Blog
プライバシー＆コンプライアンス
ダークパターンとは：「使いにくいデザイン」がコンプライアンスに与える影響

ダークパターンとは：「使いにくいデザイン」がコンプライアンスに与える影響

ジェフリー・エドワーズ

プライバシー＆コンプライアンス | 2023年2月22日

サブスクリプション（サブスク）サービスをキャンセルしようとしたり、オンラインでの同意を取り消そうとしたりしたときに、まるで MC エッシャー自身が考え出したかのような、終わりのないメニューの迷路に入り込んでしまったことはありませんか？

サービスに申し込むのには数秒しかかからなかったのに、45分も Web サイト上をさまよったあげく判明したのは、月々14.99ドルのサービスをキャンセルするためには担当者に電話をかけなければならないこと。しかも「通常より電話の量が多い」ため、しばらく待たなければならないようです。

これは一見ただの低品質なカスタマーサービスのようですが、間違いなく意図的にサービスの解約を難しくしているものです。そしてこのような手法は「効果的」であるとして、幅広く利用されています。

意図的に使いにくいようにデザインされたユーザー体験は、インターネット上で多発しています。消費者データの保護やオンライン上の権利の保証を目的とした規制が増加するにつれ、こうしたいわゆる「ダークパターン」、つまりユーザー体験を操作して、ユーザーの利益にならないかもしれない行動や結果に誘導することによって、規制の裏をかくことを目的とした UI デザインも増加しています。

こうした傾向を受け、ダークパターンへの批判は高まっています。連邦取引委員会は、購読の更新や無料トライアルのように、消費者が気づかないうちに自動的に課金されるシステムである「ネガティブオプションマーケティング」への調査を行うと警告しています。ネガティブオプションマーケティングとは、連邦取引委員会によるダークパターンの別名です。

しかし、ダークパターンとはいったい何なのでしょうか？連邦取引委員会の警告をよりよく理解するために、ダークパターンの一般的な例と、これらの UX の選択が GDPR や CCPA などのデータプライバシー規制の遵守にどのように影響するかを見ていきましょう。

Table of Contents

ダークパターンとは

ダークパターンとは、Web サイトやアプリが特定の行動を抑制したり、情報を意図的に隠したり、ユーザーを誤解させたりするためにユーザー体験を悪用することです。

この用語は、2010年に UX の専門家であるハリー・ブリニュル氏によって提唱されました。ブリニュル氏はその後、ダークパターンを利用する企業を名指しで非難する DarkPatterns.Org を立ち上げましたが、ダークパターン自体は、用語が生まれるよりもずっと以前から行われてきました。

例えば、消費者がほとんど読まないような長い利用規約の中に不人気な条項を埋め込むことは、インターネットそのものと同じかそれ以上に古いダークパターンです。

連邦取引委員会、カリフォルニア州消費者保護法（CCPA）、EU の一般データ保護規則（GDPR）はすべて、文脈や状況は異なるものの、明確で明白な同意を要求しています。ほとんどの場合、ダークパターンはこれらの規制に明確に違反しており、少なくとも法律の精神に反していることは間違いありません。

ダークパターンの事例

ダークパターンは、メーリングリストの登録解除ボタンを非常に小さくしたり、テキスト内に埋もれさせたり、コントラストが低い色を使ったりするような微妙な場合があります。メールやランディングページの「今すぐ購入」ボタンが大きく目立っていることと比較すると、こうしたわかりにくいデザインが意図的に採用されていることは明らかです。

無料トライアルが自動的に有料会員になることを告知していない、あるいはわかりにくいダークパターンもあります。また Web サイト上でのサービスへの登録は簡単にできても、キャンセルすることが意図的に難しくされている場合もあります。

また、ダークパターンによって、消費者が自分のデータがどのように収集、保存、処理されているかを理解することが難しくなる場合もあります。戦術にも違いがあります。例えば、オプトアウトのためのきめ細かいコントロールをリクエストと同じ場所で提供した場合、同意は20%も減少します。しかし、オプトアウトのボタンと詳細をページから削除すると、同意は約22%増加します。

スタンフォード大学のデジタル市民社会ラボ（Stanford Digital Civil Society Lab）は、消費者がダークパターンを報告するためのダークパターンチップラインを開設しています。この Web サイトでは、報告されたダークパターンのリストが紹介されています。それでは事例をいくつか見ていきましょう。

上記の例では、航空券を選択する際に、選択内容を確認するよう顧客に求めます。より高価なメインキャビンがデフォルトの選択肢として提示され、大きな赤い「メインキャビンに移動」ボタンと、ベーシックエコノミーを選択するためのチェックボックスを備えた小さな「制限を受け入れる」ボタンが表示されます。消費者は、赤いボタンをクリックすることにより選択を行っていることに気付かず、チケット購入プロセスの次の段階に進んでいるだけだと誤解してしまう可能性があります。

上記の例は紛らわしく複雑です。クッキーを無効にする簡単で直感的な方法は提供されません。

上記の例では、オプトアウトの選択肢が互いに矛盾しているように見えます。メール配信をリクエストする文章の横に、「Unsubscribe（配信停止）」の文字と「Yes」ボタンが上下に並べられているため、「Yes」を押すと配信停止になるかのように見えますが、実際には配信が継続されてしまいます。

上記の例では、あるアプリが、人命を救うアプリであることを理由に、広告目的のクロスサイトトラッキングを許可するよう説得しています。

上記のアプリは、データを収集してもよいかどうかをユーザーに尋ねますが、それを拒否するオプションは提供しません。

このように、企業が消費者の行動に影響を与えるために用いる戦術は実にさまざまです。微妙なものもあれば、あからさまなものもあります。

ダークパターンと GDPR や欧州データ保護会議によるガイドライン

EU 一般データ保護規則（GDPR、General Data Protection Regulation）は2018年５月に施行されました。GDPR は、個人情報管理の透明性を高め、ユーザーが個人情報をコントロールできるようにすることを目的としています。この法令は、企業に対してユーザーからの明示的な同意を求めることを求めていますが、４年経った現在でも、多くの企業が GDPR に準拠したサイト設計ができていないと報告されています。

GDPR の原文では、ダークパターンについては言及されておらず、代わりに「同意」について「自由に与えられ、特定され、事前に説明を受けた上での、不明瞭ではない、データ主体の意思の表示を意味し、それによって、データ主体が、その陳述又は明確な積極的行為により、自身に関連する個人データの取扱いの同意を表明するものを意味する」と定義されています。言い換えれば、ユーザーはデータがどのように使用されるかを理解し、その使用に明示的に同意できなければならないのです。

しかし、2020年と2021年にプライバシー活動家グループ noyb がダークパターンに関する複数の苦情を申し立てたことを受け、フランス共和国データ保護機関を筆頭に複数の EU データ保護当局が、ダークパターンに関する調査とガイダンスの提供を目的にタスクフォースを結成しました。2023年１月中旬、このタスクフォースは、調査結果をまとめた報告書を発表し、準拠した同意バナーのガイドラインを詳しく説明しました。

この報告書によると、 EU データ保護当局の大半は、クッキーの保存を受け入れる場合と同じように、クッキーを拒否および拒絶したり同意したりしないための選択肢がないことは、法律（ePrivacy 指令第５条３項）に違反するとみなしているようです。

不明確なクッキーのバナーデザインについて、当局は、バナーで提供される情報は、「ユーザーが何に同意しているか、何を選択しているかを理解できるものでなければならない」と結論付けました。

また、 EU データ保護当局は、すべての Web サイトに色やコントラストの面で基準を課すことはできず、選択したデザインが明らかにユーザーの誤解を招くかどうかを判断するには、バナーを状況に応じて評価を行う必要があることでも合意しました。

GDPR の意図に反するようなダークパターンの例をいくつか挙げてみます。

オプトアウトするためにチェックボックスを外すことをユーザーに要求するフォーム（オプトアウトへの同意）
Web サイトやサービスを利用すること自体を同意と見なすこと（暗黙の同意）
特定のデータ使用に同意することができず、すべての項目を受け入れるしか選択肢がないこと

GDPR に準拠するために、上記の例は以下のように改善する必要があります。

明示的な同意を求める
チェックボックスのデフォルト値を「チェック」にせず、オプトインによる同意を求める
条件を受け入れるの同様に、条件を拒否することをも簡単にする

Web サイトの訪問者やアプリの利用者が、データの収集や共有を拒否するための方法を探す必要があったり、選択肢を明確に理解することが困難であったり、オプトインに比べてオプトアウトすることが困難であったりする場合は、GDPR に違反しています。

GDPR は、ダークパターンやその他の詐欺的な手法に対して、規制当局が罰金を科す仕組みを提供しています。

GDPR の同意管理要件の詳細については、「GDPR クッキーコンプライアンスガイド（英文）」をご確認ください。

ダークパターンと CCPA や CPRA への準拠

カリフォルニア州消費者プライバシー法（CCPA）およびこれに代わるカリフォルニア州プライバシー権法（CPRA）は、いずれも GDPR と同程度の透明性を要求しています。CCPA は、オプトアウト前の行動に影響を与えることを目的とした、紛らわしい言葉、不必要な手順、売り込みなどを Web サイトの運営者が使用することを禁じています。

CPRA は、ダークパターンを「ユーザーの自主性や意思決定、選択を損害させ悪影響を与えるためにデザインおよび操作されたインターフェイス」と定義しており、ダークパターンの使用によって得られたいかなる「同意」も、同意とはみなされないことを明示しています。

また、CCPA の最終規則には、規制に違反する行為として、以下のような例が挙げられています。

オプトアウトをリクエストする消費者に対して、オプトインのプロセスよりも多くのステップを踏むよう要求すること
オプトアウトをリクエストする消費者に対して、プロセス完了前に、オプトアウトをすべきでない理由をクリックさせたり、聞かせたりすること
オプトアウトのリクエストを完了するために必要でない個人情報を消費者に提供させること
消費者が個人情報に関するリンクをクリックしたときに、オプトアウトの方法を見つけるためにプライバシーポリシーやそのほかの文章の段落を検索したりスクロールしたりする必要がないようにすること

CCPA は、同法に違反してダークパターンを使用している企業に対し、民事罰の対象にならないために、30日以内に問題を解決することを認めています。

次はどうなる？連邦取引委員会の制裁金と米国の法律

ダークパターンは必ずしも新しいものではありませんが、規制当局は警戒を高めており、GDPR や CCPA/CPRA のほかにも、規制の動きが活発になってきています。

連邦取引委員会法第5条は、「不公正または欺瞞的な行為または慣行」について企業を起訴する権限を委員会に与えており、最近では、Age of Learning, Inc.（ABC Mouse）に対して、解約に関する虚偽の説明、消費者への重要情報の不開示、消費者による解約の困難化などを主張して提訴しました。同社は1000万ドル（約13億円※）の和解金と慣行の変更に合意しています。

2021年、連邦取引委員会はダークパターンを使用している企業に対し、規制上のリスクが大きいことを警告し、2022年にはダークパターンとその影響を詳細に分析した報告書を発表しました。

2022年12月、連邦取引委員会は、「フォートナイト」ビデオゲーム開発会社の Epic Games 社がダークパターンを使用し、デザイン上のトリックを使って、顧客の明示的な同意なしに仮想商品の代金を請求したとして、2億4500万ドル（約318億5000万円）の罰金を課しました。顧客がクレジットカード会社に不正請求について異議を唱えると、Epic Games 社は顧客のアカウントをロックし、すでに支払ったコンテンツへのアクセスを奪ったとしています。

連邦取引委員会の訴状によると、Epic Games 社は、アカウントに関連付けられたクレジットカードをデフォルトで保存するよう支払いシステムを設定し、子どもたちがボタンを押すだけで、カード所有者の個別の同意なしで、ゲーム内で簡単に買い物ができるようにしたとのことです。

また連邦取引委員会は、購入ボタンを他のボタンに近づけすぎるなど、ユーザーが誤って不要な課金を行いやすい方法でゲーム内の購入機能をデザインしたことについても、同社を非難しています。

※１米ドル＝130円にて換算（2022年１月現在）

元の記事：What are Dark Patterns? How UI Influences Consent and Compliance