段階でユーザーを「プライバシーの迷路」に誘導してアカウントを削除したり、ユーザーを感情的にアカウントを維持するよう誘導したり、あいまいな情報や混乱を招く選択肢を提供したり、削除プロセスが中断される「死」に導くダーク・パターンについても懸念を表明している。

結論

　これらのガイドラインは、ヨーロッパおよびその他の管轄区域全体における広範な傾向の一部であり、規制当局や裁判所は、消費者を欺いたり、操作したり、不当に影響を与えたりしていると解釈される可能性のある方法でウェブサイト、プラットフォーム、またはその他の消費者向けインターフェースを提供する組織の責任を追及している。プライバシー保護の選択肢が少なくなる。この点で、上で強調したように、これらのガイドライン (特に EDPB によって特定されたベストプラクティス) は、欧州のプライバシー当局からの精査を受ける可能性のある慣行を避けたいソーシャルメディア分野以外の組織にとって有益となる可能性がある。さらに、EDPB が指摘しているように、ダークパターンは消費者保護法に違反する可能性もあり、これらの行為を行った当事者が二重の執行体制にさらされる可能性がある。

２．欧州データ保護会議 (EDPB) 、ソーシャルメディアインターフェースにおける「ダークパターン」の使用に関するガイドライン草案を公開：解説ｂlogの要約

　Covington & Burling LLPの解説blogを以下、仮訳する。筆者はNicholas Shepherd氏、Daniel P. Cooper 氏である。

Nicholas Shepherd 氏

Daniel P. Cooper 氏

　2022 年 12 月 9 日、欧州委員会の司法・消費者保護担当委員、ディディエ・レインダース(Didier Reynders)氏(ベルギー代表)は、欧州委員会が次の 2023 年の任務を、オンライン広告市場の透明性や Cookie 疲労と並行してダーク・パターンの規制に焦点を当てると発表した。この義務の一環として、EU の消費者保護協力 (EU’s Consumer Protection Cooperation ：CPC) ネットワークは、399 の小売 Web サイトとアプリのダークパターンの徹底的な調査を実施し、オンラインショッピング Web サイトの 40% 近くが消費者の脆弱性を悪用かつ騙す操作的行為に依存していることを発見した。

Didier Reynders氏

　これらの問題を強制するために、EU にはダーク・パターンを規制する単一の法律は現状はないが、ダーク・パターンについて議論し、消費者をダーク・パターンから保護するツールとして使用される可能性のある複数の規制がある。これには、「一般データ保護規則 (General Data Protection Regulation (GDPR)」、デジタル・サービス法 (Digital Markets Act：DSA)、デジタル市場法 (Digital Markets Act：DMA)、不公正商行為指令 (Unfair Commercial Practices Directive「UCPD」(注16)、およびAI法(Artificial Intelligence Act)やデータ法(Data Act)(注17)など規制案が含まれる。

１．ダーク・パターンに関する法的枠組み

　EUで「ダーク・パターン」という用語には単一の定義はないが、特にマイナスの結果につながる場合、消費者に意図していないことややりたくないことをさせる操作的または欺瞞的な行為を指す。例えば以下のとおり。

(1)欧州データ保護会議 (EDPB) は、「ダーク・パターン」を「ユーザーの行動に影響を与えることを目的として、個人データに関して意図的ではない、望ましくない、潜在的に有害な決定をユーザーにさせるソーシャルメディア・プラットフォームに実装されたインターフェイスおよびユーザー・エクスペリエンス」と定義している。 EDPB は、ダーク・パターンを、(1) 過負荷(overloading)、(2) スキップ(skipping)、(3) 動揺させる(stirring)、(4) 妨害(hindering)、(5) 気まぐれ(fickle)、(6) 暗闇に放置(left in the dark,)の 6 つのカテゴリーも定義し、これらについては、ブログ記事「EDPB、ソーシャルメディアインターフェースにおける「ダーク・パターン」の使用に関するガイドライン草案を公開」で詳しく説明している。

(2)提案されているデータ法(Data Act)でも同様に、「ダーク・パターン」を「消費者にマイナスの結果をもたらす決定を押し付けたり欺いたりする設計手法またはメカニズム」と説明されている。これらの操作手法は、ユーザー、特に弱い立場にある消費者を説得して望ましくない行動をとらせたり、データ開示取引に関する意思決定を誘導したり、サービスのユーザーの意思決定に不当にバイアスをかけたりすることでユーザーを欺くために使用される可能性があり、ユーザーの自主性、意思決定、選択を覆し、損なう方法である。

　さまざまな説明にもかかわらず、「ダーク・パターン」の共通の特徴は、(i) 操作的または欺瞞的な性質、および (ii) その結果消費者にマイナスまたは有害な結果をもたらすことである。

　この「ダーク・パターン」という表現は EU の法律全体に浸透しており、さまざまな規則、ガイドライン、原則の中に見られる。したがって、組織が「ダークパターン」とは何か、そしてこれが自社の業務にどのような影響を与えるかを検討しようとする場合、たとえば次のような多数の規制を考慮することが重要である。

(1)GDPR と eプライバシー指令。

　GDPR と eプライバシー指令(注18)はダーク・パターンについて明示的に言及していないが、ダーク・パターンを規制する現在の法的枠組みの一部を形成している。たとえば、組織が GDPR に基づいて個人データを処理する法的根拠として同意に依存している場合、または eプライバシー指令に基づいて Cookie やマーケティングコミュニケーションについて同意を取得している場合、そのような同意を収集する際にダークパターンに関与している可能性がある。

(A) ソーシャルメディアプラットフォーム・インターフェイスのダーク・パターンに関する EDPB ガイドライン 03/2022 (「ガイドライン」) は、ソーシャルメディア・プラットフォームの「ダーク・パターン」を評価するための実践的な推奨事項を提供している。同ガイドラインでは、「ダーク・パターン」はユーザーが「自由に与えられた、具体的で十分な情報に基づいた明確な同意」を提供する能力を妨げる可能性があり、ひいてはデータ保護と消費者保護の観点からプライバシーの権利を侵害する可能性があると指摘している。実際の例として、組織は次のような場合に「ダーク・パターン」に陥る可能性がある。言葉やビジュアルの使用が、(a) 非常に前向きな見通しでユーザーに良い気分や安全を感じさせる、または (b) 非常に否定的な見通しのいずれかでユーザーに情報を伝える 1 つは、特にデフォルトのオプションとしてより多くのデータを共有するようにユーザーを誘導する方法で、ユーザーに不安や罪悪感を抱かせることである。ガイドラインの詳細については、本事務所のブログ投稿を参照されたい。

(B)CPC – EDPB の子供に対する公正な広告に関する共同原則(CPC – EDPB Joint Principles for Fair Advertising to Children)

2022 年 6 月 14 日、EU の CPC ネットワーク(Consumer Protection Cooperation Network)4/3(91)の代表者は、EU 内のいくつかの国家データ保護当局および EDPB 事務局とともに、子供に対する公正な広告のための 5 つの主要原則を承認した（プレスリリースを参照）。これらには、例えば、子供をターゲットにする可能性が高い広告やマーケティング手法を設計する際に、子供特有の脆弱性を考慮すること（特に、子供を騙したり不当に影響を与えてはならない）や、子供をターゲットにしたり、アプリ内またはゲーム内のコンテンツの購入を促したり、購入を促したりしないことが含まれる。このため、組織は子供を対象としたオンライン・インターフェイスを作成する際に、ダークパターンを避けるために十分な注意を払う必要がある。これらの原則と子供のプライバシーの詳細については、以前のブログ投稿を参照されたい。

(C)UCPD(不公正商行為指令)。不公正商行為指令 (Unfair Commercial Practices Directive:UCPD」は、契約締結前、契約締結中、契約締結後に消費者の経済的利益に影響を与える不公正な商行為を禁止している。 2021 年 12 月 29 日、欧州委員会は UCPD に関するガイダンスを発表し、UCPD がダークパターンをカバーしていることを確認し、UCPD の関連規定がデータ駆動型の企業間取引(BtoB)の消費者の商習慣にどのように適用できるかを説明するセクション (4.2.7) を割当てた。

　UCPD は、消費者の注意を引くなどの商行為を対象としている。これにより、サービスの使用を継続する (フィードをスクロールするなど)、広告コンテンツを表示する、またはリンクをクリックするなどの取引上の決定が行われる。これらの商慣行にダーク・パターンが含まれており、誤解を招く限りにおいては、UCPD に違反することになる。たとえば、ダーク・パターンは、オンライン広告に関連して平均的な消費者の経済行動を大きく歪める可能性があるため、UCPD に該当する可能性がある (ブログ投稿を参照)。

(D)DSA(デジタル・サービス法 (Digital Markets Act)

　DSA は、ユーザーの自由な選択を歪めたり損なったりする可能性のある、ダーク・パターンを含む欺瞞的または誘導的な手法 (同意のオプションを視覚的に目立つようにしたり、ユーザーに決定を繰り返すよう要求したり促したりするなど) を特に禁止している。さらに、DSA に基づいて、欧州委員会には、ダーク・パターンの範囲に含まれる可能性のある追加の商慣行を定義するための委任法を採択する権限も与えられている。 DSA の詳細については、ブログ投稿を参照。

(E)DMA(デジタル市場法 (Digital Markets Act：DMA)

　DMA はダーク・パターンについては明示的に言及していないが、ダーク・パターンと同様の方法で説明される義務をゲートキーパーに課している。たとえば、ユーザーの自由な選択と同意の撤回に関して、ゲートキーパーは「エンドユーザーが自由に同意する能力を欺いたり、操作したり、その他の方法で実質的に歪めたり、損なったりするような方法で、オンラインインターフェイスを設計、編成、運用してはなりません」。この目的を達成するために、DMA は、ユーザーが同意したときと同じように簡単に同意を撤回できる機能を提供し、追加の負担を回避させる。同意を撤回するための簡単なメカニズムをユーザーに提供しない場合は、ダーク・パターンとみなされ、DMA に基づく違反とみなされる。 DMA の詳細については、ブログ投稿を参照。

２．規制立法法案

　ダークパターンに関する規制は継続的に進化しており、特にダークパターンが消費者に与える悪影響がより多くの研究や調査によって明らかになっているため、新しい法律に組み込まれている。次の今後のルールでも、ダーク・パターンの使用が規制される。

(1)提案されているAI法(The proposed AI Act)

　提案されている AI 法は、EU 全体での人工知能システム (「AI システム」という) の開発、市場投入、および使用に関する規則を定めている。 AI 法はまだ立法過程にあるが、現在の提案では AI システム内でのダークパターンの使用が禁止されている。すなわち、この提案は、「人の行動を、その人を引き起こす、またはその可能性のある方法で実質的に歪めるために、人の意識を超えた潜在意識技術を展開する AI システムの市場投入、運用、または他人の身体的または精神的危害を加える使用を明確に禁止している。したがって、AI システムのメーカーは、ダークパターンのような欺瞞的な手法の使用が禁止され、ダークパターンの使用を避けるために、GDPR が推進する一般的なデータ保護原則、つまり透明性、説明責任、データの最小化などを考慮する必要があります。 AI システム内のパターン。提案されている AI 法の詳細については、当事務所のブログ投稿を参照。(欧州委員会専門サイト「Shaping Europe’s digital future」でAI法など最新情報が入手可)

(2)提案されているデータ法(The proposed Data Act.)

　提案されているデータ法は、ユーザーが接続された製品やサービスの使用を通じて生成されたデータにアクセスし、第三者に移植できるようにするなど、データへのアクセスと使用を促進することを目的としている。

　この一環として、このデータを受け取る第三者は、「ユーザーとのデジタルインターフェースにおいてユーザーの自主性、意思決定、選択を破壊したり損なったりすることにより、いかなる方法でもユーザーを強制、欺瞞、操作しない義務を負う。Recital 34 では、これは、サードパーティがデジタルインターフェイスを設計する際に、特に消費者がより多くのデータを開示するように操作する方法でダークパターンに依存すべきではないことを意味すると説明している。したがって、サードパーティは、GDPR で定義されているデータ最小化原則に準拠する必要がある。インターフェイスでダーク・パターンの実践を採用しないようにすべきである。( 提案されているデータ法の詳細については、ブログ投稿を参照)。

(3)デジタル公平性に関する公開協議(Digital Fairness Consultation)

　2022 年 11 月 28 日、欧州委員会はデジタル公平性に関する公開協議を発表しました。この協議は現在 2023 年 2 月 20 日まで開かれている。この協議の目的は、既存の消費者保護法（不公正商法など）を更新する必要があるかどうかを判断することである。オンライン世界のデジタル変革に適応するために、慣行指令、消費者権利指令、不当な契約条件指令などを遵守する。特に、欧州委員会は、既存の消費者保護法が、他の消費者保護上の懸念事項（パーソナライゼーションの実践、インフルエンサー・マーケティング、仮想アイテム消費者のマーケティングなど）の中でも、ダーク・パターンを含むオンラインの欺瞞的およびナッシング手法などの新たな消費者保護問題から消費者を保護するのに適切であるかどうかを検討する予定である。

　公開協議後、欧州委員会はスタッフ作業文書を公表する予定で、この文書はこれらの問題に対処し、ダーク・パターンをさらに規制する新たな立法提案を推奨する可能性がある。その一方で、EU はすでに次のようなダークパターンの施行を推進している。

(4)欧州委員会の新しい消費者アジェンダ（ダーク・パターンの義務化を含む）の一環として、2022 年 4 月に欧州委員会は、デジタル環境における不当な商行為に関する行動調査を発表した。この調査では、ダーク・パターンの使用と操作的なパーソナライゼーションを調査し、ダーク・パターンに関する懸念に対処するための既存の消費者保護法の潜在的なギャップ。欧州委員会は、この調査で特定されたオンライントレーダーに連絡し、特定された問題を修正するよう依頼する予定である。

　前述したように、CPC ネットワークは Web サイトやアプリでの「ダーク・パターン」の使用を特定するためにオンライン調査を実施した。欧州委員会のプレスリリースによると、調査対象となったオンラインショッピング Web サイトのほぼ 40% (399 件中 148 件) がこのサイトに依存していると記載されている。消費者の脆弱性を悪用したり、消費者を騙したりする操作的行為（例：偽のカウントダウンタイマー、隠された情報、消費者を購入、定期購入、またはその他の選択肢に誘導するように設計された Web インターフェース）。関連する加盟国の消費者保護当局は今後、関連する業者に連絡してウェブサイトを修正し、必要に応じてさらなる措置を講じることになる。

　2022年11月21日に発表された、取引アプリや取引ポータルでのダーク・パターンを禁止するドイツ連邦金融監督庁(Bafin)の声明(注19)で証明されているように、金融セクターなど分野ベースでの施行も予想される可能性が高い。

結論

　EUは、特にデジタル分野におけるEU消費者の権利をさらに保護するために重要な措置を講じており、企業がそのような目標を達成するための追加の勧告を提供し続けている。 EUはデジタル市場法とデジタルサービス法の採択、および今後の立法提案の交渉により、欧州の各機関はデジタル市場における透明性と説明責任の強化に向けて 2023 年に向けた調子を整えている。ダーク・パターンの規制に重点を置くことは、EU の多数の法律との関連性が示すように、広範囲に影響を与える可能性がある。さらに、ダーク・パターンの規制は単一の規制に拘束されないため、ダーク・パターンに対する施行の数は増加するであろう。たとえば、EU データ保護当局はダーク・パターンの使用や個人データの処理、デジタルマーケティングを調査するため、ダーク・パターンも施行の議題となっている。

***************************************************************************

(注1) サービスや商品を一定期間利用できる権利に対して料金を請求するビジネスモデルのこと。例：電子書籍、音楽配信、動画配信、ゲーム、洋服、車等

　サブスクリプションとは、商品やサービスを購入することなく、一定の期間、サービスや商品を利用できるビジネスモデルである。一般的に料金を支払っている間は、自由に商品やサービスを利用できるが、契約が終了するとそれらは利用できなくなる。

　ソフトウェアをサブスクリプション形態で提供するサービスも増えている。月単位、あるいは年単位で契約して料金を支払うと、その期間は対象のソフトウェアを利用できるという内容である。永続的にソフトウェアを利用できるライセンスを購入する従来の形式に比べ、安価にソフトウェアを使い始められ、短期間だけ利用する場合であればライセンスを購入するよりも安価であること、さらに企業で利用する場合にはライセンスを資産として計上する必要がないがメリットとなる。

　多くの企業が参入するサブスクリプションであるが、メリットばかりではなく、以下のデメリットもある。

①複数登録するとコストがかさみやすい

②利用しなくても毎月支払いが発生する

③解約すると手元にものが残らない

(注2) e-commerceとは、WEBサイト上で物品を販売するオンラインショップや、ソフトウェアなどデジタルコンテンツのオンライン販売、金融商品の売買取引をWEB上で行うオンライントレード、ネットオークションなども、eコマースの一つの形態である。

(注3) Cookieは、一般に、GDPRにおいては、「オンライン識別子」（GDPR 4条1項）として「個人データ」に該当するとされる。したがって、EU域外適用を含め、GDPRが適用される場合には、Cookieの取得には、原則として明示の同意が要求される。日本における規制について述べたところと同様、GDPRは個人情報保護法制の観点からの規制であり、電気通信にかかる法制の観点からは別の規制が適用されることとなる。それが、EUのe-privacy指令4/3(54)である（通称として「Cookie指令」と呼ばれることもある）。

　なお、e-privacy指令は2002年に制定されたものであり、2009年改正および2018年5月のGDPRの全面施行を経て、なお現在も有効なものである。(Business & Law LLPの解説から一部抜粋)　

(注4) ツールチップは、ユーザーがグラフィカルユーザーインターフェイス (GUI) 内の要素を操作するときに表示される短い情報メッセージをいう。(解説を仮訳、なお、その使用につきガイドラインがある。)

　Tooltipコンポーネントは、UI上のスペースが限られている場合に、以下のような補足テキストを一時的に表示するために使う。

・補足的な説明テキストを表示する場合

・アイコンだけのボタンにラベルを表示する場合

・省略されたテキストを全文表示する場合

　Tooltip内の情報は隠れるため、操作に必要な情報の表示への使用は避けるべきである。ユーザーが把握しておかないと操作が進められないような重要な情報は、常に明確に表示することを検討すべきである。

　また、重要な情報とは、フォームの入力に必要な情報などが該当する。具体例は次の通り。

・パスワードに使用できる文字や、エラーになる入力値などの入力要件

・入力エラーとなった際のエラーメッセージ

・操作補助になる情報（ショートカットなど）

(注5) リナ・M・カーン委員長（1989年3月3日生まれ、35歳）は英国生まれの米国法学者で、2021年から連邦取引委員会（FTC）の委員長を務めている。同時に彼女はコロンビア・ロー・スクールの法学准教授(常勤)でもある。

イェール大学ロー・スクール在学中に、法曹、実務界に大いなる影響力を与えた学生論文「Amazon独占禁止のパラドックス(Amazon's Antitrust Paradox)」(注6)を発表した後、米国における独占禁止法と競争法の研究で知られるようになった。

　バイデン大統領は2021年3月にカーン氏をFTC委員に指名し、彼女の承認を受けて2021年6月に同委員長に就任させた。FTCは彼女の任期中、非競争協定の禁止を推進し、反競争的行為に従事するヘルスケア企業等に対して訴訟を起こし、非競争慣行を批判し、Amazonに対して注目を集める訴訟を起こした。 2022 年、FTC と連邦司法省の独占禁止部門は、独占禁止を理由に記録的な数の合併を阻止した。(Wikipedia から抜粋、仮訳)

(注6) カーン委員長の有名な論文「Amazon's Antitrust Paradox」(Yale Law Journal)は無料でダウンロード可。

(注7) 米国では2010 年 12 月、オンラインに関連するデータパスマーケティングを禁止するオンラインショッパー信頼回復法（Restore Online Shoppers’ Confidence Act：「ROSCA」）が施行された。ROSCAは第三者である売手に対し、当初の販売事業者と関係がないことを含め、明確な事前宣伝販売情報の開示を消費者に提供することを義務付けている。さらにROSCAは、この種の売手が、消費者から、請求金額全額、消費者の連絡先及び消費者による「追加的確認行為」を含む明白な同意を消費者から直接得ることを求めている。

(注7-2) わが国では、Restore Online Shoppers' Confidence Actを「復元オンライン購入者信頼法」と100%訳している。

しかし、これは明らかに誤訳である。以下、同法の内容を仮訳、引用する。

(1)この法律は、取引後の第三者販売者（消費者が最初の販売者と取引を開始した後、最初の販売者を通じて商品やサービスをオンラインで販売する販売者）が、すべての資料を明確に開示していない限り、インターネット取引で金融口座に請求することを禁止している。取引条件を遵守し、料金に対する消費者の明示的な同意を得たものとします。販売者は、請求される口座の番号を消費者から直接取得する必要がある。(FTCの解説の訳)

(2)「オンラインショッパー信頼回復法」では、企業はネガティブオプション・マーケティング(オプトアウト・サブスクリプション・サービス)を使用して、以下の条件を満たさない限り、製品またはサービスをWeb経由でアメリカの消費者に販売することはできない。

【3つの法的要件】

①合理的な顧客が購入しているものを正確に理解する公正な機会を持つことができるように、購入の完全な条件は販売時に明確にされなければならない。

②販売者は、進行中のオプトアウト・サブスクリプション・プログラムに参加したいことを示す消費者からの明示的な同意を得る必要がある。もう一度、請求情報が取得される前に、販売者の特定の条件を明確にする必要がある。

③販売者は、いつでもサブスクリプションサービスをオプトアウトするための明確で明白なメカニズムを消費者に提供する必要がある。さらに、このオプトアウトは、不適切な面倒や過度の遅延なしに許可する必要がある。

　販売者が上記の3つのことのいずれかを実行しなかった場合, そもそも、サブスクリプションサービスを販売していたという事実を隠していたか、販売者が製品やサービスをキャンセルすることをほぼ不可能にしたため, その後、そのビジネスは連邦消費者保護法に違反している。あなたが偽のインターネット広告のためにかなりの金額を失った消費者であるなら、あなたは行動を起こす必要がある。(Pike&Lustig、LLPの解説4/3(80)から引用、仮訳)

(注8) 連邦取引委員会（FTC）の同意命令（consent order）:公正取引委員会資料「世界の競争法：米国」から一部抜粋した。

(2) FTCの事件処理手続

ア　審査手続

　FTCは、特定事件について審査を開始するときには、職員の中から審査官を指定し、これに審査を行わせる。審査官は、連邦取引委員会法第９条に基づく罰則付き命令（Subpoena）による書証提出命令、出頭命令等及び同法第20条に基づく民事審査請求（Civil Investigation Demand ：CID）による文書提出命令、口頭供述命令等を行うことができる。

イ　同意命令

　FTCは、違反事件の審査の結果、法的措置を採ることが相当であると判断したときは、まず、関係人にFTCの申立てを記載した文書（Complaint）及び排除措置命令案（Orders to Cease and Desist）を送付し、これらの内容につき交渉し、合意に達した場合には、合意内容を踏まえた同意命令案を作成し、委員会の議決を経て、通常30日間のパブリック・コメントを行う。その後、再度委員会の議決を経て、同意命令（Consent Order）を発出する。

　また、下記ウの審判開始決定後であっても、同意命令の手続を行うことができる。審判開始決定後、被審人との間で同意された同意命令案が審判官を通じてFTCに付託される。この場合も、同案を官報に掲載し、一般からの意見を求めることとなる。FTCは、当該意見等を考慮して、再審査を行い、同意命令を発出する。

　同意命令は、審判手続を経た命令ではない。したがって、同一の事案について後に損害賠償請求訴訟が提起されても、同意命令による事実や違法性についての推定といった効果は発生しない。

【補足説明】

・いわゆる裁判上の和解。効率的な紛争解決手段として多用されている。

・同意判決・同意命令に対しては上訴できない。

・その後の民事の損害賠償請求訴訟において証拠価値をもたない。

・第三者意見聴取あり。

(注9) 2003年のCAN-SPAM法（Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003）は、PCによる商業メールを送信する者の要件を定め、スパマーやスパムで製品を宣伝している企業が法律に違反した場合の罰則を明記し、消費者にスパムメールの停止を求める権利を与えた。

2004年1月1日から施行されたこの法律は、ウェブサイト上のコンテンツを含め、商業的な製品やサービスの広告や宣伝を主な目的とするPC向け電子メールを対象としている。取引や関係のあるメッセージ. 合意された取引を促進する、または既存のビジネス関係における顧客を更新する電子メールは、虚偽または誤解を招くような経路情報を含まないが、それ以外はCAN-SPAM法のほとんどの条項から免除される。

CAN-SPAM法の施行は、米国の消費者保護機関である連邦取引委員会（FTC）が権限を有する。 CAN-SPAMはまた、司法省（DOJ）にその刑事制裁を執行する権限を与えている。また、他の連邦政府機関や州政府機関は、その管轄下にある組織に対して同法を執行することができ、インターネットアクセスを提供する企業も同様に違反者を訴えることができる。

　一方、連邦通信委員会（FCC）は，携帯電話やポケットベルにユーザーの承諾がない商用電子メール（スパム・メール）の送信を禁じる規制法案4/3(108)を可決したことを， 8月4日に発表した。米国議会は2003年、スパム対策法「Controlling the Assault of Non-Solicited Pornography and Marketing（CAN-SPAM）」を可決した際に，携帯電話に送られるスパム・メールを規制する権限をFCCに与えていた。今回の法規制は，その流れを受けてのもの。

FCCの法規制によれば，携帯電話ユーザーがあらかじめ承諾しない限り(オプトイン)，いかなる無線サービス加入者のアドレスにも商用電子メールを送信してはならない。ユーザーがオプトアウト（受信拒否手続き）するまで送信が認められているコンピュータの電子メール・アドレス宛て商用メールと比べ，より厳しい条件となっている。

以下で、CAN-SPAM同法の概要を引用する。

１．迷惑メール規制法:

・「CAN-SPAM法」（2003年）により、ＰＣ向けメールを規制

・「CAN-SPAM法」に基づき、連邦通信委員会(ＦＣＣ)規則により、2004年より携帯電話向けメールを規制(Rules and Regulations Implementing the Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003

Rules and Regulations Implementing the Telephone Consumer Protection Act of 1991)

２．迷惑メールの範囲 :商業電子メール

３．送信者等に対する規制

【ＰＣ向けメール】

・オプトアウト規制

・表示義務

・許可なくアクセスしたＰＣからの送信禁止

・偽ヘッダー情報による送信禁止

・欺瞞的表題を付した送信禁止等

【携帯電話向けメール】

・オプトイン規制

・表示義務

・オプトアウトを受けた時は、10日以内に送信終了する義務等

４．制裁措置・行政処分（停止命令）

・拘禁刑最高５年又は罰金（違反行為により被告が得た利益若しくは他者が被った損害の２倍の額、又は25万ドル（個人）、50万ドル（法人）のうち、いずれか高額な方が上限）等

５．執行状況 ：FTCが扱ったスパム関連事案の80％はオプトアウト義務違反

６．国際連携施策：（日本等との連携等）

「US SAFE WEB ACT」の制定（2006年）

(注10) 「ネガティブ・オプション」とは、注文していない商品を、勝手に送り付け、その人が断らなければ買ったものとみなして、代金を一方的に請求する商法をいう。

特定商取引法が改正され、令和3年7月6日以降売買契約に基づかないで、一方的に送り付けられた商品は直ちに処分することができることとなった。

例示：①売買契約に基づかないで送付された商品を受け取ったときは商品を直ちに処分することができる。

②事業者から金銭を請求されたときは金銭を支払う必要はない。

③商品を開封や処分しても、金銭の支払いは不要であり、事業者から金銭の支払を請求されても応じないようにしましょう。

④商品の代金を誤って支払ってしまったときは代金について返還を請求することができる。(警視庁サイトから抜粋)

(注11) “Iliad Flow”とは、オンラインの迷路のようなキャンセル・フローをいう。

具体的手順については解説例参照。

(注12) ローチ・モーテル((Roach Motel)とは、簡単に登録できるが、キャンセルや退会方法が複雑で難しいものをいう。数回のステップで簡単に登録できるが、いざ退会・解約する際にはその何倍もの労力が必要。故意に解約方法をわかりにくくしたり、電話だけで解約を受け付ける企業が多く存在する。

(注13) ユーザーがオファーを断ろうとすると、羞恥心や罪悪感を与えて、あたかも断ることに罪があるように思わせること。海外サイトで多く見られるダーク・パターンの一種。感情的なコピーを用いて「この選択肢を選ばないのは愚かである」と、暗にプレッシャーをかける。

　海外サイトで多く見られるダーク・パターンの一種。感情的なコピーを用いて「この選択肢を選ばないのは愚かである」と、暗にプレッシャーをかける。

(注14)2023年4月24日 FTCが公表したNegative Option Ruleに関するFTCの「A Proposed Rule by the Federal Trade Commission」の改正案の要旨は以下のとおり。なお、詳細はFTC解説参照。

　連邦取引委員会は、「サブスクリプションおよびその他のネガティブ・オプション・プランに関する規則」(“ネガティブ・オプション規則”または“規則”)の改正を提案している。提案された変更は、消費者が望まない製品またはサービスの繰り返し料金を含み、過度の困難なしにキャンセルすることができない、不公正または欺罔的なビジネス慣行と戦うために計算される。

(注15) 公正取引委員会の仮訳は「過去のある報道では、アマゾンが解約手続を説明するために「イリアス（Iliad）」という言葉を使ったと指摘した上、この解約手続は、十年間にわたるトロイア戦争について書かれたホメロスの大叙事詩のようであると報じられている。」しかし、これでは読者はイリアス（Iliad）を正確に理解できまい。本文で述べたように「解約手続きが複雑な迷路である」というのが正しい訳語であろう。

(注5-2) 米連邦取引委員会は、オンラインアルコール市場のDrizlyと同社CEOのJames Cory Rellasに対し、同社のセキュリティ上の欠陥がデータ侵害につながり、約250万人の消費者の個人情報が流出したとの申し立てを巡り、訴訟を起こした。

(注16) 長島・大野・常松法律事務所パートナー福原あゆみ氏のニュースレター「欧州におけるグリーン・ウォッシュ規制のアップデート」から一部抜粋する。なお、EUサイト(DIRECTIVE (EU) 2024/825 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 28 February 2024)とのリンクは本ブログの筆者が独自に行った。

福原あゆみ氏

(1)EU理事会は、2024年2月20日、従前の欧州の不公正商行為指令（Unfair Commercial Practices Directive: UCPD）と消費者権利指令（Consumer Rights Directive: CRD）を改正する形で、不公正な慣行に対するより良い保護と情報提供を通じてグリーン移行するための消費者の権限強化に関する指令（Directive on empowering consumers for the green transition through better protection against unfair practices and better information 以下「ECD」といいます。）を採択し、同指令は同年3月26日に発効した。今後、EU加盟国は採択から2年以内に国内法規制への置き換えを行い、30か月以内に適用することが求められる。

(2) 禁止される行為の概要

ECDに基づく禁止行為又は規制には以下のものが含まれる。

①一般的な環境主張の規制

②持続可能性ラベルの使用の規制

③カーボンオフセットのみに基づく主張の禁止

④将来の環境性能に関する主張の来の環境性能に関する主張の規制

(2)グリーン・クレーム指令（The green claims directive）

　グリーン・クレーム指令（The green claims directive　以下「GCD」という。）は、環境主張の広告を出す前に、環境マーケティングのクレームに関する証拠の提出を企業に義務付けるものであり、ECDに基づくグリーン・ウォッシュの規制を補完するものになる。同指令は、消費者が購入する製品の環境認証に関する信頼できる情報をアクセス可能にすることを目的として2023年3月に提案され、審議がなされていたが、2024年3月12日に欧州議会により採択がなされている。今後、2024年6月に実施される欧州選挙後の新議会で更に同指令案の審議が行われることが見込まれ、内容については変更がありうるものの、現時点で同指令で定められる項目には以下のものが含まれる。

①明示的な環境主張に関するアセスメントの実施と立証に関する要件

②環境主張の伝達に関する要件

③環境ラベル制度の要件

(注17) REGULATION (EU) 2023/2854 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act)

(注18) GDPRとeプライバシー指令は相互に補完しあう関係にある。GDPR第95条によれば、eプライバシー指令（及び同指令を実施する国内法）が企業に義務を課している範囲において、GDPRがさらなる義務を課すことはないとされている。これは、原則として、eプライバシー指令の規定が、電気通信サービス（特に電子メールとインターネット）についての枠組みを定める、いわゆる特別法であり、より一般的なGDPRの規定に優先することを意味する。GDPRは、eプライバシー指令によって具体的に規律されていない事項についてのみ直接的に適用されることとなる。(長島・大野・常松法律事務所「GDPRとEU加盟国法との相互関係に関する最新動向－eプライバシーに関する規律やドイツの事例を題材として－」から一部抜粋)

　この 2002 年の e プライバシー指令は、デジタル時代のプライバシー、より具体的には通信の機密性と追跡と監視に関する規則に関する重要な法的手段である。

　2011 年 5 月に発効した電子プライバシー指令 2009/136/EC は、電子通信分野における個人データの処理とプライバシーの保護に関するものである。これは通常「電子プライバシー指令」と呼ばれ、第一次指令 2002/58/EC の修正指令である。(Wikipedia から抜粋、仮訳)

　一般データ保護規則(GDPR)の発効により、EU 立法者はこの文書を更新する必要があり、欧州委員会は 2017 年 1 月 10 日に提案を発表した。この新しい文書は、機械の機密性などの問題を伴い、急速に進化する技術情勢に取り組む必要があり、マシン間の通信 (モノのインターネット)、または公的にアクセス可能なネットワーク (公衆 Wi-Fi など) 上の個人の通信の機密性等に言及している(EDPSサイトを仮訳)。

(注19)Bafin声明(独文)および第63条第6項を筆者なりに仮訳する。

「また、BaFin は、取引アプリや取引ポータルにある関連性のある重要なボタン (取引をキャンセルするためなど) が完全に欠落していてはいけないことも明確にしている。投資サービス会社が重要かつ関連性のある意思決定の選択肢のボタンを提供しない場合は、WpHG 第 63 条第 6 項 (§ 63 Abs. 6 Satz WpHG.)に基づく誠実さの要件にも違反する。」

＊連邦証券取引法 (有価証券取引法： Gesetz über den Wertpapierhandel： WpHG)第 63 条：一般的な行動規則; 規制を発行する権限：第6項　投資サービス会社が顧客に提供するマーケティング・コミュニケーションを含むすべての情報は、正直、明確で、誤解を招くものであってはならない。マーケティングコミュニケーションは、それを明確に識別できる必要がある。 (資本投資法第 302 条(Kapitalanlagegesetzbuch (KAGB)§ 302 Werbung 広告)、規制 (EU) 2017/1129(Artikel 22 der Verordnung (EU) 2017/1129)( 2017 年 6 月 14 日の欧州議会および欧州理事会の規則 (EU) 2017/1129 は、有価証券が一般に提供される場合、または規制された市場での取引が認められる場合に発行される目論見書に関するものであり、指令 2003/71/ECText を繰り返している(Verordnung (EU) 2017/1129 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über den Prospekt, der beim öffentlichen Angebot von Wertpapieren oder bei deren Zulassung zum Handel an einem geregelten Markt zu veröffentlichen ist und zur Aufhebung der Richtlinie 2003/71/EGText von Bedeutung für den EWR.)、証券目論見書法(Wertpapierprospektgesetz - WpPG)の第 7 条(§ 7 証券情報シートの発行が必要なオファーの広告)は影響を受けない。

　BaFin は、第 63 条以降に従って、2018年1月に施行された第2次金融商品市場指令(MiFID II )の行動規則に関する 2 つの新しい FAQ を公開した。投資サービス会社は、オンラインでのプレゼンスを適宜確認することが求められる。 BaFinが独自の監査手続きを通じて取引アプリのダーク・パターンをすでに特定している場合、直ちに関係企業に対処する予定である。

*************************************************************

2024-04-13

メジャーリーグベースボール(MLB)プレーヤー大谷翔平氏の通訳水原一平が「銀行詐欺」で告訴、起訴状などに基づき法的に見た事実関係の正確な再現を試みる

金融犯罪と阻止策

　我が国のメデイアも詳しく報じているとおり、2018年以来、起訴状が明らかとしているように、被告である元通訳水原一平はMLBスタープレーヤ大谷翔平氏を信頼を極めて裏切ることを意図しており、スポーツ賭けでなくとも通訳の特性を悪用しようと考えて聞いたことは間違いない。

　一部メデイアは、被告が司法取引(注1)により刑の減軽を交渉するとあるが、はたしてこのような事実を踏まえるとそう簡単なものではないと考えるのが筆者の見解である。

　今回のブログは、4月11日の連邦検事局のリリース文や起訴状を詳細に読むうえでのポイント解説を試みる。

　なお、後述するとおり、今回の捜査の中心となったのは内国歳入庁(IRS)と国土安全保障調査局(Homeland Security Investigations:HSI)であり、特に従来わが国ではなじみがない後者につき詳しく解説を加えた。

■カリフォルニア州中央部連邦検事局リリース「Japanese-Language Translator Charged in Complaint with Illegally Transferring More Than $16 Million from Baseball Player’s Account」の仮訳

　4月11日、日本語の通訳者水原被告がカリフォルニア州中央区連邦地方裁判所への連邦刑事告訴により起訴された。起訴状によると、大谷翔平氏の銀行口座から本人が知らないまま、または本人の許可なしに違法なスポーツ賭博の賭け業者(bookmaking)で発生した彼自身の相当なギャンブルの借金を返済するために総額1600万ドル(約21億1200万円)を超える金額を不正.に電信送金(wire transfer)等した。

　アメリカ合衆国のカリフォルニア州のオレンジ郡ニューポートビーチ(注2)住の39歳の被告たる水原一平は、連邦刑務所で法定刑たる最高30年の拘禁刑を宣告される重罪である銀行詐欺(bank fraud)(注3)で起訴された。

　被告水原一平は、ロサンゼルスにある米国連邦地方裁判所に初めて出廷する予定である。

　訴状とともに提出された宣誓供述書(affidavit)によると、2021年11月から2024年1月まで, 水原被告は、当座預金口座からの本人たる大谷氏の無許可の電信送金(wire transfer)で 1600万ドル以上も送金し、宣誓供述書で“ Victim A、”として識別されたMLBスタープレーヤー実際にはMLBスターの大谷翔平氏である。この銀行口座からの送金は、大谷氏の通訳および事実上のマネージャーを務めた水原被告に関連するデバイスとIPアドレスから行われたとされている。

　2018年、水原被告は英語をほとんど話せない大谷氏をアリゾナ州の銀行支店に連れて行き、大谷氏が口座を開設するのを支援し、口座の詳細を設定するときにも大谷氏の通訳を担った。宣誓供述書によると、大谷氏のプロ野球球団の給与はこの口座に入金されることになっていたが、水原被告はこれまたは他の財務口座の制御権を第三者に決して与えなかった。かつ水原容疑者は、大谷氏本人が銀行のアカウントへのアクセスすることを拒否し、さらに大谷担当の米国を拠点とする金融専門家は、いずれも日本語を話せなかった。

　2021年9月、水原被告は違法なスポーツ賭博の本でギャンブルを始め、数か月後、かなりの金額を失い始めた。この間、大谷氏の銀行口座の連絡先情報は、アカウントを水原容疑者の電話番号と水原に接続された匿名の電子メールアドレスにリンクするように変更されたとされている。

　また被告水原は、銀行に電話をかけ、銀行の従業員を騙して大谷氏の銀行口座から違法なギャンブル業務の従業員への電信送金を承認するように騙して偽の本人識別を行わせた。

　さらに水原被告は2024年1月から2024年3月まで,この同じアカウントを使用して、“eBay” (注4)と“Whatnot”(注5)を介して約1,000の野球カードを約 325,000 ﾄﾞﾙ(約4290万円)のコストで購入し、偽名Jay Minを使って水原被告に郵送するとともに大谷氏の現在のMLBチームのクラブハウスに郵送したとされている。

　先週の法執行機関へのインタビューで、大谷氏は水原被告の電信送金の承認の事実を拒否した。また、大谷氏は彼の携帯電話を法執行機関に提供した。これにより法執行機関は、大谷氏が水原被告の違法なギャンブル活動またはそれらの借金の支払いを認識したり、関与していることを示唆する証拠はないと判断した。

　今回の刑事告訴はあくまで検察側の主張であり、被告は、法廷で合理的な疑いを超えて有罪が証明されない限り、無実であると推定される。

　本件は、連邦内国歳入庁・犯罪捜査局(注6)と国土安全保障調査局(Homeland Security Investigations:HSI)(注7)がこの問題を調査している。

****************************************************************

(注1) 米国の司法取引については、宇川春彦(前京都地検検事正)「米国における司法取引」が詳しい。

(注2) Newport Beachの市内の4分の1の世帯の平均年収は3000万円といわれ、全米有数の水準にある。

(注3) U.S. Code Title 18 U.S.C. 1344.「銀行詐欺(Bank fraud)」条文を仮訳するとともに、具体的な詐欺手口を例示する。

【条文】

故意に計画や策略を実行する、または実行しようとするいかなる者は—

(1) 金融機関を騙すこと。または

(2) 金融機関が所有する、または金融機関の管理または管理下にある金銭、資金、債権、資産、有価証券、またはその他の財産を、虚偽または詐欺的な見せかけ、表明、または約束によって取得すること。

を行った場合、最高100 万ドル(約1億5300万円)以下の罰金または最高 30 年以下の拘禁刑、またはその両方が科せられる。

【手口例】Law Offices of Seth Kretzerの解説を仮訳.

①粉飾会計詐欺(Accounting fraud))

　粉飾会計詐欺は主に企業向け融資に影響を与える。粉飾会計詐欺を行う企業は「帳簿を捏造」するため、紙の上では実際よりも儲かっているように見せる。これらの不正な声明に基づいて、銀行はこれらの企業に融資を許可する。それでも最終的には、企業は主張していたよりも収益が低いため、あるいは場合によっては破産することもあり、融資を返済することができないし、中には破産を宣告して銀行を窮地に追い込む者もいる。

②ローン詐欺

　会計不正と似たものに融資詐欺がある。この詐欺は企業と個人の両方によって行われる可能性があり、どちらも返済不可能な金額を受け取るために信用申請書に嘘をつく可能性がある。別のタイプのローン詐欺には、誰かの身元を盗んでローンを組み、その金融情報が詐欺師の情報であるかのように手続きを進めることが含まれる。

③電信送金詐欺

　電信送金詐欺には、電信送金またはインターネットに関連するすべての詐欺事件が含まれる。場合によっては、詐欺師が銀行顧客のユーザー名とパスワードを盗み、自分自身に送金することがある。より一般的な手口では、詐欺師が被害者を説得して、困っている人であると主張し、個人的またはビジネス上の必要のためにお金を要求する場合がある。

　極端な例では、他国出身だと主張する人物が米国内の誰かを説得して自分と恋に落ち、その人物が待ちに待った対面としてアメリカに遊びに来るのに十分なお金を貯められるよう、暗号通貨の支払いという形で金銭を要求し続けた。残念なことに、その愛は報われないままで、米国の被害者には詐欺師を追跡して返済を要求する手段が残されていなかった。

④フィッシング詐欺

　フィッシングとは、詐欺師が電子メール、電話、テキストメッセージ、またはその他の方法を使用して、被害者の銀行口座の詳細を入手することである。たとえば、直接尋ねたり、間接的に情報を収集することを目的とした継続的な通信を通じて被害者に「通話状態」を維持したりすることによって行われる。個人情報を提供した場合に何らかの利益や利益を約束するコミュニケーションには常に注意されたい。

⑤現金自動預け払い機(ATM) 詐欺

　ATM詐欺には、ATM機械そのものの再プログラミング作動を始め、カード自体のの詳細を盗むためのスキマーの設置まで、あらゆるものが含まれる。これは、特に交通量の多い場所のATMで頻繁に発生する。

(注4) “eBay Inc.”は、アメリカ合衆国カリフォルニア州サンノゼに本社を置くアメリカ合衆国のグローバル電子商取引(EC)企業で、世界中で1.6億人、Sellerは2,500万人（個人・法人含む）とインターネットオークションでは世界最多の利用者を持つ。事業内容は自社ウェブサイト上で消費者間取引](C2C)および企業間取引(B2B)など個々間での取引を可能にするグローバルマーケットプレイスの運営である。(Wikipedia から抜粋)

(注5)“Whatnot” は、ライブストリーム・ショッピング・・・プラットフォームおよびマーケットプレイスで、人々が売買したり、コレクターや他の志を同じくする人々とライブをしたりすることができる。 Whatnot は、スポーツカード、ポケモンカード、NFT、スニーカーなど、コレクターや愛好家向けの製品カテゴリーに焦点を当てている。(Wikipedia から抜粋)

（注6）内国歳入庁のうち脱税、金融に関する犯罪を主に取り締まる組織がCriminal　Investigation（犯罪捜査局）であり、IRS-CIと呼ばれる。CIの本部はワシントンＤＣにあり、全米にある６つのリージョナルオフィス及びリージョナルオフィス内にある３５のフィールドオフィスの管轄内の脱税、金融関係の犯罪、マネーロンダリングにかかわる犯罪捜査の指針を決定し、また大規模な場合には指揮を取ることもある。(Wikipedia から抜粋)

(注7) HSIは国土安全保障省の主要な捜査部門で、国境を越えた犯罪と脅威、特に国際取引、旅行、金融が移動するグローバル・インフラストラクチャを利用する犯罪組織の調査を担当する。HSIの使命は、米国の税関および移民法を脅かしたり、悪用したりしようとするテロリスト、多国籍およびその他の犯罪組織を調査、混乱させ、解体させることである。

　HSI の特別捜査官は、米国内および海外の戦略的パートナーと協力して、多国籍犯罪組織 (Transnational Criminal Organizations (TCOs))、テロネットワークとその助長者、および米国を脅かすその他の犯罪分子に対する刑事事件を特定し、立件するための証拠を収集する。 HSI は検察と協力して、違反者の起訴と逮捕、刑事捜査令状の執行、犯罪に由来する金銭や資産の押収など、世界中で活動する犯罪組織の混乱と解体を目的としたその他の措置を講じる。これらの取り組みは、米国の国家、国境、経済の安全を守り、国民とコミュニティの安全を確保する。

【組織の概要】

　HSI の従業員は 8,700 名を超える従業員で構成されており、その中には特別捜査官、犯罪分析官、任務支援要員、米国および世界中のオフィスに配属されている契約職員も含まれる。

　HSI の 6,000 人の特別捜査官のほとんどは、全米国内にある HSI の 237 か所の特別捜査官 (Special Agent in Charge (SAC)) オフィスまたは支署のいずれかに配属されている。 HSI の国内拠点は、国境を越えた犯罪組織との戦いにおける主要な戦略的パートナーである連邦、州、地方自治体を代表する 2,800 名を超える特別部隊職員によって補完されている。

　また、HSI の国際部隊は、DHS の海外における最大の捜査拠点であり、世界中の米国大使館、領事館、および国防総省 (DOD) 戦闘部隊に割り当てられた特別捜査官が中心となっている。 HSI は、米国の法執行機関において最大規模の国際的な足跡を持っている。

**********************************************************

2024-04-10

米国16州の包括的個人情報保護立法の最新動向から見たわが国の保護法改正の課題

国際的個人情報保護法制

　筆者は、これまで米国各州の包括的個人情報保護立法につき解説してきた。例えば、最も厳しいとされるカルフォルニア州、同州、オハイオ州、コロラド州につき取り上げてきた。

　4月初め、ケンタッキー州議会は包括的なプライバシー法(H.B.15)(以下、「法律」という)を可決した。この法律は4月4日に州知事が署名し、成立、この法律は 2026 年 1 月 1 日に発効する。

　今回のブログ投稿では、この法律の重要な要点を要約する。これにより、カリフォルニア、バージニア、コロラド、コネチカット、ユタ、アイオワ、インディアナ、テネシー、モンタナ、オレゴン、テキサス、フロリダ、デラウェア、ニュージャージー、ニューハンプシャー州の立法に加わる。 (計16州)

　また筆者が注目するのは英国や米国州の最近時の立法傾向は「正確な地理位置情報データ(precise geolocation data)」や「13歳未満の児童の個人情報」(注1)を機微情報としている点である。また、従来から国際スタンダードとして立法上明記されている「データ保護影響評価 (DPIA)」の重要性や義務化問題もある。

　一方で、わが国の法改正の経緯を見ると欧米のような経緯をたどっているようには見えない。今回のブログはこれら問題につき詳細に論じる。

Ⅰ．ケンタッキー州の包括的情報保護法の概要

　Covington & Burling LLP.の以下の弁護士が執筆したブログを仮訳する。

Lindsey Tonsager 氏

Libbie Canter氏

Hensey A. Fenton III 氏

Samar Amidi 氏

■法律の適用範囲: この法律は、ケンタッキー州で事業を行うか、ケンタッキー州住民を対象とした製品やサービスを生産する暦年中に、(i) 少なくとも 100,000 人の消費者の個人データを管理または処理する、または (ii) 少なくとも 25,000 人の消費者のデータを管理または処理し、総収益の 50% 以上を個人データの販売から得る管理者および処理者に適用される。

■消費者の権利: この法律は、とりわけ、消費者にアクセス、削除、携帯性・移植性、および修正の権利を付与する。同法により、消費者は、(1)ターゲットを絞った広告、(2)個人データの販売、(3)法的または同様の重要な効果を生み出す意思決定を促進するプロファイリングを「オプト・アウト」することも可能となる。

■機密データ(Sensitive Data)について事前同意義務: 管理者(controllers)は、消費者の機密データを処理する前に同意を得る必要がある。同法では、機密データを、(1)人種または民族的出身、(2)宗教的信念、(3)精神的または身体的健康状態、(4)性的指向、(5)市民権または永住権保持・在留資格(immigration status)(注2)を示す個人データ、(6)固有の個人を識別するために処理された遺伝子(genetic)データまたは生体認証データ、(7)収集された既知の子ども情報および「正確な地理位置情報データ(precise geolocation data)」(注3)を「機密データ」と定義している。

■データ保護影響評価 (DPIA)の義務付け: この法律は、(1)ターゲットを絞った広告、(2)個人データの販売、(3) 限られた状況でのプロファイリング、（3）機密データの処理、または(4)その他の消費者への危害リスクの増大を伴う活動の処理に対して、データ保護影響評価 (DPIA) を義務付ける。

執行: ケンタッキー州司法長官は、この法律を執行する独占的な権限を有する。この法律はまた、管理者と処理者に、日没しない30日間の治療権を与えることになる。

Ⅱ．米国各州の包括的情報保護法のおける「機微情報」をめぐる特徴的な点やわが国の今後の保護法立法や法改正のあり方を巡る課題

１． 子供特に 13 歳未満等の児童の個人情報の機微情報の明確な規定化

(1)米国の新しい州の「包括的な」プライバシー法には、子供に適用される規定がある。たとえば、カリフォルニア州では、子供が 13 歳未満であることを実際に知っている企業は、連邦法である1998年COPPA(Children's Online Privacy Protection Act) の同意要件に加えて、その子供のデータを販売または共有する場合は親の同意を得る必要がある。 13 歳から 16 歳までの子どもの場合、カリフォルニア州法に基づき、企業は子どもの情報の販売または共有について子どもの「同意」を得る必要がある。他の州では、子供の情報を「機密情報(sensitive data)」と定義している。そしてこれらの法律に基づき、企業は機密情報を第三者と共有する場合、消費者（未成年者の場合はその親）に通知しなければならない。また、場合によっては、機密情報を処理する前に「データ保護影響評価(DPIA)」を実施する必要がある。

(2)次に、カリフォルニア州が、英国の児童保護規範 (Children's Code:年齢確認に基づく保護規範)(筆者ブログ参照)をモデルとした「カリフォルニア州年齢適正設計法:The California Age-Appropriate Design Code Act)」を2022年11月に可決した。(解説例参照) (参照) この法律は2024年7月1日に施行される予定で、「子供がアクセスする可能性がある」オンライン製品、サービス、機能を提供する企業（つまり18歳未満の子供）に適用される予定である。ただし、この法律は裁判結果もあり2023 年末に一時的に禁止された。この法律が予定どおり発効した場合、企業は以下の行為を禁止される。

①「ダーク・パターン」(注4)を使用する。

②「子どもにとって重大な害を及ぼす」行為。

③子どもたち情報の自動プロファイリング。(注5)

　さらに、企業は（やむを得ない理由がない限り）子供の地理位置情報を収集することはできず、サービスの提供に必要な個人情報のみの収集に限定される。さらに、通知と条件は年齢に応じた言葉で提供される必要がある。最後に、企業は子供が利用できるサービスを提供する前に、データ保護影響評価(DPIA)を実施する必要がある。

(3)学生のプライバシー保護

　連邦レベルで「家族の教育の権利とプライバシーに関する法律 (Family Educational Rights and Privacy Act ：FERPA 」と米国の州の約半分の両方で、学生のプライバシーに対処する法律がある。これらの法律の主な焦点は、学校が生徒からどのような情報を収集できるかということである。ただし、学校のビジネスパートナーが生徒とどのようにやり取りできるかにも影響を与える。たとえば、州法に基づき、学校のビジネスパートナーは、生徒の個人情報を不正なアクセス、使用、破壊、開示から保護する必要がある。また、学校から要請があった場合には、生徒情報を削除しなければならない。

（4）ソーシャルメディア・プラットフォームを対象とした新しい米国の州立法の動向に留意

　心に留めておく価値があるのは、ソーシャルメディア・プラットフォームを対象とした新しい米国の州立法である。これらの法律はこれまでにアーカンソー州、モンタナ州、オハイオ州、テキサス州、ユタ州で可決された。しかし、発効予定だったすべての法律は延期されており、合衆国憲法修正第 1 条の言論の自由を理由に州の法律は違憲であるという難題に悩まされている。一般に、これらの法律では、アカウントを作成する際に個人に年齢の提供を義務付け、アカウントが完成する前に子供の親の同意が必要となる。また、プラットフォームが子供から収集できる情報の量や、子供がアクセスできる広告の種類も制限されることになる。

２．米国でビジネスを行っており、子供たちから情報を収集する場合、現在施行されている法律、および今後施行される法律に備えるためにどのような手順を踏むことが必要か?

(1) 親や保護者の同意

　13 歳未満のユーザーから個人情報をオンラインで収集する場合は「同意」が必要であることに注意すべきである。この要件は 1998 年COPPAから存在する。その間に「オンライン」は変化した可能性があり、「個人情報」に対する我々の理解も広がった。オンライン・プラットフォームにはモバイル・アプリが含まれており、インタラクティブなおもちゃも含まれる場合があることに注意されたい。また、個人情報は単なる名前や電子メール・アドレスだけでなく、画像や音声に加え、連邦取引委員会(FTC) によれば永続的な識別子も含まれる。

(2) データ最小化の原則の検討

　法律で子供から収集するものを最小限に抑えることが特に義務付けられていない場合でも (ただし、そうしている人が多いことに注意されたい)、データが多ければ多いほど、保護する必要があるものも増える。現時点では、COPPA は、該当する場合、収集できる内容を「サービスまたは機能を提供するために必要なもの」に制限しており、新しい州法も同様である。

(3)収集行為が「暗いパターン」に該当するかどうかを評価する

　 FTC は、EUのデータ保護委員会(EDPB) と同様に、消費者をだまして、誤解を与えて、通常よりも多くの情報を提供させることに懸念を表明している。あるいは、もっと反省していれば同意しなかったであろう方法で自分の情報が使用されることに同意することを重要視している。こうしたアクティビティは「ダーク・パターン」と呼ばれ、FTC はさまざまな推奨事項の中で、ユーザーの観点からプログラムをテストすることを提案している。子供の場合、これには子供だけでなく、COPPA の目的で同意を与える親も含まれる可能性がある。

(4)子供への危害の概念に留意する

　規制当局が特に懸念しているのは、子供に危害を及ぼす可能性のある活動である。規制当局からの明確な指示がない場合、またはこれらの法律に基づく判例が存在しない場合、企業は規制当局が自社のプラットフォームについてどう考えているのか疑問を持つ可能性がある。たとえば、それが子供を搾取していると誰かが主張できるか？子どもが関与する活動に対して、どのような対抗措置や利益が存在するか? 潜在的な危害を最小限に抑えるためにどのような措置が講じられているか? 言い換えれば、GDPR データ保護影響評価を実施するときに通過する思考プロセスに参加されたい。

３． 「正確な地理位置情報データ(precise geolocation data)」を機微情報の位置づけ問題

　「正確な地理位置情報」は、カリフォルニア州(Cal Civ. Code § 1798.121)やバージニア州(Va. Code § 59.1-517)を含め、最近のデータ・プライバシー法がそのような情報の収集と処理を規制しようとしていることにより、プライバシーの世界でホットボタンとなる問題となっている。「正確な地理位置情報データ」の定義は州によって異なるが、一般的には「デバイスから取得され、消費者の位置を特定するために使用される、または使用されることが意図されている、一定の距離(注6)を半径とする円内の地理的領域以下の地理的領域内のあらゆるデータ」を意味する。現在、州レベルのプライバシー法の大多数は、正確な地理位置情報データを「機密個人情報」として分類している。この分類により、正確な地理位置情報データを収集および処理する組織に追加の義務が生じます。例えば以下の州法を参照されたい。

① カリフォルニア州法: 正確な地理位置情報データを含む「機密個人情報」を収集および処理する対象となる組織・団体は、特定の例外を除き、その組織による「機密個人情報」の使用を制限する権利をカリフォルニア州民に提供する必要がある。

② バージニア州法: 対象となる組織・団体は、正確な地理位置情報データを含む「機密データ」を処理すること、およびデータ保護評価を実施および文書化することについて同意を得る必要がある。

(3) 日本のデータ保護影響評価 (DPIA)の重要性や義務化問題

　令和２年６月に成立した改正個人情報保護法（施行は、令和4年4月1日）には、データ保護影響評価（Data Protection Impact Assessment (DPIA)の実施を事業者に求めるという要件は含まれていない。しかし、令和元年12月の制度改正大綱において、民間の自主的取組の推進として、DPIAの実施が推奨されている。

　このような動きに伴いDXを推進する組織は、個人識別可能情報1（以下、PIIという。）を処理するプロセス、情報システム、プログラム、ソフトウェアモジュール、デバイス又はその他の取組において、今まで以上にプライバシーに対するデューデリジェンス（善管注意義務）およびプライバシーバイデザイン（Privacy by Design）の達成が求められることとなった。DPIAは、潜在的なプライバシーへの影響を事前にアセスメント（評価）するための手段であり、ステークホルダーと協議してプライバシーリスクに対応するために必要な行動を起こすための手段である。DPIAを実施することは、プライバシーバイデザインを達成することである。

*****************************************************************

(注1) 米国の新しい州の「包括的な」プライバシー法には、子供に適用される規定がある。たとえば、カリフォルニア州では、子供が 13 歳未満であることを実際に知っている企業は、COPPA の同意要件に加えて、その子供のデータを販売または共有する場合は親の同意を得る必要がある。 13 歳から 16 歳までの子どもの場合、カリフォルニア州法に基づき、企業は子どもの情報の販売または共有について子どもの同意を得る必要がある。他の州では、子供の情報を「機密情報」と定義している。そしてこれらの法律に基づき、企業は機密情報を第三者と共有する場合、消費者（未成年者の場合はその親）に通知しなければならない。また、場合によっては、機密情報を処理する前にデータ保護評価を実施する必要がある。

　第三に、連邦レベル (FERPA) と米国の州の約半分の両方で、学生のプライバシーに対処する法律がある。これらの法律の主な焦点は、学校が生徒からどのような情報を収集できるかということである。ただし、学校のビジネス・パートナーが生徒とどのようにやり取りできるかにも影響を与える。たとえば、州法に基づき、学校のビジネスパートナーは、生徒の個人情報を不正なアクセス、使用、破壊、開示から保護する必要があります。また、学校から要請があった場合には、生徒情報を削除しなければならない。

　最後に、心に留めておく価値があるのは、ソーシャルメディア・プラットフォームを対象とした新しい米国の州法ですある。これらの法律はこれまでにアーカンソー州、モンタナ州、オハイオ州、テキサス州、ユタ州で可決された。しかし、発効予定だったすべての法律は延期されており、憲法修正第 1 条の言論の自由を理由に法律は違憲であるという難題に悩まされている。一般に、これらの法律では、アカウントを作成する際に個人に年齢の提供を義務付け、アカウントが完成する前に子供の親の同意が必要となる。また、プラットフォームが子供から収集できる情報の量や、子供がアクセスできる広告の種類も制限されることになる。( Sheppard Mullin Richter & Hampton LLPの弁護士Liisa Thomas氏およびKathryn Smith氏のブログを抜粋、仮訳)

(注2) Immigrant (移民): 米国永住権保持者として米国内に居住している人。Status (在留資格/ステータス): 米国内に存在する、すべての人には、必ず何かしらのステータス (身分) があり、米国市民というステータス、永住権保持者というステータス、H-1B (特殊技能職) ビザ保持者のステータスという具合に、カテゴリごとに分けることができます。よって、米国で滞在するためには、外国人も、移民、非移民を問わず、必ず何かしらのステータスを保持していなければならない。

(注3) 「正確な地理位置情報」は、カリフォルニア州(Cal Civ. Code § 1798.121)やバージニア州(Va. Code § 59.1-517)を含め、最近のデータ・プライバシー法がそのような情報の収集と処理を規制しようとしていることにより、プライバシーの世界で大いなる議論(hot button)となる問題となっている。「正確な地理位置情報データ」の定義は州によって異なるが、一般的には「デバイスから取得され、消費者の位置を特定するために使用される、または使用されることが意図されている、一定の距離(注6)を半径とする円内の地理的領域以下の地理的領域内のあらゆるデータ」を意味する。現在、州レベルのプライバシー法の大多数は、正確な地理位置情報データを「機密個人情報」として分類している。この分類により、正確な地理位置情報データを収集および処理する組織に追加の義務が生じる。例えば以下の立法を参照されたい。

〇 カリフォルニア州法: 正確な地理位置情報データを含む「機密個人情報」を収集および処理する対象組織は、特定の例外を除き、その組織による「機密個人情報」の使用を制限する権利をカリフォルニア州民に提供する必要がある。

〇 バージニア州法: 対象となる組織は、正確な地理位置情報データを含む「機密データ」を処理すること、およびデータ保護評価を実施および文書化することについて同意を得る必要がある。

(注4) ダーク・パターン（Dark pattern）は、主にウェブサイトなどで、ユーザーを騙すために慎重に作られたユーザインタフェースのことである。認知バイアスを利用して、ユーザーが思っているよりも多くの時間やお金を使わせる。または注意を払うように設計されている。

　例としては、購入時に保険に入会させたり、何かを定期購入させるなどの特定の行動をユーザーに促すものがある。また、「『購入ボタン』よりも『定期購入ボタン』の方が目立つ配色や大きさになっている」や「登録は簡単なのに退会が非常に面倒である」などの例もある。特に悪質なものが多いとされる例の1つは、利益が関わるショッピングサイトなどで、有名なウェブサイトほどダークパターンを利用しやすい傾向がある。ダークパターンには、プライバシー侵害や人々の判断力低下など複数の問題点が指摘されている。

　ダークパターンの例：①おとり商法（bait and switch:値引きした商品をおとりとして、類似した高額な商品を買わせる商法。 baitは「餌」、switchは「（小枝で）むち打つこと」の意味）、②比較を困難にする（Comparison prevention）、③羞恥心に働き掛ける（Confirmshaming）、④偽装広告（Disguised ads）、⑤強制開示（Privacy zuckering）他(Wikipedia から抜粋)

(注5) プロファイリング：本人に関する行動・関心等の情報を分析する処理を行う場合には、分析結果をどのような目的で利用するかのみならず、前提として、かかる分析処理を行うことを含めて、利用目的を特定する必要がある。具体的には、以下のような事例においては、分析処理を行うことを含めて、利用目的を特定する必要がある。

(事例１）ウェブサイトの閲覧履歴や購買履歴等の情報を分析して、本人の趣味・嗜好に応じた広告を配信する場合

(事例２）行動履歴等の情報を分析して信用スコアを算出し、当該スコアを第三者へ提供する場合

(個人情報保護委員会サイト「個人情報取扱事業者は、個人情報の利用目的を「できる限り特定しなければならない」とされていますが、どの程度まで特定する必要がありますか」から抜粋)

(注6) カリフォルニア州の保護法(CPRA) では、地理位置情報データの精度と精度の範囲は半径 1,850 フィート(563.88ｍ)以下である。一方、他の州のプライバシー法では、半径は 1,750 フィート(533.40m)以下である。(JD SUPRAの用語解説「Precise Geolocation: Recent Trends and Enforcement」から抜粋、仮訳)

************************************************************

2024-04-06

英国の個人情報保護機関である英国情報コミッショナーはSNS等オンライン利用にかかる子供のプライバシー保護強化のための具体的施策に関し2024 年から 2025 年の優先事項「児童規範戦略」を発表

国際的個人情報保護法制

筆者は去る4月2日のブログでフロリダ州、オハイオ州およびウタ州等の未成年者特に児童等のソーシャル・メディア・プラットフォーム利用にかかる厳格な規制州法立法につき詳しく解説した。

　一方、英国の取組みを見ると、2024 年 4 月 3 日、英国情報コミッショナー事務局 (以下、「英国 ICO」という) は、オンラインでの子どもの個人データ保護に関する 2024 年から 2025 年の優先事項「児童規範戦略(Children’s Code Strategy” (以下、「戦略」という)を発表した。

John Edwards, UK Information Commissioner

　翻ってわが国の保護法制整備の現状を見た。まず、思いつくのは「青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律(平成20年法律第79号)(以下、「環境整備法」という)（注１）(注2)であろう。最後にわが国の保護法強化につき喫緊の問題点をとりあげる。

Ⅰ．英国ICO児童規範(UK ICO Children’s Code)」の概要

　ここで英国「児童規範戦略(Children’s Code Strategy” (「戦略」)」の内容に入る前に“Principleworks”のblogをもとに2020年1月21日に公開された「英国ICO児童規範(UK ICO Children’s Code)」に基づき補足する。なお、Principleworksは、オープンソース・ソフトウェアに関連した各種サービスの提供業者である。

１．Children's Code

(1)制定の背景

　Children's Code は子どもたちが生活のあらゆる側面において必要とする特別な保護措置を認める「国連子どもの権利条約（UN Convention on the Rights of the Child：UNCRC）」に根ざしている。また、Children's Code は、ICO により、親・子どもたち、学校、開発者、ゲーム会社、オンラインサービス・プロバイダーとの対話による徹底的な協議プロセスを経て作られたものである。

　また、英国では忘れられない事件があった。年齢確認の欠落は今でこそ即時摘発案件であるが、当時（2017年）は Instagram は年齢確認を行われていなかった。この事件は2019年にBBC でも取り上げられ大きな社会問題となった。時系列でまとめると次のようになる。

2017年英国Instagram を利用する14歳の少女が自殺

2019年1月 BBCのニュースで取り上げられる

2019年4月 Children's Code 草案作成

2019年12月 Instagram の年齢確認実施（新規ユーザーのみ）

2020年9月 Children's code 発効

(2) 適用されるサービス

　Children's Code の適用対象は ISS（“information society services likely to be accessed by children”）である。この定義は、下記のようなものとなる。

「通常、報酬を得て提供されるサービスであり、遠隔地において、電子的手段により、個別の要求に応じて提供されるサービス」

　具体的に対象となるオンラインサービスは以下のとおり多岐にわたる。

・アプリ

・オンラインゲーム

・サーチエンジン

・SNS

・メッセージサービス、もしくはネットベースの通話

・マーケットプレース

・コンテンツ・ストリーミング・サービス（動画、音楽、ゲーム配信サービス）

・ネット接続されたおもちゃやデバイス

・ニュースまたは教育ウェブサイト

(3)留意事項

　子どもが対象でない場合も、子どもがアクセスする可能性がある場合は対応する必要がある。

(4)Codeの適用対象企業

　英国に本拠を置く企業のみならず、英国の子どもの個人データを処理する英国外企業にも適用される。

(5)EU一般データ保護規則(GDPR)との関連

　Children's Code 原文にはGDPR前文(38)が一部引用されている。

(6) Children's Ccode の具体的な基準は以下の15項目となる。

①子どもの最善の利益：子どもがアクセスする可能性のあるオンライン・サービスを設計および開発するときは、子どもの最善の利益を第一に考慮する必要がある。そしてこれは「国連子どもの権利条約（UNCRC）」の第3条に由来し、子どもにとって何が最善かが極めて重要である。

②データ保護の影響評価（Data Protection Impact Assessment：DPIA）：DPIA を実施して、データ処理から生じるサービスにアクセスする可能性のある子どもの権利と自由に対するリスクを評価し軽減する。さまざまな年齢・能力・開発ニーズを考慮し、DPIA がこの規定に準拠して構築されていることを確認する。

③年齢に応じたアプリケーション：リスクベースのアプローチを採用して個々のユーザーの年齢を認識し、この規範(Code)を確実に子どものユーザーに適用する必要がある。データ処理によって生じる子どもの権利と自由に対するリスクに、適切なレベルの確実性で年齢を設定するか、代わりにこの規範をすべての年齢のユーザーに適用するようにされたい。

④透明性保持：ユーザーに提供するプライバシー情報、およびその他の公開された規約、ポリシー、コミュニティ基準は、子どもの年齢に適した簡潔で目立ち、明確な言葉で表現されている必要がある。個人データの使用がアクティブ化された時点で、個人データをどのように使用するかについて、追加の具体的な「わかりやすい」説明を提供されたい。

⑤データの不利益な使用禁止：子どもの個人データを、子どもの幸福に有害であることが判明した方法、または業界の慣行規定、その他の規制規定、または政府の勧告に反する方法で使用しないこと。

➅ポリシーとコミュニティ標準の遵守：独自に公開された規約、ポリシー、コミュニティ標準（プライバシーポリシー、年齢制限、行動ルール、コンテンツ・ポリシーを含むがこれらに限定されない）を遵守する必要がある。

⑦高度なプライバシー保護に沿った初期設定(デフォルト)設定：初期設定(以下、「デフォルト」という)の設定は「高度なプライバシー」保護でなければなりません（異なるデフォルト設定を選択する説得力のある理由を証明できない限り、子どもの最善の利益を考慮して「高度なプライバシー」保護をデフォルトで設定されたい）。

⑧個人データの収集・保持の最小化：子どもが積極的かつ故意に関与するサービスの要素を提供するために必要最小限の個人データのみを収集及び保持されたい。また、どの要素をアクティブにするかについて、子どもたちに個別の選択肢を与える。

⑨データ共有の限定：子どもの最善の利益を考慮して、やむを得ない理由を証明できない限り、子どものデータを開示しない。

⑩地理位置情報のデフォルト時のオフ：地理位置情報オプションをデフォルトでオフに切り替える（子どもの最善の利益を考慮して、地理位置情報をデフォルトでオンにする説得力のある理由を証明できない限りオフにすること）。位置追跡がアクティブなときは、子どもたちにそのことがわかりやすいよう表示を行う。子どもの位置を他の人に見えるようにするオプションは、各セッションの終了時にデフォルトで「オフ」に戻す必要がある。

⑪保護者による制限：保護者による制限を提供する場合は、その子どもの年齢に応じた情報を提供されたい。オンライン・サービスで、親や保護者が子どものオンライン活動を監視したり、位置を追跡したりできる場合は、監視されているときに子どもにわかりやすく表示する。

⑫プロファイリングのオフ設定：デフォルトでプロファイリングを「オフ」にするオプションに切り替える（子どもの最善の利益を考慮して、プロファイリングをデフォルトでオンにする説得力のある理由を証明できない限りオフにすること）。子どもを有害な影響（特に、子どもの健康や幸福に有害なコンテンツを与えられること）から守るための適切な措置を講じている場合にのみ、プロファイリングを許可する。

⑬ナッジ(nudge)手法の禁止：子どもに不必要な個人データを提供させたり、プライバシー保護を弱めたり無効にしたりするよう誘導するための手法を使用しない。ナッジ（nudge）は注意を引くためひじなどで軽くつつく意味であるが、ナッジ手法は2017年にノーベル経済学賞を受賞したリチャード・セイラー(Richard H. Thaler)教授（米国・シカゴ大学）らが提唱したもので、「心理学の洞察を利用して経済的意思決定の際の分析を行い、それらを利用したしくみによって望ましい行動を自発的に選択するよううながす」という手法である。ここで説明するナッジ手法はこの手法を悪用したケースを指し示す。

⑭接続されたおもちゃやデバイス：接続されたおもちゃやデバイスを提供する場合は、この規定への準拠を可能にする効果的なツールが含まれていることを確認する。

⑮オンライン・ツール：子どもがデータ保護の権利を行使し、懸念事項を報告できるようにわかりやすく扱いやすいツールを提供する。

(7) ガバナンスとアカウンタビリティ(説明責任)

①GDPR 第 24 条第 1 項（コントローラ（管理者）の責任）を引用。

（仮訳：処理の性質、範囲、状況および目的、ならびに自然人の権利および自由に対するさまざまな可能性および深刻さのリスクを考慮して、管理者は、適切な技術的および組織的措置を講じて、確実かつ適切な権利と自由を確保しなければならない。」この規定に従って処理が行われていることを証明できること。これらの措置は必要に応じて見直され、更新されなければならない。）

②GDPR 第 5 条第 2 項（アカウンタビリティの原則）を引用。

（仮訳：管理者は第1項に対する責任を負い、それを遵守することを実証できるものとする。）

組織的な対応・措置は経営陣のリーダシップがないと容易には達成できず、経営層の関与はGDPRの法令そのものと共通の課題だと考えられ、Children's Code にはこうした内容も細かく書かれている。

③アカウンタビリティの実行

　DPO（Data Protection Officer）を任命している場合は DPO が主導し、あるいは取締役会レベルの上級管理職が監督する必要がある。中小企業の場合でも、子どものプライバシーが担当者に理解されていることを確認することが重要であり、優先事項が説明責任とされている。また、継続的に評価・改善し、子どものプライバシーをめぐる環境の変化に対応していく必要がある。

(8)スタッフのトレーニング

　対象サービスの設計に関わるスタッフがデータ保護に関する適切なトレーニングを受け、Children's Code を認識していることを確認する必要がある。

(9)記録の保管

　GDPR第30条取扱活動の記録（Records of processing activities）第1項に基づき、以下の記録を保管する必要がある。

①組織 (管理者、代表者、DPO) の氏名と連絡先の詳細

②処理の目的

③個人データのカテゴリーおよび個人データのカテゴリーの説明

④個人データの受け取り者のカテゴリー

⑤第三国への送信の詳細（送信メカニズムの保護措置の文書化を含む）

➅保存スケジュール

⑦技術的および組織的なセキュリティ対策の説明

⑧DPIAの記録

　なお、これらの記録に使用できるテンプレートがICOのサイトに用意されている。

データ保護法への準拠をサポートおよび実証するためのポリシーを用意する。

Children's Codeの要件（GDPR含め関連するデータ保護法含め）を遵守する方法を明文化したポリシーを用意する必要がある。特に前述した取り扱い活動の記録を保存する義務（GDPR第30条第1項）をポリシーでカバーすることが必要である。

Ⅱ．オンラインでの子どもの個人データ保護に関する 2024 年から 2025 年の優先事項「児童規範戦略」(「戦略」) を発表

１．この戦略は、2021年に導入された「英国ICO児童規範(UK ICO Children’s Code)」に基づいており、ソーシャルメディアとビデオ共有プラットフォームの改善の優先分野を定め、英国ICOが児童規範への準拠をどのように強化し推進し続けるかを示している。英国の ICO は、この戦略を通じて、ソーシャル・メディアとビデオ共有プラットフォームに関して以下の点に焦点を当てる。

(1) デフォルト時のプロファイルにつき「プライバシー」遵守と「地理位置情報」の設定 (子供のプロファイルはデフォルトで非公開に設定され、地理位置情報の設定は初期設定で無効にされる必要がある )

(2) ターゲットを絞った広告を目的とした子供のプロファイリングにつき、通常、プロファイリングはデフォルトで無効にする)。

(3) レコメンダー・システム(recommender systems)(注3)での子供の情報の使用 (子供たちを有害なコンテンツにさらしたり、子供たちにプラットフォーム上で追加の時間を費やすよう奨励したり、子供たちにプラットフォームに追加の個人情報を提供するよう奨励するなど、アルゴリズムで生成されたコンテンツフィードによってもたらされる子供への潜在的な危害に焦点を当てることの禁止。

(4) 13 歳未満の子供のオンライン情報の使用の制限(サービスが親や保護者の同意を取得し、確実な年齢確認技術を使用する方法に焦点を当てる)。

　この戦略を運用するために、英国 ICO は 2024 年夏に具体案の基づく“Call for Evidence”(注4)を発表し、さまざまな利害関係者からの意見を募り、主要なソーシャルメディアとビデオ共有プラットフォームを特定し、利害関係者（親、子供、関連する児童団体を含む）と連携し、当局の規制執行権限を利用してコンプライアンスを確保する予定である。

２．ICO子供向け規範のガイダンスとリソースの内容

　ICOの関係サイトのリンクを提供する。

(1)共有部(共有パネルを開く)

　このページのガイダンスは、あらゆる規模のあらゆる部門の組織に適している。中小企業では、中小企業 Web ハブのリソースを使用することもできる。

(A)簡単な入門ガイダンス

　児童向け規範の入門解説(Introduction to the Children's code)：児童規範が誰に適用されるのか、またそれに準拠するには何をする必要があるのかの解説。

(B)実践規範

　年齢に応じたサービス・デザインの徹底(Age appropriate design: a code of practice for online services) : オンライン・サービスの実践規範

　児童規範には、子供がアクセスする可能性が高いオンライン・サービス (アプリ、オンライン・ゲーム、Web サイトやソーシャルメディア・サイトなど) のプロバイダーが準拠すべき 15 の基準が詳しく規定されている。

(C)法執行や規範の徹底に向けた戦略

　オンラインでの子供のプライバシーの保護: 子供向けの規範の徹底化戦略(Protecting children's privacy online: Our Children's code strategy)

　この戦略は、法律の執行と児童規範への準拠を継続する方法など、我われの取り組みの次の段階における優先事項をまとめたもの。

(D)追加のガイダンス

①子供に向けた最善の利益確保策

　最初の基準の紹介、子どもの権利の理解、影響の特定と評価、行動の優先順位付け等。

②年齢確認(Age assuarance)：コミッショナーの意見(Age assurance for the Children’s Code)

　コミッショナーは、(1)IT企業がこの規範の年齢に適した適用基準を満たすことをどのように期待しているか、(2)年齢に適した適用がどのように実行されることを期待しているか、および(3)年齢確認による個人データ保護コンプライアンスへの期待。

③アクセスされる可能性が高いISS向けガイダンス(‘Likely to be accessed’ by children – FAQs, list of factors and case studies)

子供を対象としたものではない場合でも、子供がサービスにアクセスする可能性がある ISS(注5) に対するガイダンス。

(E)あなたの分野に関し

①Edtech (学校と教育テクノロジー)- あなたの質問が解決される。

学校や教育テクノロジーへのCodeの適用に関してよくある質問を例示(FAQ)。

②Codeが組織・団体に適用されるかどうかなど、デジタルニュース業界でのコードの適用に関してよくある質問を例示。

③ゲームデザイナーのための重要なヒントの提供 ( 児童向け規約に準拠する方法等)

リスク評価の実施、年齢確認の取得、透明性の確保、子供の情報の不利益な使用の防止、高度なプライバシー設定、責任あるプロファイリング、および積極的なナッジ技術の規制。

３．リソース

①児童向けCodeにかかる自己評価リスク・ツールキット(Children's code self-assessment risk toolkit)

　サービスにどのように適用されるかについてリスク評価を実施し、子供とそのプライバシーを保護するために適切かつリスクベースのアプローチを確実に適用するための実践的な手順を取得できる。

②よくある質問: Codeに関する 15 の標準の解説

　Codeの標準を適用する方法についてよくある質問に答える。

③データ保護影響評価 (DPIA) ツール(Tools for completing a data protection impact assessment (DPIA))

　オンライン小売、コネクテッド・トイ(注6)、モバイルゲームやアプリ向けの一般的な DPIA テンプレートとサンプル DPIAを提供。

Ⅲ．我が国のオンライン児童保護強化、徹底に向けた課題

１． オンライン児童保護に関する法制の現状

　環境整備法で、事業者・管理者側に閲覧できないような措置をとるよう努力義務を課しているが、罰則規定はない。わが国IHC(インターネットホットラインセンター)(注7)が主にメールで管理者側に削除を要請しても、2ちゃんねるの場合は「削除要請のメールに反応もない」（警察庁幹部）という。

　全国の警察は、ネット上の違法情報に基づく摘発を進めているが、大半は書き込みや投稿をした側が対象。サイト管理者側の摘発は、児童ポルノやわいせつ画像を掲載させた容疑など昨年は8件にとどまる。サーバーが海外にあるなど日本の法律の適用が難しいケースもある。

　ネット問題に詳しい岡村久道弁護士は「ネット上でも、交流サイト（SNS）のように身元を明かして情報交換などを行う場が広がり、匿名の掲示板には違法情報が集中しやすい構造にある」と指摘。「自らが管理する場所に違法情報があることを知ったら責任を持って対処すべきだ」として、サイト管理者が削除要請に応じる体制を整える必要性を強調している。(日経新聞サイトから抜粋)

２．わが国の特に児童(小中学生)のオンライン利用からいかに子供たちを守るべきか(私見)

①「環境整備法」はあくまで抽象的に事業者の努力義務を課しているが、具体的でなく、また「罰則規定はない。実効性が疑問。

② IHC等国際的ネットワークのホットラインの効果はいかがであろうか。法的な罰則の根拠がないままで効果があげられるとは思えない。

③前記法で見る通り、「青少年」が対象であるが。海外の立法例も十分斟酌し、わが国でも１3歳未満の児童のオンライン利用保護立法が喫緊の課題であろう。その根拠としてINHOPE年報で世界的に見た被害者の年令層やジェンダーを見た。その結果は以下のとおりである。(13歳未満の被害者は85% また女性の被害は95%)

④親や保護者に向けた具体的対応に向けたガイダンス、Q＆Aがない。

*************************************************

(注1) 「青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律(平成20年法律第79号)」の一部抜粋

（定義）

第二条　この法律において「青少年」とは、十八歳に満たない者をいう。

２　この法律において「保護者」とは、親権を行う者若しくは後見人又はこれらに準ずる者をいう。

（携帯電話インターネット接続役務提供事業者等の青少年確認義務）

第十三条　携帯電話インターネット接続役務提供事業者及び携帯電話インターネット接続役務提供事業者の携帯電話インターネット接続役務の提供に関する契約（以下「役務提供契約」という。）の締結の媒介、取次ぎ又は代理を業として行う者（以下「携帯電話インターネット接続役務提供事業者等」という。）は、役務提供契約（既に締結されている役務提供契約（以下この項において「既契約」という。）の変更を内容とする契約又は既契約の更新を内容とする契約にあっては、当該既契約の相手方又は当該既契約に係る携帯電話端末等の変更を伴うものに限る。以下この条及び次条において同じ。）の締結又はその媒介、取次ぎ若しくは代理をしようとするときは、あらかじめ、当該役務提供契約を締結しようとする相手方が青少年であるかどうかを確認しなければならない。

２　携帯電話インターネット接続役務提供事業者等は、前項の規定により役務提供契約を締結しようとする相手方が青少年でないことを確認したときは、当該相手方に対し、当該役務提供契約に係る携帯電話端末等の使用者が青少年であるかどうかを確認しなければならない。

３　携帯電話端末等を青少年に使用させるために役務提供契約を締結しようとする者は、携帯電話インターネット接続役務提供事業者等が前項の規定による確認を行う場合において、当該携帯電話インターネット接続役務提供事業者等に対し、その旨を申し出なければならない。

（携帯電話インターネット接続役務提供事業者等の説明義務）

第十四条　携帯電話インターネット接続役務提供事業者等は、役務提供契約を締結しようとする相手方が青少年である場合にあっては当該青少年に対し、役務提供契約に係る携帯電話端末等の使用者が青少年であり、かつ、当該役務提供契約を締結しようとする相手方がその青少年の保護者である場合にあっては当該保護者に対し、次に掲げる事項について、説明しなければならない。

一　携帯電話端末等からのインターネットの利用により青少年が青少年有害情報の閲覧をする可能性がある旨

二　青少年有害情報フィルタリングサービスの利用の必要性及び内容並びに第十六条に規定する青少年有害情報フィルタリング有効化措置の必要性及び内容

（携帯電話インターネット接続役務提供事業者の青少年有害情報フィルタリングサービスの提供義務）

第十五条　携帯電話インターネット接続役務提供事業者は、役務提供契約の相手方又は役務提供契約に係る携帯電話端末等の使用者が青少年である場合には、青少年有害情報フィルタリングサービスの利用を条件として、携帯電話インターネット接続役務を提供しなければならない。ただし、その青少年の保護者が、青少年有害情報フィルタリングサービスを利用しない旨の申出をした場合は、この限りでない。

（携帯電話インターネット接続役務提供事業者等の青少年有害情報フィルタリング有効化措置実施義務）

第十六条　携帯電話インターネット接続役務提供事業者等は、携帯電話端末等（青少年有害情報フィルタリング有効化措置（インターネットを利用する者の青少年有害情報の閲覧を制限するため、インターネットと接続する機能を有する機器に組み込まれたプログラムの機能を制限する措置をいう。以下この条及び第十九条において同じ。）を講ずる必要性が低いものとして総務省令・経済産業省令で定めるものを除く。）であって、その販売が携帯電話インターネット接続役務の提供と関連性を有するものとして総務省令・経済産業省令で定めるもの（以下この条において「特定携帯電話端末等」という。）を販売する場合において、当該特定携帯電話端末等に係る役務提供契約の相手方又は当該特定携帯電話端末等の使用者が青少年であるときは、当該特定携帯電話端末等について、青少年有害情報フィルタリング有効化措置を講じなければならない。ただし、その青少年の保護者が、青少年有害情報フィルタリング有効化措置を講ずることを希望しない旨の申出をした場合は、この限りでない。

（インターネット接続役務提供事業者の義務）

第十七条　インターネット接続役務提供事業者は、インターネット接続役務の提供を受ける者から求められたときは、青少年有害情報フィルタリングソフトウェア又は青少年有害情報フィルタリングサービスを提供しなければならない。ただし、青少年による青少年有害情報の閲覧に及ぼす影響が軽微な場合として政令で定める場合は、この限りでない。

第三章　インターネットの適切な利用に関する教育及び啓発活動の推進等

第四章　青少年が青少年有害情報の閲覧をすることを防止するための措置

(注2) 環境整備法の要旨を引用する。

　18歳以下の青少年がインターネットを利用する際、暴力、アダルト、出会い系、薬物といった有害情報に触れる機会を減らすことを目的に作られた法律。

　正式名称は「青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律」。内容としては、企業や個人に対して主に下記のようなことを定めている。

ケータイ事業者……保護者が申し出た場合を除き、青少年がネットを利用する際にコンテンツフィルタリングサービスを提供する

インターネット事業者……コンテンツフィルタリングサービスの普及、および利用を促進するための措置を取る

サイト管理者……青少年にとって有害な情報が発信されていることを知ったときに、青少年の閲覧を防ぐように努める

　そのほか、青少年の安全なネット利用に関する基本方針を決める「インターネット青少年有害情報対策・環境整備推進会議」を内閣府に設置することや、フィルタリングの調査、開発、啓発を行なう団体を第三者機関として認定して、国や地方公共団体が支援することなどを定めている。

(注3) レコメンダー・システム（recommender system）は、情報フィルタリング (IF) 技法の一種で、特定ユーザーが興味を持つと思われる情報（映画、音楽、本、ニュース、画像、ウェブページなど）、すなわち「おすすめ」を提示するものである。通常のレコメンダ・システムは、ユーザーのプロファイルを何らかのデータ収集基準と比較検討し、ユーザーが個々のアイテムにつけるであろう評価を予測する。基準は情報アイテム側から形成する場合（コンテンツベースの手法）とユーザーの社会環境から形成する場合（協調フィルタリングの手法）がある。(Wikipedia から抜粋)

(注4) “Call for Evidence”とは、政府のモデル分析などについて、その根拠となる仮定やデータが適当であり、利用可能な最善の根拠に基づくものあるかを検証するため、広く国民、専門家、事業者、ＮＧＯなどに対して、質問票の照会事項に沿った、根拠に基づく情報の提供を照会する(公開協議)ものである。その意味からして、わが国で一般的な「根拠に基づく情報提供の照会」という訳語は誤訳であろう。

(注5) 子供にオンラインサービスを提供するために子供の個人データを使用する場合は、どうする必要があるか?(ICOサイトから抜粋、仮訳する)

子供にオンラインサービスを提供するために子供の個人データを使用する場合は、DPIA を実行して、その処理がデータ主体の権利と自由に高いリスクをもたらすかどうかを確認する必要がある。これは、子供たちへのオンラインサービスの提供が、そのようなリスクを引き起こす可能性が高い状況の 1 つであると ICO がみなしているためである。さらに詳しいガイダンスについては、データ保護影響評価に関する詳細なガイダンスを参照されたい。

英国GDPR第 8 条には何と書かれているか?

　英国の GDPR の第 8 条は、情報社会サービス (information society service (ISS) を子供に直接提供する場合に適用される。この文脈における子供の個人データの処理について常に同意を得る必要はないはないが、同意に依存することを選択した場合は、次のようなさらなる条件が定められている。

　「1. 第 6 条第1項の点 (a) が児童への直接的な情報社会サービスの提供に関連して適用される場合、児童の個人データの処理は、児童が 13 歳以上であれば合法となる。児童が 13 歳未満の場合、そのような処理は、児童に対する親の責任を負う者の同意が得られるか許可されている場合に限り、またその範囲においてのみ合法となる。

管理者は、このような場合、利用可能なテクノロジーを考慮して、子供に対する親の責任を持つ者によって同意が与えられているか、または許可されているかを確認するための合理的な努力を払うものとする。
第 1 項は、児童に関する契約の有効性、成立、効力に関する規則などの国内法で運用されるため、一般契約法には影響を及ぼさないものとする」

(注6) 「コネクテッド・トイ」は、Wi-Fi、Bluetooth、またはその他の機能が組み込まれたインターネット対応デバイスである。これらのおもちゃは、スマート・トイである場合もそうでない場合もあり、アプリの統合、および/または画像認識、RFID機能、およびWeb検索機能、音声認識を提供できる組み込みソフトウェアを通じて、子供たちによりパーソナライズされた遊び体験を提供する。コネクテッド・トイは通常、ユーザーに関する情報を自発的または非自発的に収集するため、プライバシーに関する懸念が生じる。(Wikipedia から抜粋、仮訳)

(注7) インターネット・ホットラインセンター(IHC)は、ホットラインの国際的な連合組織である”INHOPE”の日本支部である。

利用者からインターネット上の違法情報や自殺誘引等情報、重要犯罪密接関連情報の通報を受理し、ガイドラインに基づいて警察に情報提供するとともに、サイト管理者等に送信防止措置を依頼する。

**********************************************************************

2024-04-04

ドイツ連邦データ保護法および連邦電気通信テレメディア・データ保護法 (TTDSG)の改正を巡り何が変わるのか、企業等は何に特に注意を払う必要があるのか？

国際的個人情報保護法制

　2024 年 2 月 7 日、ドイツ連邦内閣は連邦データ保護法（Bundesdatenschutzgesetz ：以下、「 BDSG」という）を改正する法案 (以下、「法案」という) を承認した。この法案は今後、連邦参議院（Bundesrat：連邦レベルでドイツの16の州を代表する立法機関）に意見を求め、その後、連邦議会 (Bundestag)）に提出されて議論され、場合によっては採択される予定である。

　この法案は、BDSGの第1部と第2部を一部改正することにより、2021年の連邦内務省によるBDSG評価で浮き彫りになった問題に対処することを目的としている。他の立法プロジェクトではさらなる修正に取り組む予定である。

　この法改正につきドイツを中心に400 lawyers, 22 languagesをカバーする国際法律事務所である「HEUKING」の標記解説記事blogを読んだ。筆者はDr.Philip Kempermann氏( LL.M.(法学修士)である。他の解説を踏まえ補足しつつ仮訳、解説を加える。

Philip Kempermann氏

　要約すると「ドイツ連邦政府はデータ保護の施行と一貫性を改善するために、我々は欧州の協力を強化し、連邦データ保護法（Bundesdatenschutzgesetz ：以下、「 BDSG」という）に「データ保護会議(Datenschutzkonferenz:Data Protection Conference)(以下、「DSK」という)」を制度化し、可能な限り法的拘束力のある決定を下せるようにしたいと考えている。現在、連邦内閣は現在、BDSGの改正草案を承認しており、その目的はデータ保護とBDSGの評価結果に関する連立協定を部分的に実施することである。

　また、同時に連邦デジタル・運輸省(BMDV)も電気通信電気メディアデータ保護法 (Telekommunikation-Telemedien-Datenschutz-Gesetz – TTDSG)の改正草案を提示した。電気通信電気メディアデータ保護法 (Telekommunikation-Telemedien-Datenschutz-Gesetz – TTDSG) は、特に「番号に依存しない対人電気通信サービス」が次のように標準化した完全エンドツーエンド暗号化を使用して電気通信サービスを提供することが義務付けられる範囲で改正される予定である。

Ⅰ．BDSGの主な改正点

　1970 年代に BDSG が導入されて以来、数多くの法律改正が行われてきた。法律の明確化を目的とした多くの変更に加えて、データ管理者とデータ主体に影響を与える可能性のある特定の変更も数多く行われている。

(1)新たに導入された BDSG 草案第 16a 条に従って、データ保護会議 (Datenschutzkonferenz – DSK) は、独立したデータ保護監督当局の正式な代表機関としての立場に関する疑念を払拭するために制度化される。しかし、連立合意の意図に反して、DSKの決議は法的拘束力を持たないままであり、さもなければ憲法上の制限に影響を与える可能性がある（混合統治）

(2)BDSG 草案の新設第 40a 条によると、国境を越えたプロジェクトを行う企業および/または研究機関は、単一の州のデータ保護当局にのみ服従するものとします。(注1) これらの企業は、共同管理者であることを共同で示すことができる必要があります。その場合、管轄監督当局は、通知の前の会計年度において年間売上高が最も高かった企業が管轄する当局となる。通知は、共同管理者に対して責任を負うすべての監督当局に行われるべきである。

　科学的または歴史的研究目的および統計的目的でデータを処理する共同管理者、および独占的企業でない、または独占的企業ではない共同管理者については、最も多くの人が雇用されている当局が単独で責任を負うという条件で、新設のBDSG第40a 条が適用される。

(3)GDPR第 15 条に基づくデータ主体のアクセスの権利

　GDPR第 15 条は、情報が管理者または第三者の企業秘密またはビジネス秘密をデータ主体に開示する可能性を規定しており、ドイツは機密性に対する利益が情報に対するデータ主体の利益を上回る場合の扱いについて、BDSG 改正草案第 34 条(Section 34 Right of access by the data subject)によって明確化される。

　その背景は欧州司法裁判所 (CJEU) は、2023 年 7 月 12 日判決( C-634/21 )において、民間信用情報会社SCHUFAスコアリングが第三者の権利を決定するものである場合には、許されない自動決定に当たるとの判決を下したことである。送信されたSCUFAのスコア値は、この与信申込人物との契約関係を確立、実行、または終了する。 CJEU の判決は、GDPR の要件が BDSG 第 31 条の適用を妨げるかどうかの問題も扱っている。ヴィースバーデン行政裁判所と欧州司法裁判所法廷長官は、EU法違反を含む「深刻な懸念」を表明し、その結果、連邦政府はBDSG第31条を廃止し、新たに第37a条を新設し、置き換えることでこの問題を是正したいと考えているという。この問題は、後記第2節で詳しく述べる。

(4)企業実務にとって重要な点:企業秘密における情報への主体の権利の制限

　連邦政府はBDSG 第 34 条の改正も望んでいる。この基準は、GDPR 第 15 条に基づく情報に対する権利が適用されなくなる条件を規定する。 BDSG は、法定の保存要件によりデータが削除できないため、データが保存されるだけの場合に当てはまる。しかし、新しい改正法の文言によれば、情報に対する権利はもはや公法に基づく法律には適用されないのみでとある。

　一方、新たに挿入された法案文によれば、営業秘密または営業秘密が関係者に漏洩する可能性があり、秘密保持に対する利益が関係者の情報に対する利益を上回る場合には、情報に対する権利はもはや存在しないはずである。

　BDSG 第 34 条の規定のいずれかにより情報に対する権利が存在しなくなった場合、第 3 項は、本人の要求に応じて少なくとも連邦長官に情報を提供する可能性を規定している。この段落では、連邦公共団体がこの可能性について関係者に通知する義務を追加した。

　例外は、営業秘密および営業秘密の機密性への利益が、情報におけるデータ主体の利益を上回る場合に適用される。

(5)民間団体のビデオ監視に関する法規制の撤廃

　BDSG第4条第(1)項の改正案は次のように要約される。(注2)

「公的機関による光学電子機器(ビデオ監視)を備えた公的にアクセス可能な部屋の観察は、許可される。」

　その結果、非公的機関、特に企業による公的にアクセス可能な部屋のビデオ監視に関する規制は、BDSG連邦法から削除された。このビデオ監視の許容性は、GDPR の第 6 条第 1 項に直接基づいている。

　考えられる影響:規制がこのように施行された場合、BDSG第4条第4項がまだ参照されている場合、ビデオ監視の参照標識は法的根拠に関する調整と見なす必要がある。

２．欧州連合司法裁判所 (CJEU) は、2023 年 12 月 7 日、SCHUFA Holding AG (以下、「SCHUFA」という) に対して画期的な判決

　CJEUのリリースと判決原本、ならびに解説から抜粋、引用、仮訳する。

(1)SCHUFA とは何か

　SCHUFA とは個人を中心とした信用スコアである。ドイツに住むほぼ全ての人についてスコアがつけられている（移住して間もない場合はスコアデータが出せない）。

　SCHUFA は決して公的機関の出すものではなく、Schufa Holdings AG という民間金融機関や一般事業会社からの出資によって経営されている会社によって運営されている。

　一般のスコア Basisscore は、100点満点中 97.5 以上であれば最優秀のカテゴリーですが、95 以上であれば十分で、90 を超えていれば何とか支障はないという印象です。逆に50 を切るとかなり問題になる。

　これとは別に、100 を最高点に600 台まで下がっていく、SCHUFA-Orientierungswert というスコアもある。

　また、SCHUFA には主に２種類あって、オンラインで請求して書面郵送を待つ正式版の SCHUFA-BonitätsAuskunftと、銀行や不動産系のウェブサイトでもその場で PDF の形でダウンロードできる SCHUFA-Bonitätscheckがある。

(2) 2023 年 12 月 7 日、欧州連合司法裁判所 (CJEU) は、SCHUFA Holding AG (以下、「SCHUFA」という) に対して画期的な判決を下した。この判決は、信用スコアリング機関の「EU 一般データ保護規則」の適用方法に影響を与える可能性がある。判決では、借り手予定者(prospective borrower) (以下、「OQ 」という)対. ヘッセン州事件で、CJEU は、SCHUFA の信用スコアリングが GDPR 第 22 条の対象となる自動意思決定 (以下、「ADM」という) として適格であると決定した。以下で、裁判経緯を概観する。

①事件の背景

　この事件には、ドイツの民間信用照会機関である SCHUFA が提供した信用情報に基づいて貸し手が融資申請を拒否した後、GDPR に基づく個人の権利を行使した「OQ」が関係している。 SCHUFA は OQ の個人データを使用して個人の信用度を示すスコアを生成し、その後ドイツの金融業者と共有した。

　OQ は、GDPR に従って、SCHUFA の自動信用スコアリングプロセスに関する情報を求める件名アクセスリクエストを作成した。具体的には、GDPR 第 15 条 (1) (h) では、個人が「関係するロジック、およびデータ主体にとってのそのような処理の重要性と予想される結果について」知るためにADM に関する情報を要求することを許可している。要約すると、第 22 条第 1 項は、「[データ主体] に関する法的効果を生み出す、または同様に [データ主体] に重大な影響を与える」決定をもたらす処理の自動化を規定している。

　SCHUFAは、企業秘密を理由に、OQのこの情報の要求を拒否した。 SCHUFA は、同社は第 22 条第 1 項の対象となる種類の ADM を実行しておらず、最終的な融資決定に向けた「準備行為」に従事しているだけであると主張した。ローン申請を拒否する決定を下したのは SCHUFA ではなく銀行等貸し手であり、SCHUFA の役割は OQ の自動スコアを作成することだけであり、したがってSCHUFAは、OQの第15条の要求に従う必要はないと主張した。

②CJEUは何を決定したか?

　CJEU は、SCHUFA の主張に反して、同機関は第 22 条第 1 項に従う決定を下したという判決を下した。同裁判所は、SCHUFAが金融機関によるOQの融資申請拒否の結果において「決定的な役割」を果たしたことから、SCHUFAは実際に関連するGDPRの ADM義務の対象となる意思決定者を構成していると明言した。

　これは、例えば信用スコアリングの法的根拠を作成することになり、 それは消費者を保護するのに役立つ。すなわち、以下のデータを使用して、スコアリング中に確率値を作成することはできないことになる。:

民族的起源、生体認証データ、健康データなど、DSGVO第9条1項の意味における個人データの特別なカテゴリ。
ソーシャルネットワークの使用によるデータ主体の名前または個人データ。
銀行口座からの入金および入金に関する情報。
アドレスデータ。
未成年者に関するデータ。

　この決定を受けて、CJEUはプレスリリースを発行し、第三者が自動プロセスを「信用の付与における決定的な役割」とみなす場合、実施される信用スコアリングは「GDPR第22条によって原則的に禁止されている[ADM]とみなされなければならない」という与信決定機能を確認した。

③SCHUFA事件の信用情報(スコアリング)事業者等への影響

　GDPR第 22 条に基づく ADM の構成要素に関するこの CJEU の広範な解釈は、企業が個人に影響を与える最終的な決定を下さなかったとしても、企業が「決定的な役割」を果たしている場合には、依然として GDPR の ADM 義務の対象となる意思決定者を構成できることを意味する。最終的な結果では。特に、この決定は信用スコアリング機関に影響を与えるだけでなく、個人に重大な影響を与える決定を下す際に信頼されるリスクベースのスコアを生成する自動プロセスを使用するサービスプロバイダーにも影響を与える可能性がある。

　したがって、意思決定チェーンに参加する自動化プロセスに従事するすべての団体・組織は、自身がGDPR に準拠する独立した義務があるかどうかを検討する必要がある。

３．連邦法務省の改正法案の逐条解説　

　連邦法務省のBDSG改正法案の逐条解説(全27頁)を以下で、仮訳する。

第1条

連邦データ保護法の改正　

(1) 目次を次のように変更する(Die Inhaltsübersicht wird wie folgt geändert:)

(2) 第 1 条は次のように修正される。(§ 1 wird wie folgt geändert:)

(3) 第 1 部第 2 章を次のように修正する。(Teil 1. Kapitel 2. wird wie folgt geändert:)

(4) 第 1 部、第 4 章の後、次の第 4a 章を挿入する(Nach Teil 1. Kapitel 4. wird folgendes Kapitel 4a. eingefügt:)

(5) 第 17 条は次のように修正される。(. § 17 wird wie folgt geändert:)

(6) 第 18 条は次のように修正される。

(7). 第 19 条第 1 項は次のように修正される。(§ 19 Absatz 1 wird wie folgt geändert)

(8) 第 27 条は次のように修正される。(§ 27 wird wie folgt geändert:)

(9) 第 29 条第 3 文 1 において、情報「2a」が情報「2」に置き換えられる(In § 29 Absatz 3 Satz 1 wird die Angabe „2a“ durch die Angabe „2“ ersetzt.)

(10) 第 30 条第 2 項第 3 文は廃止される。(§ 30 Absatz 2 Satz 3 wird aufgehoben.)

(11) 第 31 条は廃止される。(. § 31 wird aufgehoben.)

(12) 第 34 条は次のように修正される。(§ 34 wird wie folgt geändert:)

(13) 第 37 条は次のように修正される。(. § 37 wird wie folgt geändert:)

(14)第 37 条の後に、次の第37a 条が挿入される。

「§37a　スコアリング」(Nach § 37 wird folgender § 37a eingefügt:§ 37a Scoring)

(15) 第40 条第 2 項は次のように修正される。(§ 40 Absatz 2 wird wie folgt geändert:)

(16) セクション第40条の後に、次の第40a 条が挿入される。

「第40a条　共同責任会社の監督権限」

(筆者注：本条はEUのGDPR第56条のワンストップ・ショップ制度を取りこんだもの。複数の加盟国内に拠点を有する管理者/処理者の処理を担当する監督当局を一つに集中させることを狙いとしている。具体的には、管理者/処理者の主たる拠点の監督当局が、国境を越えた処理に関する主要監督当局としての役割を果たし、管理者/処理者にとって、越境での処理に関わる唯一の窓口となる。

主要監督当局は、意見の一致を図り、すべての関連情報を交換するよう、他の関連する監督当局と協力する。主要監督当局は、他の監督当局が相互支援や共同作業を行うよう要請し、特に、他の加盟国内に拠点をもつ管理者/処理者に関わる調査や対策実施の監督を行う。(筆者ブログ（注１）参照。)

(第2条以下は略す)

Ⅱ．ドイツ連邦電気通信テレメディア・データ保護法 (TTDSG) の一部改正法案

　電気通信情報保護法に基づく同意管理業務等に関する改正法案につき連邦「交通・デジタル・インフラ省(Bundesministerium für Digitales und Verkehr)」の法案解説を抜粋、仮訳する。　

１．エンドツーエンド暗号化の義務化に加えて、明確化および補足的な規制も法律に組み込む必要がある。

　たとえば、「安全なエンドツーエンド暗号化」(注3)とは、通信コンテンツが送信側エンドユーザーで暗号化され、受信側エンドユーザーでのみ再度復号化されるため、閲覧することはできず、電気通信サービスのプロバイダーまたは第三者はキーにアクセスできず、伝送路全体にわたって解読できないようにする暗号化技術として定義される。

　エンドユーザーには、電気通信サービスのプロバイダーからエンドツーエンド暗号化について通知される必要がある。このような暗号化が技術的に不可能な場合、プロバイダーは、そのような暗号化を妨げる技術的な理由に関する情報を提供する必要がある。

２．新たに導入されたTTDSG-E第13a 条は、商業的に提供される電気通信サービスのプロバイダーが、EUの刑事手続きにおける証拠、および刑事手続き後の懲役刑の執行には証拠を必要とする「欧州電子情報セキュリティ命令(Electronic evidence in criminal proceedings – production and preservation orders)(注4)の場合に電子証拠を保護および送信するために必要な場合に限り、加入者データ、トラフィックデータ、および位置データを処理できるようにすることを目的としている。 (TTDSG第13条は位置情報規定(Standortdaten)

３．同じ目的で、TTDSG-E 第24a条によれば、ユーザーが相互に通信したり、別の方法でデータを処理したりできるようにする商用テレメディアのプロバイダーは、データの保存が許可されることを条件として、加入者データと使用状況データの処理を許可されるべきで、ユーザーに提供されるサービスのプロセスの決定的な部分である。これは、インターネットドメイン名と、IP アドレス割り当てやドメイン名登録サービスなどの IP 番号付けサービスのプロバイダー、ドメイン名レジストラサービスのプロバイダー、ドメイン名に関連するプライバシーとプロキシサービスのプロバイダーにも適用される必要がある。

４．2 つの新たな違反行為につきTTDSG第28条細則(Bußgeldvorschriften) の罰金規定に追加される。

　一方で、TKG の第 3 条第 13 号(注5)の意味に含まれるエンドユーザーは、エンドツーエンド暗号化の実装または可能性について通知される必要がある。一方、ユーザーには、TKG 第3条(定義)第41号(注6)の意味の範囲内で、提供されたユーザーのみが情報を読み取ることができるようにする継続的かつ安全な暗号化の可能性について通知する必要がある。罰金の額は変更されるべきではない。 TTDSG-E 第29条 (注7)では、データ保護と情報の自由に関する連邦長官の権限が拡大される。特に、データ保護の遵守を確保するための命令やその他の措置を講じることができるようになる。

現在のところ、そのような一般条項は GDPR 第 58 条に規定されていない。この権限が GDPR 第 58 条に記載されている権限にどの程度限定されるかは、まだ不明である。TTDSG-E第 29 条の措置を施行するために、最大 100 万ユーロ(約1億6400万円)の違約金の支払いを設定する可能性があることは言うまでもない。

*********************************************************

(注1) BDSG 草案の新設第 40a 条はGDPR第56条、第60条のワンストップ・ショップ・メカニズムの国内法化である。

ワンストップ・ショップ・メカニズムにつき、筆者blpg4/2⑲(注1)参照。

(注2) 現行法のBGSG第 4条第1項を仮訳する。

公共のアクセス可能なスペースにおけるビデオ監視

(1) 光電子機器による公共のアクセス可能なエリアの監視 (ビデオ監視) は、次の必要な場合にのみ許可される。

公共機関がその任務を遂行するため、
誰かにアクセスを許可または拒否するかを決定する権利を行使するため、
特別に定義された目的のために正当な利益を保護するため、

また、もしデータ主体の正当な優先利益を示すものが何もない場合、以下のビデオ監は、参加者の生命、健康、自由を保護することは、非常に重要な利益とみなされる。

スポーツ施設、集会や娯楽の場所、ショッピングセンターや駐車場などの公共の利用できる大規模な施設
公共鉄道、船舶、またはバス交通機関の車両および公共の利用できる大規模な施設、

(注3) エンドツーエンド暗号化（end-to-end encryption、E2EE、E2E暗号化）は、通信経路の末端でメッセージの暗号化・復号を行うことで、通信経路上の第三者からのメッセージの盗聴・改ざんを防ぐ通信方式である。E2EEを用いた通信では、メッセージは意図した受信者だけが復号できるよう暗号化してから転送されるため、通信が傍受されたり、通信を中継するサーバが危殆化したりした場合でも、通信の機密性が確保される。

　一方、TLS(Transport Layer Security)では、通信はメッセージを中継するサーバとの通信経路では保護されるが、中継サーバからは保護されない。一方、E2EEを用いると、メッセージはサーバ間ではなく通信経路の末端で暗号化・復号されるため、通信は中継サーバを含む意図した受信者以外から保護される。(Wikipedia から抜粋)

(注4) “Electronic evidence in criminal proceedings – production and preservation orders”の立法目的の規定を仮訳する。

データの所在に関係なく、刑事犯罪の捜査と訴追に使用される電子証拠へのアクセスを容易にし、迅速化することを目的としている。

欧州連合 (EU) 加盟国の司法当局は、別の加盟国におけるサービスプロバイダーの指定設立またはその任命された法定代理人に対し、次のことを要求することができる。

加入者データ、ユーザーを識別するために必要なインターネット・プロトコル (IP) アドレス、電子メール、テキスト、アプリ内メッセージなどの電子証拠を作成する。

また、今後のリクエストが保留されるまで、指定されたデータを保存する。

(注5) Telekommunikationsgesetz (TKG)第 3 条Begriffsbestimmungen(定義)第13号の仮訳

13.号「エンドユーザー」とは、公衆電気通信ネットワークを運営せず、公的に利用可能な電気通信サービスを提供しないユーザーを意味する。

(注6) TKG 第3条(定義)41号の仮訳

「ユーザー」とは、公的に利用可能な電気通信サービスを私用またはビジネス目的で使用または申請する自然人または法人を意味する。

(注7) TTDSG第29条「データ保護と情報の自由に対する連邦長官の責任、任務、権限」参照。

********************************************************

2024-04-02

フロリダ州、オハイオ州およびウタ州等の未成年者のソーシャル・メディア・プラットフォーム利用にかかる厳格な規制州法立法とそれらを巡る憲法違反裁判等の最新動向

ITと未成年者保護

　フロリダ州では3月25日(月)、州知事ロン・デサンティス(Ron DeSantis)氏はSB 3法案に署名した。この法案は大まかにいうと、ソーシャル・メディア・プラットフォームに対し、14歳未満の個人のアカウント作成を停止する一方で、14歳または15歳のアカウント作成については親や保護者の同意を求めることを義務付けている。州法務局は、違反 1 件につき最高 50,000 ドル(約755万円)の民事罰金、妥当な弁護士費用および訴訟費用、および (特定の条件下で) 懲罰的損害賠償を徴収する場合があり、また未成年のアカウント所有者に対し、最大 10,000 ドル(約51万円)の損害賠償を請求することもできる。

この法律は 2025 年 1 月 1 日に発効する。

　この記事を読んで、まず筆者は他州の動向を調べるべくオハイオ州、ウタ州の法解説サイトにたどり着た。

　今回のブログは、これら3州の法内容を比較すべくまとめるとともに、これら発生するであろう大手テクノロジー企業のメンバーからなる全国的な業界団体であるNetChoiceの告訴による仮差止命令の意義等に言及する。

　この判決は、いくつかの州が州レベルで子供のプライバシーを規制しようとし、連邦取引委員会(FTC)が連邦レベルでCOPPA制度の大幅な変更を提案(注1)するなど、米国内および海外で子供のデータ・プライバシーへの注目が高まっている中で下された。

　一部の州では、ソーシャル・メディア・プラットフォームなど、特定のコンテンツや Web サイトの種類に制限を設けることで、より対象を絞ったアプローチを採用しているが、カルフォルニア州(注2)等他の州では、英国の「子供のアクセスの年齢適正化デザイン規則(Age-Appropriate Design Code）)(「Children’s Code」が略称)」のより包括的なアプローチに従っている。(注3)(解説から一部抜粋)

　なお、Children’s CodeはEUのGDPRおよび国連子どもの権利条約（UN Convention on the Rights of the Child :UNCRC）などに大きく依存しており、今後のわが国の子どものソーシャル・メディア・プラットフォーム等保護法の在り方を考える上で重要となろう。

　なお、後述するオハイオ州連邦地裁判決には筆者には大いなる異論がある。この点はEUのAI法の対する米国の考えの差にもつながる。この点については、別途本ブログで取り上げる予定である。

Ⅰ-1．フロリダ州上院の法案解説

　フロリダ州上院の法案解説を仮訳する。(法案原文)

　この法案は、規制対象のソーシャル・メディア・プラットフォームに対し、14歳未満の未成年者がアカウント所有者となるためにソーシャルメディア・プラットフォームと契約を結ぶことを禁止することを義務付けている。 14 歳または 15 歳の未成年者もアカウント所有者になることができるが、親または保護者の同意がある場合に限る。ソーシャル・メディア・プラットフォームは、次の場合にこの法案に基づいて規制される。

(1)ユーザーがコンテンツをアップロードしたり、他のユーザーのコンテンツやアクティビティを表示したりできるようにすること。

(2)法案に記載されている一定の毎日のアクティブ・ユーザー指標を満たすこと。(筆者補足：一定とは16 歳未満の場合、毎日のアクティブ・ユーザーの 10% 以上が、過去 12 か月間、プラットフォームで 1 日あたり 2 時間以上過ごしたこと)。

(3)ユーザーデータまたはユーザーに関する情報を分析するアルゴリズムを採用して、ユーザー向けのコンテンツを選択できること。

(4)特定の中毒性のある機能・内容を持っていること。

　この法案は、14 歳未満の未成年者が所有するすべてのアカウント、および 14 歳または 15 歳の未成年者が所有するが親または保護者の同意を得ていないアカウントに関して、規制対象のソーシャル・メディア・プラットフォームにそれらのアカウントを停止することを義務付けており、また、アカウント所有者またはその親または保護者がアカウントを終了できるようにする義務がある。

　ソーシャル・メディア・プラットフォームは、法律で個人情報の保持が義務付けられていない限り、これら停止されたアカウントに関連して保有するすべての個人情報を永久に削除しなければならない。

　また、この法案は、ウェブサイトやアプリケーション上で未成年者にとって有害なコンテンツを意図的かつ故意に公開または配布する規制対象の営利団体に対し、そのウェブサイトやアプリケーションにコンテンツの大部分が含まれている場合、18 歳未満による当該コンテンツへのアクセスを禁止することも義務付ける。

　それらは未成年者にとって有害であり、このような営利団体は、匿名または標準の年齢確認方法を使用して、未成年者にとって有害なコンテンツにアクセスしようとする人の年齢が法案の年齢要件を満たしていることを確認する必要がある。

　また、匿名の年齢確認方法を使用する場合、その確認は、米国の州の法律に基づいて組織された非政府の独立した第三者によって行われなければならない。この年齢確認に使用された情報は、年齢を確認した後に削除する必要がある。

　規制対象のソーシャルメディアプラットフォーム、営利団体、および法案の要件に故意かつ無謀に違反する営利団体の年齢確認を行う第三者は、「フロリダ州欺瞞および不公正取引慣行規制法(Florida Deceptive and Unfair Trade Practices Act)」に基づく強制法執行の対象となる。

　州法務局は、違反 1 件につき最高 50,000 ドル(約755万円)の民事罰金、妥当な弁護士費用および訴訟費用、および (特定の条件下で) 懲罰的損害賠償(注4)を徴収する場合がある。また未成年のアカウント所有者に対し、最大 10,000 ドル(約51万円)の損害賠償を請求することもできる。

Ⅰ-2．フロリダ州の16歳以下の未成年のアクセスを制限するソーシャルメディア規制法案の詳細

2024.3.29 Inside Privacy「フロリダ州は16歳以下の未成年のアクセスを制限するソーシャルメディア規制法案を制定」を前節と重複しない形で仮訳する。

　3月25日(月)、フロリダ州知事ロン・デサンティス(Ron DeSantis)氏はSB 3法案に署名した。この法案は大まかに、ソーシャル・メディア・プラットフォームに対し、14歳未満の個人のアカウントを停止する一方で、14歳または15歳のアカウント作成については親の同意を求めることを義務付けている。この法律は 2025 年 1 月 1 日に発効する。

Ron DeSantis氏

　主要な規定を、以下のとおり要約する。

（1）ソーシャルメディア・プラットフォームの定義

　　この法案は、次の基準をすべて満たすプラットフォームに適用される。

① ユーザーがコンテンツをアップロードしたり、他のユーザーのコンテンツやアクティビティを閲覧したりできるようにします。

② 16 歳未満の毎日のアクティブユーザーの 10% 以上が、過去 12 か月間、プラットフォームで 1 日あたり 2 時間以上過ごしたこと。

③ ユーザーデータまたはユーザーに関する情報を分析して表示するコンテンツを選択するアルゴリズムを採用しています。

④ 1 つ以上の中毒性のある機能が含まれている。

(2) 「中毒性のある機能」の定義

　この法律は、以下は中毒性のある機能とみなされると説明する。

① 無限スクロール(infinite scroll) (継続的に読み込まれるコンテンツ、または終了または改ページがないコンテンツ; ページを下にスクロールするたびに記事がある限り無限に次々と読み込まれて記事が表示される動きのこと)。

② アカウントのアクティビティまたはイベントについてユーザーに通知するプッシュ通知(注5)またはアラート。

③ 他のユーザーがユーザーのコンテンツに反応、共有、または再投稿した回数を示すインタラクティブな指標。

④ ユーザーがビデオまたは再生ボタンをクリックせずに再生を開始するビデオ機能。

⑤ ユーザーまたは広告主がリアルタイムでライブビデオコンテンツをブロードキャストできる機能。「ソーシャルメディア・プラットフォーム」の定義の 4 番目の要素を満たすには、機能が 1 つだけ存在する必要があることに注意されたい。

(3) 未成年者のアカウントの特定と開設

　ソーシャルメディア・プラットフォームは、アカウントに関連付けられた年齢情報と、コンテンツやコンテンツをターゲットや広告目的でプラットフォームがアカウントを処理または分類する方法の両方を考慮して、アカウントを評価して、そのアカウントが 15 歳以下のユーザーに属しているかどうかを判断する必要がある。

(4) 14 歳未満のアカウント：14 歳未満と判断された人のアカウントは停止されなければならない。アカウント所有者は、停止に対して 90 日間異議を申し立てることができる。アカウント所有者またはその親もアカウントの終了を要求することができる。この場合、アカウント所有者が要求した場合は 5 営業日以内に、また親が要求した場合は 10 営業日以内に終了する必要がある。さらに、プラットフォームは、法的要件を除き、終了したアカウントに関連するすべての個人情報を永久に削除する必要がある。

(5)私的訴訟の権利

　この法律の故意または無謀(reckless)な違反は、不公平で欺瞞的な取引慣行であり、国家によって罰則が強制される。州は、違反 1 件につき最高 50,000 ドル(約755万円)の民事罰金と、妥当な弁護士費用および訴訟費用を徴収する場合がある。また、違反行為のパターンに対して懲罰的損害賠償(punitive damages)が課されることもある。

(6)年齢認証

　未成年者にとって有害なコンテンツが 33.3% 以上含まれている Web サイトまたはアプリケーション上で、未成年者にとって有害なコンテンツを故意かつ意図的に公開または配布する営利団体は、ユーザーが 18 歳以上であることを確認するために年齢認証を実行する必要がある。ただし、報道機関はこの要件から免除されます。

　事業体は、標準または匿名の年齢確認の両方のオプションを提供する必要がある。匿名の年齢確認は、年齢確認に使用された後は個人識別情報を保持せず、そのような情報を匿名に保ち、不正または違法な使用、アクセス、破壊、変更、または開示から保護するプロセスとして定義される。この規定は、国家および私的訴訟権を通じて執行可能である。

Ⅱ．Utah 州「Utah Social Media Regulation Act」の概要

(1)2024.3.1 Utah州法(Utah Social Media Regulation Act)を施行

　Utah 州の統合法案(S.B. 152 Social Media Regulation Amendments)の解説から抜粋、仮訳する。

　ソーシャル・メディア・プラットフォームへの関与による未成年者への危害について、親、保護者、教育者、安全担当者、研究者、個人などとしての経験を共有されたい。

■2024 年 3 月 1 日以降、ソーシャル・メディア企業は以下を行う必要がある。

〇ソーシャルメディアアカウントの維持または開設を希望するユタ州の住民の年齢を確認する

〇18 歳未満のユタ州ユーザーの場合は、親または保護者の同意を得る。

〇親または保護者は子供のアカウントへのフルアクセスを許可する。

〇未成年アカウントへの夜間アクセスをブロックするデフォルトの門限を設定 (午後 10 時 30 分から午前 6 時 30 分) を作成し、保護者が調整できるようにする。

〇未成年アカウントを未承認のダイレクト・メッセージから保護する。

〇未成年アカウントを検索結果からブロックする。

■さらに、ソーシャルメディア企業は次のことを行う。

〇未成年者の個人データは収集できない。

〇未成年者のソーシャル・メディア・アカウントを広告のターゲットにすることはできない。

〇中毒性のあるデザインや機能を備えた未成年のソーシャル・メディア・アカウントをターゲットにすることはできない。

■ソーシャルメディア規制法の施行

　消費者保護局は、新しい法律を施行するために行政的または民事上の措置を講じる場合がある。法違反は 2024 年 3 月 1 日から同部門に報告できるようになる。

■ソーシャルメディア規制法が公布された。

プレスリリース: ユタ州行政規則局( OAR )がソーシャルメディア規制法の規則を発行

■ユタ州がTikTokを告訴(ウタ州司法長官の告発状

動画: コックス知事がTikTok訴訟を発表

プレスリリース: ユタ州、児童中毒被害を巡りTikTokを提訴、中国に拠点を置く親会社との「巻き込み」を標的に

■ユタ州がメタ(META PLATFORMS, INC., and INSTAGRAM, LLC,)を告訴訴訟(ウタ州司法長官の告発状)

プレスリリース: ユタ州、児童中毒被害とFacebookとInstagramの危険性について両親を欺いたとしてメタを告訴

Ⅲ．Ohio州 の規制法制定と裁判

１．州法「Social Media Parental Notification Act」の制定

　同法は、ソーシャル・メディア・プラットフォームに年齢確認措置を課し、16歳未満のユーザーには親の同意を求めるものである。オハイオ州法は、特に子供を対象としたプラットフォーム、または子供がアクセスする可能性が高いプラットフォームに適用され、以下の要素に基づいて決定される。

(1) 主題。

(2) 言語。

(3) デザイン要素。

(4) ビジュアル・コンテンツ。

(5) アニメキャラクターや子供向けの活動やインセンティブの使用。

(6) 音楽またはその他の音声コンテンツ。

(7) モデルの年齢。

(8) 子供芸能人や子供向けの有名人の存在。

(9) 広告。

(10) 視聴者の構成に関する経験的証拠。

(11) 対象読者に関する証拠。

　さらに、この法律は、製品レビューサイトと、コメント機能を備えた「確立され広く認知されている」ニュースサイトを例外としている。

　違反に対する罰則は、(i) 違反の最初の 60 日間は 1 日あたり最大 1000 ドルの罰金が含まれる。 (ii) 61 ～ 90 日目は 1 日あたり最大 5000 ドルの追加料金。 (iii) 91 日目以降は 1 日あたり最大 10,000 ドルの追加料金である。

　この法律はオンラインで未成年者を保護することを目的としている一方で、デジタルプラットフォームにおける言論の自由、曖昧さ、コンプライアンスの負担について深刻な懸念を引き起こしている。

２．米大手テクノロジー企業のメンバーからなる全国的な業界団体NetChoiceが連邦地裁に憲法違反で告訴と一連の企業の対応

　大手テクノロジー企業のメンバーからなる全国的な業界団体であるNetChoiceが主に合衆国憲法修正第1条を根拠に、これらの法律をめぐってさまざまな州を訴えおよびオハイオ州では2024年1月9日、オハイオ州南部地区連邦地方裁判所裁判決の争点内容と他州への影響につき、以下のローファームの解説をベースに仮訳する。

　2024.2.15 JD Supra LLCの解説「Court Prohibits Ohio’s AG From Enforcing Social Media Parental Notification Act」

　2024.1.22 Hunton Andrews Kurth LLP’の解説「Ohio Social Media Age Verification and Parental Consent Law Temporarily Blocked　」

　オンラインビジネスを代表する業界団体であるNetChoiceは、同法がNetChoiceの会員とそのユーザー双方の憲法修正第1条と第14条の権利を侵害しているとして、オハイオ州司法長官デイブ・ヨスト(Dave Yost)氏に対して仮差止命令を出すよう申し立てた。

Dave Yost 氏

　NetChoice は、この法律は表現の自由とインターネット上の情報にアクセスする権利を不当に制限していると主張した。さらに、NetChoiceは、この法律は曖昧であり、一部の企業が適用すらされない法律を遵守するために不必要に多額の費用を費やすことになると主張した。

　裁判所はまず、NetChoice が NetChoice の主張を聞き入れなかった場合の言論の自由への萎縮効果などの憲法上の損害だけでなく、会員への経済的損害に基づいて、NetChoice が自社とその会員の両方を代表して訴訟を起こす資格があると判断した。次に同裁判所は、言論の自由への影響とソーシャル・メディア・プラットフォームとそのユーザーに及ぼす潜在的な損害を考慮し、合衆国憲法修正第1条と第14条の両方のレンズを通して同法を精査した。

１．厳格な精査と内容に基づく制限: 裁判所は、本法は「内容に基づく」ものであるため、最高水準の審査である厳格な精査の対象であると判断した。厳格な監視のため、政府は、法律が政府のやむを得ない利益にかなうように、厳密に調整されたアプローチを使用していることを示す必要がある。司法長官は、オハイオ州法は、「子供を対象とした」サイト、または「子供によるアクセスが合理的に予想される」サイトに適用することで、未成年者のプライバシー、健康、安全にリスクをもたらすプラットフォームに適用を調整しているだけで特定のコンテンツをターゲットにするのではないと主張した。しかし裁判所は、特定の機能を備えたサイトに適用される法律の規定は、そのサイトが管理し育成することを意図したコミュニティに関するメッセージを伝えているため、本質的にコンテンツベースであると判示した。さらに、裁判所は、明らかにコンテンツベースであるとして「確立された」ニュースサイトと製品レビューサイトの例外を指摘した（一例として、裁判所は、なぜ法律に書籍や映画のレビューサイトの例外も含まれていないのかを尋ねた）。したがって、裁判所は、この法律は言論を選択的に規制しており、厳しい精査の対象であると判断した。

２．法律の曖昧さと範囲の広さ: 裁判所は、同法の曖昧さと広範な適用が言論の自由を冷やす可能性があり、プラットフォームのコンプライアンス要件が不明確であると認定した。たとえば、司法長官は、オハイオ州法は未成年者が個人データの使用を許可する利用規約を締結することを保護することに関係していると主張した。しかし、裁判所は、この法律は、親の同意がない限り未成年者をこれらのサイトから完全にブロックしているため広範すぎる一方、「子供は親の同意がなくてもニューヨーク・タイムズとの契約に同意することができ、しかしFacebookはそうではない」と判示した。司法長官はまた、特定のソーシャルメディアサイトの使用によって子どもたちに潜在的な心理的および現実世界の危害が及ぶ可能性についても列挙したが、これに対して裁判所は、この法律は「子どもたちに対するソーシャルメディアの危害を軽減するための、息をのむほど率直な手段である」と答えた。憲法修正第 14 条に基づく曖昧さの問題に関して、裁判所は、「確立された」および「広く認知されている」報道機関に対する同法の「眉をひそめるような例外」を指摘し、「そのような大胆で主観的な表現は事実上、法的規制の恣意的な適用を招く」と結論付けた。

３．未成年者の権利への影響: 2011 年の最高裁判例、ブラウン対エンタープライズ事件を取り上げます。マーチャンツ・アッセンは、未成年者への暴力的なビデオゲームの販売を禁止するカリフォルニア州法を無効としたが、裁判所は、司法長官が主張したように、オハイオ州法は親権を強制するものではなく、むしろ親の拒否権を条件として政府の権限を課すものであると指摘した。。裁判所はまた、オンラインプラットフォームには保護された言論を未成年者と成人の両方に広める権利があるという逆の主張も行った。

４．衡平法上の正当な権利と公共の利益のバランス: NetChoice が本案と取り返しのつかない損害の可能性に関して成功の可能性が高いことを示したと結論付けた後、裁判所は、差し止め命令が他者に損害を与えるかどうか、および公衆に害を及ぼすかどうかという最後の 2 つの予備的な差し止め命令の要素を検討しました。これら 2 つの要素は「政府が当事者である場合には統合される」と指摘し、差し止め命令によって利益が得られるだろう。司法長官は、法律の施行を許可して未成年者を保護することで公共の利益が果たされると主張したが、裁判所は「国家は憲法に違反する法律を施行することに関心がない」というネットチョイスの主張に納得した。したがって、裁判所は一時的差止命令を認めた。

　本訴訟は、ソーシャル・メディア・プラットフォームを規制しようとする立法府の試みと、プラットフォームとそのユーザーの言論の自由やその他の憲法上の権利とを争う最近および係争中の数多くの訴訟の1つである。

***********************************************************************

(注1) 米国連邦法「COPPA（Children's Online Privacy Protection Act）」とは、米国連邦取引委員会(FTC)が、子どものオンライン個人情報を保護者の管理下で安全に管理することを目的に制定した法律。 COPPAでは、子ども向けのサイトやアプリが13歳未満の子どもから情報を収集する場合は、本人確認済みの親や保護者から許可を得ることを義務付けている。

(注2) 英国Children’s Codeは、様々な影響をすでに与えており、例えばYouTubeは18歳未満のユーザーの自動再生機能を無効にした。他にも、Instagramは、フォロー外の18歳未満のユーザーに大人がメッセージを送ることを禁止、TikTokは、時間帯によって18歳未満に対するプッシュ通知の送信を停止するなど、対応を余儀なくされている。(解説から抜粋)

(注3) 今回の規則はEUのGDPR（一般データ保護規則）や2018年のデータ保護法をベースに策定されたもので、今年の秋に英国議会で審議される見通しだ。法案が成立した場合、企業らは12カ月間の猶予期間内に、新基準を満たすことを求められる。

　この規則は子供がアクセスする可能性のあるアプリやソーシャルメディア、ストリーミングサイト、ネット接続可能な玩具まで、あらゆるネットを用いたサービスを対象とする。サービスの運営者は、プライバシー設定をデフォルト状態で高度なレベルにしておくことを求められ、子供らに抜け道を与えてはならない。規則に違反した企業は最大で1700万ポンド（約25億円）の罰金もしくは、世界の総売上の4％の支払いを求められる。小規模な企業にとってシステムの改修は大きな負担になり得るし、利用者の年齢を把握する義務も生じる。デジタルの権利と自由の保護を推進する団体のOpen Rights Groupも、基本的にはこの規則を歓迎しているが、様々なサービスに年齢認証が義務づけられることには懸念を示している。(Forbes japan記事から抜粋)

(注4) 懲罰的損害賠償の請求（punitive damage）とは、英米法上の概念であって、主として不法行為に基づく損害賠償請求訴訟において、強い非難に値する加害者の行為に対して裁判所の裁量により、実際の損害の補填に加えて制裁金を上乗せして賠償請求をすることをいう。

(注5) プッシュ通知とは特にモバイル端末において、情報の更新があった際に自動でユーザーへ送られる通知を指す。

**********************************************************

2024-03-30

生成AIにおける人間(人力)のキュレーター(Human curator)の役割の神髄を明確化した新論文の意義

　昨今、生成AIの功罪を巡る議論が高まる中で、消費者保護から見たマーケティング活動の問題に関し重要と考える点を例示する。

(1)テレビ番組等のサプリメント等スポンサー広告の多過ぎ、またインフルエンサー広告は全く無意味、(2)ネット広告・ターゲット広告のしつこさ(場合によっては詐欺広告類似)、(3)なりすまし詐欺メールの氾濫、(4)かつて一般に利用出来た商品テスト(注1)は皆無である。

　このようなマーケィングの在り方に加えて、AI技術の普及は消費者にとってメリットはますます後退している。(3月29日付け読売新聞１面連載特集「情報偏食：AIが回答「多様性減少」第6部　求められる規範五最終回参照)

ところで、ブロガー（コンテンツ・クリエイター）である筆者は、最近AIにおける人間のキュレーター(Human curator)の役割の神髄を明確に指摘した海外レポートを読んだ。具体的にはジョーン・ウェステンバーグ(Joan Westenberg　)氏のblog「キュレーション(人力で情報を収集、整理、要約、公開（共有）すること)は知的な会話における最後の望みである」およびグレグ.・ブックレス(Greg Buckles)氏(注2)の eDiscovery Journal への最新投稿「キュレーション： AI の事実の背後にある人間の意味(Curation – the Human Meaning behind the AI Facts)」のうち、今回は内容から見て目から鱗が落ちるといえる前者のみ取り上げる。また、RSSの再評価などもわが国では珍しい点で特記事項にあたる。

Greg Buckles 氏

　さらに、AIに関しコンテンツ・キューレーターやコンテンツ・アグリゲーターの役割等につき、わが国で詳しく解説したものは皆無である。今回のブログの後半でまとめた。

　なお、後段で説明するコンテンツ・アグリゲーターの例について、筆者はこの例示には異論がある。【私見】として長年の筆者の法律ブロガーの経験から補追する。

Ⅰ．「AIキュレーションは、知的な会話(discourse)における最後の望みである」

　Joan Westenberg氏のレポートを仮訳する。なお、注書き、リンクおよび太字部は筆者の判断と責任で行った。

Joan Westenberg　氏

　ChatGPT のようなツールを使用すると、誰でも、いくつかのプロンプト(コンピューターがユーザーに対して入力を促す記号)を表示するだけで、書き直された Wikipedia の記事、エッセイ、規範(code )、詩などを思いつくことができる。コンテンツ作成のこの「民主化」は、これまで聞かれなかった声に力を与えるという偉大な約束として宣伝されている。しかし、ここでいう「民主化」という言葉は間違いなく誤った呼び名といえる。

　これは、コンテンツ作成の力関係における平等主義的な変化を示唆しており、より多様な声を聞くことが可能になるとされている。この視点は、よく言えば盲目的に理想主義的で、悪く言えば冷笑的に操作的であるが、AI が支配するインターネットの根底にある複雑さと潜在的な落とし穴を認識していない。

　これは、さまざまな層にわたってこれらのテクノロジーに平等にアクセスし、理解していることを前提としているが、これは現実とはかけ離れている。デジタル格差(digital divide)は依然として大きな障壁となっており、これらのツールへの公平なアクセスを妨げている。これらの AI テクノロジーの管理と開発は少数の大手企業や機関に集中しており、(必然的に) 情報のゲートキーピング(門番)、偏見、情報の商業化につながる。

　AI によって生成されたコンテンツが無差別に拡散しても、過小評価されている人々に力を与えることも、知識創造を民主化することもできない。むしろ、一般に公開されている情報の信頼性と信頼性がさらに薄まり、ますます断片化することになる。

AI の過剰利用により、誤った情報や低品質のコンテンツの問題が大幅に悪化している。

　AI テクノロジーの現状には、AI テクノロジーが生成するコンテンツの正確性と完全性を確保するために必要な微妙な理解と倫理的判断が欠けている。この能力のギャップにより、誤った情報が野放しに拡散し、言説を分断し、分断を深め、意思決定を妨げる水門が開かれる。

　これは結局、以下の1 点に集約される。 人間によるキュレーションは、現在これまで以上に重要になっている。アルゴリズムが精度や品質の程度に応じて膨大な量の情報を量産する中、人間のキュレーターの洞察力のある判断が、誤った情報と平凡さの潮流に対する唯一の防御手段となり、 人間のキュレーターは、(1)微妙な理解、(2)状況認識、(3)倫理的判断をそのテーブルに乗せるが、これらの性質は、現在の状態では AI が基本的に再現することができないものである。

　人間のキュレーターは、アルゴリズムではできない方法で、微妙な議論を区別し、文化的な微妙さを認識し、情報源の信頼性を評価することができる。この人間味は、情報エコシステムの完全性を維持するために不可欠である。これは、品質のフィルターとしてだけでなく、AI システムによって生成される圧倒的なノイズの中で、意味のある信頼できるコンテンツを示す信号としても機能する。

　人間のキュレーターの役割は、コンテンツを選択して提示するだけではなく、人間の洞察力だけが提供できる信頼性と信頼性の感覚をデジタル環境に吹き込むことでもある。テクノロジーが容易に誤解を与えたり、圧倒したりする時代においては、人間によるキュレーションを信頼することは優先事項ではなく、世界の理解を形作る情報の質を維持するために必須なものとなっている。

　フェディバース(Fediverse)(注3)内外で、尊敬される声が分散型SNSであるマストドン(Mastodon)やその Web サイトなどのプラットフォームを活用して、POSSE モデルに従って個人的に精査されたリンク、分析、創作物を共有している。つまり、自分のサイトで公開し、他の場所でシンジケートする。これらの人間キュレーターは、高品質で人間中心のコンテンツをソーシャル・ネットワークに配信する前に、独自の洞察力のレンズを通して渡すことで、出所が疑わしい機械生成コンテンツの海の中に正気の島を作り出す。さらに、彼らのフォロワーは、これらの洞察の価値ある情報(nuggets)をソーシャル・ウェブ上でさらにシンジケートし、一元化され、アルゴリズムによって強化されたフィードに代わる手段を提供する。

　この分散型分散モデル(distributed, decentralised model)は、Web 自体のアーキテクチャ、つまりネットワーク内のネットワーク、信頼と認識された権限に基づいて他のサイトにリンクするサイトに従う。これは、利益主導の巨大企業によって後押しされた、いわゆる「インフルエンサー」だけにたよるコンテンツ生成だけでなく、読者の積極的な参加と批判的思考を中心とした情報民主主義の再考である。我々キュレーター全員には、自分の注意を注意深く管理し、共有や推奨を通じて広めるコンテンツに対して責任がある。声が増えるとノイズも増えるが、識別力を高めれば真実の信号を見つける機会も増えるのである。

　この POSSE モデル(注4)は RSS(Rich Site Summary)(注5) と見事に連携しており、加入者は中央プラットフォームによって完全に検閲されていないオープン標準フィードを介して、信頼できる Web サイト、ブログ、ポッドキャストをフォローできるようになる。 RSS は、ソーシャル・メディアの消防ホースの時代にはほとんど忘れられていたが、壁に囲まれた庭園内のアルゴリズム・フィードからの重要な出口を提供する。これにより、読者が自分自身の情報ダイエットを決定できるという主体性が戻り、クリエイターにはサードパーティのネットワークを介するのではなく、視聴者との直接的な関係が与えられる。

　またRSS は、テクノロジー・エッセイストのヴェンカテシュ・ラオ(注6)氏が「コモンシズム(commonsism」と呼ぶものを可能にする。これは、記事全文を含む Web サイトからの簡単な時系列の更新を通じて、読者が再び自分自身の注意を向けることができるようにするものである。RSS を使用すると、コンテンツ・ストリームが再び民主的になり、各人が中央のゲートキーパーにフィードを送信するのではなく、さまざまなサイトからフィードを厳選するようになる。これは、情報民主主義を文脈に基づいて再考するものであり、読者が自分の興味や価値観に沿って情報摂取量を決定することにつき信頼を増す。

　RSS と POSSE の復活は、初期のブログ時代に繁栄した個人 Web サイトのエコシステムの復活を示しています。作家、研究者、技術者などが、公開ノートと洞察を共有するチャネルの両方として、フィードを備えた独立したホームページを再起動している。個人の Web サイトは、オンライン上の究極の主権領域であり、クリエイターが独自の条件でコンテンツを共有できるようになる。これらのサイトは、外部情報をフィルタリングして知恵と視点を養いながら、アイデアをデジタル公共広場にエクスポートする。これらは、サイト所有者の行程に基づいて時間の経過とともに進化する、まさに拡張可能な生きたドキュメントである。

　Large Language Grift (大文字詐欺商法)の時代には、情報源の出所と信頼性のシグナルをさらに可視化する必要がある。クリエイターの個人サイトでは、明確な情報起源のストーリーと背景を通じてこれを提供する。我われは物語の作者が誰であるかを正確に知っており、それに応じて評価することができる。これらの個人は、個人サイトからリンクし、ソーシャル・チャネルを介してシンジケートすることによって、信頼できるノードを備えたネットワークにシード値を与える。クリエーターの拠点は、過剰生成による作戦基地や要塞となり、慎重な検討に基づいて、彼らが高い信号とみなしたものだけを情報発信することになる。

　自然界の生態系が繁栄するには、動植物間の注意深いバランスが必要である。同様に、私たちのAI情報環境も、編集者、著者、記者、アナリスト、熱心な市民など、デジタル公共広場全体にわたる洞察のノードを管理する思慮深い人間の管理者に依存している。注意と洞察力があれば、人間中心のコンテンツを向上させることができ、情報民主主義を、計算上の法定ではなく、信頼できる人間の判断に基づいた共有の協力的なプロセスとして再考することができる。

　一部の企業は、完全な自動化といくつかのプラットフォームの統合を支持し続け、それが増加や拡大する唯一の方法であると信じている。しかし、それは視点の独占を生み出し、モノカルチャーが連鎖的な失敗や濫用により脆弱になる危険を冒すことにつながる。我われは、主権者の声がより広範な知識生態系に貢献できるようにする相互運用可能なプロトコルを必要としている。生成アルゴリズム(Generative algorithms)は、既存の厳選された洞察を完全に置き換えるのではなく、強化するように指示できる。我々は、オンラインと自然内のネットワーク間の健全な接続が、どのノードをも超える反脆弱性と集合知にどのように貢献するかを見てきた。

　生態系の多様性がこれらの大規模なAI言語モデル自体に関係している可能性があるという初期の兆候がある。 Anthropic 社の「憲法 AI (Constitutional AI)」(注7)のようなツールは、自動出力で既存のコーパス(corpora)(注8)を上書きするのではなく、既存のコーパスを尊重するように設計されている。本質的に慎重で支援的なシステムは、人間が厳選したノードと調和して動作し、編集の完全性を損なうことなく増幅を提供できる。人間と機械のハイブリッド・キュレーションを念頭に置いて慎重に構築されたこれらのテクノロジーは、たとえ私が AI 仲間についてどれほど不満や不平を言ったとしても、前向きな力になることができる。

　多くの点で、我われの情報ダイエットのキュレーションを、我われの利益と一致しない遠く離れたプラットフォームに委託してきた。知識ネットワークをナビゲートする際にたとえ部分的な主体性を取り戻すことは、セルフケアの行為である。独自の RSS フィードを設定し、個人サイトにリンクし、インスピレーションを与える声を高めることは、健全な情報民主主義の基礎である。単に無限に生成することではなく、信頼できるガイドを介して思慮深い情報の刈込剪定、編集、文脈設定によって定義されるものである。

　どの庭園でも、成長の季節には、栽培、剪定、さらには土壌を補充するための休閑期間など、手入れの季節が必要であると同様に、単に情報を支配したりコントロールしたりしようとするのみではなく、情報の豊饒のサイクルを私たちが受け入れられるべきで形態にすべきである。

Ⅱ．コンテンツのキュレーターとコンテンツ アグリゲーターの違いの明確化

　TechTargetジャパン(IT製品／サービスの導入・購買に役立つ情報を提供する無料の会員制メディア)の解説から抜粋、仮訳する。

１．コンテンツ・アグリゲーターとは何か?

　コンテンツ・アグリゲーターは、再利用のためにさまざまなオンライン・ソースから Web コンテンツとアプリケーションを収集する個人、組織、またはツールをいう。 コンテンツ・アグリゲーターは、独自のオリジナルコンテンツを作成しない。

　コンテンツ・アグリゲーターには 2 つのタイプがある。(1)内部使用のために表示するコンテンツを収集するものと、(2)顧客に配布するためにコンテンツを収集するものである。後者のアプローチはシンジケーションとも呼ばれる。アグリゲーターは、ブログ、ニュース、ソーシャル・メディア投稿など、さまざまな種類のコンテンツを収集する場合がある。

　コンテンツの集約は、インターネット上の膨大な量のコンテンツと情報を整理し、それによって情報過多と戦う方法である。これは、コンテンツ作成者、消費者、マーケティング担当者にとって役立ち、エンタープライズ・コンテンツ管理 (ECM) 戦略のコンポーネントでもある。

２．コンテンツ・アグリゲーターはどのように機能するか?

　コンテンツ・アグリゲーターは、インターネット上の複数のソースからデータを収集し、単一のリポジトリに入れる。アグリゲーターは、公開される新しいコンテンツを継続的に収集する。多くの場合、コンテンツ・アグリゲーターは RSS フィードを使用してこの機能を自動化したり、特定のトピックを中心としたコンテンツや特定のキーワードを含むコンテンツを検索したりする場合がある。

　一部のコンテンツ・アグリゲーターは、人工知能 (AI) を使用してコンテンツを検索、フィルタリング、収集する、より高度なツールに依存している。たとえば、AI ツールを使用するニュース・アグリゲーターは、ウェブ上の何千もの記事を自動的に読み取り、最も洞察力のある記事を決定したり、次のような定義された基準に基づいて優先順位を付けたりするアルゴリズムを備えている。

①特定のキーワード

②ハッシュタグ

③トレンド

④トピック

⑤類似のコンテンツ

　類似したコンテンツの場合、ユーザーは、類似したコンテンツを見つけるためのモデルとして機能するコンテンツをコンテンツ・アグリゲーターにフィードできる。ユーザーは、どの結果が役に立ったかについて AI アグリゲーターにフィードバックを送信できる。 AI ツールは入力を使用して将来のコンテンツを選択する。

　集約プログラムは多くの場合、アプリケーション・プログラミング・インターフェイスを使用して他の Web アプリケーションに接続する Web アプリケーションである。

３．コンテンツのキュレーションとアグリゲーション

　コンテンツのキュレーションとアグリゲーションは、既存のコンテンツを収集して再公開するプロセスの以下の 2 つの別個の部分である。

(1)コンテンツの集約

　集約とは、バックエンドでのデータとコンテンツの収集と編成を指す。多くの場合、集計は自動化されたプロセスである。アグリゲータは、コンテンツ内の特定の特徴 (キーワードなど) を自動的に検索することにより、Web からソースを取得する。アグリゲーターはコンテンツを頻繁に投稿することで、検索エンジンの最適化にプラスの効果をもたらす。

(2)コンテンツのキュレーション

　キュレーションとは、コンテンツに簡単にアクセスして使用できるようにコンテンツを編成、配置、表示することである。キュレーターは個人または企業の場合があり、キュレーションは通常、手動のプロセスである。

　コンテンツ・キュレーターは、さまざまなコンテンツを取得できる複数のソースにアクセスできる必要がある。理論的には、個人はコンテンツ集約ツールを使用してコンテンツを自動的にまとめ、その後手動でそのコンテンツを調べて、最適なものを選択してキュレートすることができる。キュレーションを成功させるには、エンドユーザーのニーズに関する洞察を活用し、コミュニケーション・チャネルを通じて戦略的にコンテンツを共有するかどうかにかかっている。

　コンテンツ・キュレーションの例としては、Twitter や YouTube などのソーシャル・サイトが機械学習を使用して有害なコンテンツを検出して削除する場合等がある。

４．コンテンツ・アグリゲーターを使用する理由は何か?

　コンテンツ・アグリゲーションの主な利点は、特定のトピックや重点領域に関連する多数のコンテンツが 1 つにまとめられることである。通常、アグリゲータは情報を効率的に整理し、コンテンツをすばやく見つけられるようにする。

　人々や組織がコンテンツ・アグリゲーションやコンテンツ・アグリゲータを使用する理由には、次のようなものがある。

①消費者は、他の方法では見ることのできないさまざまなコンテンツにアクセスできるようになる。これにより、既存の興味に関する新しいコンテンツを常に把握し、新しい興味を発見することができる。

②コンテンツ・クリエイターは、コンテンツ・アグリゲーションを使用して、自分の作品をより広範なコミュニティまたは新しいコミュニティに公開し、コンテンツの認知度を高める。

③デジタルマーケティング担当者は、コンテンツ・アグリゲーターを使用して、コンテンツを複数のプラットフォームに配信してより幅広い視聴者に公開することで、デジタル・コンテンツ・マーケティング戦略を改善できる。また、アグリゲーターを使用して、さまざまなプラットフォームで誰が自社のコンテンツに関与しているかを確認することもできる。

５．コンテンツ・アグリゲーターの種類

　アグリゲーターは、扱うコンテンツの種類とコンテンツの収集元によって異なる。アグリゲーターは 1 つのソースからコンテンツを収集し、それを 1 か所に整理してキュレーションを容易にすることができる。たとえば、企業は内部コンテンツを整理するために集計ツールを使用する場合がある。

　アグリゲーターが使用されるコンテンツの種類には、次の 6 つが含まれる。

①ブログ： ブログ・アグリゲーターは、複数のソースからニッチなブログ投稿を収集し、中央サイトに表示する。 Blog Engage はブログ・アグリゲーターの一例である。

②ニュース： これらのアグリゲーターは複数の情報源からニュースを収集します。例としては、Google ニュースや Apple ニュースなどがある。

③ソーシャルメディア： Curator などのソーシャルメディア・アグリゲーターは、Facebook や Twitter などのさまざまなソーシャル・メデイア・サイトから情報を取得し、その情報をライブ映像として表示する。

④Research：リサーチ・アグリゲーターは、専門家からの質問に答えたり、さまざまな業界の動向を把握したりするために、研究ジャーナルから情報を収集する。 Feedly は研究論文を集約するために使用できる。

⑤サービス： サービス・アグリゲーターは複数のサービス・プロバイダーを収集し、ユーザーが選択肢を参照して 1 つ選択しやすいように分類する。たとえば、Airbnb は、特定の場所でユーザーが滞在できる可能性のあるすべての宿泊場所を表示する。

➅ビデオ：ビデオ・アグリゲータは、特定のトピックに関する最近公開されたビデオをさまざまなサイトから集める。 YouTube はビデオ・アグリゲーターの一例である。

６．コンテンツ・アグリゲーターの例

　コンテンツ・アグリゲータは通常、Web ベースのツールまたはアプリケーションである。一部のツールはさまざまなコンテンツタイプを集約でき、多くの場合、ユーザーが特定のタイプのコンテンツに集中できるようにカスタマイズ可能である。

　コンテンツ集約ツールの例には、次のものがある。

① AllTopはニュースアグリゲーター。

② Apple Podcasts はポッドキャストを集約。

③ Blog Engageはブログ・アグリゲーター。

④ Curatorはソーシャル・メディア・アグリゲーター。

⑤ Google ニュースはニュースコンテンツを集約。

➅ Feedlyは、あらゆる種類のコンテンツを対象とした AI を活用したアグリゲーター。

⑦ Flipboard は、カスタマイズ可能なフィードを備えたブログ・アグリゲーター。

⑧Information and Content Exchange (ICE) は、財務データと市場データを集約。

⑨ Pandaはニュース・アグリゲーター。

⑩ Rotten Tomatoesは映画レビューを集約。

⑪ Reddit は、ニュースおよびソーシャル・コンテンツのアグリゲーター。

⑫ Science News は科学関連のコンテンツを集約。

⑬ travel blogger communityは、旅行関連のコンテンツが集約。

⑭ Taggboxは、マーケターが自分について投稿している人を確認するために使用するソーシャル・メディア・アグリゲーター。

Ⅲ．コンテンツ・キュレーションの取組みから見た新たな提言

　Ⅱ．の内容の最後にコンテンツ集約アグリゲーター・ツールの例を挙げた。しかし、筆者が約18年間かけて築いてきた海外情報ブログ、特に法律、個人情報保護、情報セキュリティにつき原データを正確に理解し、翻訳、追加説明を行うには、コンテンツ集約アグリゲーターのみに頼ることは極めて危険ある。

　すなわち、例えば法律の立法や裁判情報　正確に読むには、まず収集力や執筆陣が優れたロースクールや多くの国際的拠点や異なる言語に習熟した人材をかかえる大手ローファームからの第一次情報の入手が必須である。具体的なこれらの情報源のついてはこれまでの筆者のブログを読まれれば明らかであろう。

**************************************************************************

(注1)世界的なオーストラリアの商品テスト機関である消費者保護団体“CHOICE”については、筆者ブログ「オーストラリアの消費者擁護団体やACCCが行った水に流せる使い捨てシートによる下水施設の「ファットバーグ」の原因追及と製造企業の広報活動の在り方をめぐる告発の動向」を参照。

(注2) Greg Buckles 氏は、 eDiscovery(電子情報開示)と Infographic solutionsに重点を置いた独立系コンサルタント。

＊米国の民事訴訟においては、当事者は、事件に関連する全情報の開示が求められる。これをディスカバリー（Discovery＝証拠開示）制度という。この制度により、訴訟の当事者は、相手の有する証拠と成り得る情報を有利不利に関わらず、広範に取得することができる。

ディスカバリーの方法には

質問書（Interrogatories）
文書提出要請（Request for Production）
デポジション：証言録取（Deposition）

などがある。

このうち電子データに関わるものがeディスカバリー（eDiscovery）である。正式にはElectronic Discovery（電子情報開示）といい、米国では2006年12月の連邦民事訴訟規則（FRCP）改定によって義務付けられた。

これにより企業は、原告被告のどちらもが、法的要求に応じてコンピュータなどに保存されているすべての関連データを証拠として期限内に提出する責を負う。日本企業の場合には、日本に保存されているデータも対象となり、情報は膨大な量になる。開示対象となるべき情報を、その保存場所が発見できずに提示できないなどの場合には、厳しい制裁措置を受けたり敗訴に至る事例が多々あり、注意が必要である。(解説から引用)

(注3) Fediverse （「federation（連合）」と「universe（世界）」の合成語）は、SNS・ミニブログ・ブログ等を含むWebサイトの公開やファイルホスティングを行う、独立性を保ったまま相互接続されたサーバー群のことを指す。異なるサーバー（インスタンス）それぞれにおいてユーザーがアカウントを作成し、異なるサーバーに属するアカウント同士が各サーバー上のソフトウェアが実装するオープン標準の通信プロトコルを通して通信できることが特徴である。(Wikipedia から抜粋)

(注4)「Posse モデル」は学生と大学キャンパスの両方で機能し、慎重に選ばれ訓練された少数の多様な才能のある学生グループ、つまり Posse が個人とコミュニティの発展の触媒として機能できるという信念に基づいています。米国がますます多文化社会になるにつれ、21 世紀のリーダーはこの国の豊かな人口構成を反映する必要があるとPosseは考えている。我が国の有望な未来の鍵は、複雑な社会問題に対して合意に達した解決策を開発する、多様な背景を持つ強力なリーダーの能力にかかっている。 Posse の主な目的は、こうした明日のリーダーを育成することである(解説から抜粋、仮訳)

(注5) RSS（アール・エス・エス：Rich Site Summary）とは、ウェブサイトの要約や記事の見出しなどを配信するためのXMLベースのデータフォーマット。

RSSリーダーと呼ばれるソフトウェアやRSSに対応したブラウザを使用することで、総務省に掲載された新着情報を素早く入手して、興味のある記事を簡単に閲覧することができる。(総務省の解説から抜粋)

(注6) Venkatesh Rao氏は2007年の“ribbonfarm”の創設者でかつチーフ編集者である。

(注7) Anthropic と集合知プロジェクトは最近、AI システムの憲法草案を作成するために、約 1,000 人のアメリカ人が参加する公開入力プロセスを実行した。これは、民主的なプロセスが AI 開発にどのような影響を与えるかを調査するために行った。実験の結果、社内の体質に共感できる部分と、好みが異なる部分が分かれた。この投稿では、その結果として得られた公的に入手された憲法と、憲法 AI を使用して憲法に対して新しい AI システムをトレーニングしたときに何が起こったかを共有する。

憲法 AI (CAI) は、憲法に書かれた高レベルの規範原則を遵守するように汎用言語モデルを調整するために Anthropic が開発した手法である。 Anthropic の言語モデル“Claude” は現在、Anthropic の従業員が厳選した憲法に依存している。この憲法は、国連世界人権宣言などの外部情報源と、言語モデルをより有益で無害にするために言語モデルを操作したわれわれ自身の直接の経験からインスピレーションを得ている。

憲法 AI は、AI システムの規範的価値をより透明にするのに役立つが、これらの価値を選択する際に開発者としての私たちが果たす大きな役割も強調している。結局のところ、我われは憲法を自分たちで書いたのである。そのため、この研究では、Anthropic で働いていない多くの人々の好みを使用して憲法を作成することに熱心であった。われわれの研究は、一般の人々がオンラインの審議プロセスを通じて言語モデルの動作を集団的に指示した最初の例の 1 つである可能性があると信じている。われわれのごく初期の取り組みと発見を共有することで、他の人が私たちの成功と失敗から学び、この取り組みをさらに発展させるのに役立つことを願っている。(Anthropic社のサイト3/26(54)を仮訳)

　筆者は別の「憲法AI」の解説文を読んだ、参考として以下、仮訳、引用する。(WIREDの解説も併読されたい)

憲法 AI: 基本ガイド

急速に進化する人工知能 (AI) の分野では、倫理とセキュリティが全面的に重視される傾向がますます高まっている。この状況から浮かび上がってくる顕著なコンセプトが「憲法AI」である。 AI システムが司法、統治、政策立案などの重要な分野で足場を築くにつれて、憲法遵守の要求が最重要になっている。本解説では、Constitutional AI の世界を明らかにし、AI セキュリティに関心のある技術的に鋭い読者に合わせた包括的な理解を提供する。

(1)「憲法AI」とは何か？憲法上の AI の定義

本質的に、憲法 AI は、法的枠組み、特に憲法原則と AI システムを融合させたものである。その目標は、AI の運用を国の憲法やその他の基本的な法的文書に謳われている法的および倫理的原則に組み込んで確実に整合させることである。これは、社会契約の中心にある権利、特権、価値観を認識するだけでなく、尊重する AI システムを構築することを意味する。

(2)なぜ憲法AIなのか？

①倫理的保護:AI が人命に影響を与える意思決定を行う中、憲法を認識した AI は潜在的な倫理上の落とし穴に対する防波堤として機能し、基本的権利の保護を確実にすることができる。

②法令遵守：特に司法や政策決定などの分野における AI の決定の法的影響を考慮すると、憲法ガイドラインの遵守は交渉の余地がない。

③大衆の信頼の強化:AI を広く導入するには信頼が極めて重要である。 AI システムが基本的な社会原則に準拠していることを一般の人々が知ると、受け入れと信頼が強化される。

(3)憲法AIの仕組み

①ルールベースのシステム:1 つのアプローチは、憲法上の原則が明示的なルールとしてエンコードされる、ルールベースの AI モデルを構築することである。この方法は明確性を提供するが、あいまいなシナリオでは柔軟性に欠ける可能性がある。

②トレーニングデータの拡張:憲法上の原則は、AI トレーニング・データセットに組み込むことができる。これにより、機械学習プロセス中に AI システムがこれらの原則を確実に内部化する。

③憲法検証レイヤー:事後検証レイヤーを統合でき、最終的な決定が下される前に AI 出力が憲法上の原則に照らして相互検証される。

④法律専門家とのフィードバック・ループ:AI モデルの継続的な改良は、法律専門家からのフィードバックを統合することで実現でき、憲法の微妙な違いを尊重しながらシステムを確実に進化させることができる。(解説から抜粋、仮訳)

(注8) 「コーパス（Corpus）」とは、自然言語の文章や使い方を大規模に収集し、コンピュータで検索できるよう整理されたデータベースのこと。日本語では「言語全集」などとも呼ばれる。AIが自然言語を扱うためには、膨大な量のデータ学習が必要である。人間が外国語を学ぶときと同じように、AIにも単語の意味や文法上の扱い、用例などを記した辞書のようなデータベースが欠かせない。

コーパスでは、新聞や雑誌、本で使われる文章や、文字化した話し言葉、インターネット上のテキストなどの自然言語を大量に集め、構造化している。辞書を引きながら外国語を読むように、AIはコーパスを参照しながら構造化されていない文章を読むことが可能である。(AIsmiley解説から抜粋)

**************************************************************************