「違法なマーケテイング規制」のブログ記事一覧-Financial and Social System of Information Security

悪意あるインタフェース・デザイン・パターンの一種でエンドユーザーをだまし、本人の意図または期待とは異なる行動を取らせる「ダーク・パターン」の米国やＥＵの規制強化に向けた具体的活動内容を検証(その3完)

2024-04-19 08:29:50 | 違法なマーケテイング規制

２．欧州データ保護会議 (EDPB) 、ソーシャルメディアインターフェースにおける「ダークパターン」の使用に関するガイドライン草案を公開：解説ｂlogの要約

　Covington & Burling LLPの解説blogを以下、仮訳する。筆者はNicholas Shepherd氏、Daniel P. Cooper 氏である。

Nicholas Shepherd 氏

Daniel P. Cooper 氏

　2022 年 12 月 9 日、欧州委員会の司法・消費者保護担当委員、ディディエ・レインダース(Didier Reynders)氏(ベルギー代表)は、欧州委員会が次の 2023 年の任務を、オンライン広告市場の透明性や Cookie 疲労と並行してダーク・パターンの規制に焦点を当てると発表した。この義務の一環として、EU の消費者保護協力 (EU’s Consumer Protection Cooperation ：CPC) ネットワークは、399 の小売 Web サイトとアプリのダークパターンの徹底的な調査を実施し、オンラインショッピング Web サイトの 40% 近くが消費者の脆弱性を悪用かつ騙す操作的行為に依存していることを発見した。

Didier Reynders氏

　これらの問題を強制するために、EU にはダーク・パターンを規制する単一の法律は現状はないが、ダーク・パターンについて議論し、消費者をダーク・パターンから保護するツールとして使用される可能性のある複数の規制がある。これには、「一般データ保護規則 (General Data Protection Regulation (GDPR)」、デジタル・サービス法 (Digital Markets Act：DSA)、デジタル市場法 (Digital Markets Act：DMA)、不公正商行為指令 (Unfair Commercial Practices Directive「UCPD」(注16)、およびAI法(Artificial Intelligence Act)やデータ法(Data Act)(注17)など規制案が含まれる。

１．ダーク・パターンに関する法的枠組み

　EUで「ダーク・パターン」という用語には単一の定義はないが、特にマイナスの結果につながる場合、消費者に意図していないことややりたくないことをさせる操作的または欺瞞的な行為を指す。例えば以下のとおり。

(1)欧州データ保護会議 (EDPB) は、「ダーク・パターン」を「ユーザーの行動に影響を与えることを目的として、個人データに関して意図的ではない、望ましくない、潜在的に有害な決定をユーザーにさせるソーシャルメディア・プラットフォームに実装されたインターフェイスおよびユーザー・エクスペリエンス」と定義している。 EDPB は、ダーク・パターンを、(1) 過負荷(overloading)、(2) スキップ(skipping)、(3) 動揺させる(stirring)、(4) 妨害(hindering)、(5) 気まぐれ(fickle)、(6) 暗闇に放置(left in the dark,)の 6 つのカテゴリーも定義し、これらについては、ブログ記事「EDPB、ソーシャルメディアインターフェースにおける「ダーク・パターン」の使用に関するガイドライン草案を公開」で詳しく説明している。

(2)提案されているデータ法(Data Act)でも同様に、「ダーク・パターン」を「消費者にマイナスの結果をもたらす決定を押し付けたり欺いたりする設計手法またはメカニズム」と説明されている。これらの操作手法は、ユーザー、特に弱い立場にある消費者を説得して望ましくない行動をとらせたり、データ開示取引に関する意思決定を誘導したり、サービスのユーザーの意思決定に不当にバイアスをかけたりすることでユーザーを欺くために使用される可能性があり、ユーザーの自主性、意思決定、選択を覆し、損なう方法である。

　さまざまな説明にもかかわらず、「ダーク・パターン」の共通の特徴は、(i) 操作的または欺瞞的な性質、および (ii) その結果消費者にマイナスまたは有害な結果をもたらすことである。

　この「ダーク・パターン」という表現は EU の法律全体に浸透しており、さまざまな規則、ガイドライン、原則の中に見られる。したがって、組織が「ダークパターン」とは何か、そしてこれが自社の業務にどのような影響を与えるかを検討しようとする場合、たとえば次のような多数の規制を考慮することが重要である。

(1)GDPR と eプライバシー指令。

　GDPR と eプライバシー指令(注18)はダーク・パターンについて明示的に言及していないが、ダーク・パターンを規制する現在の法的枠組みの一部を形成している。たとえば、組織が GDPR に基づいて個人データを処理する法的根拠として同意に依存している場合、または eプライバシー指令に基づいて Cookie やマーケティングコミュニケーションについて同意を取得している場合、そのような同意を収集する際にダークパターンに関与している可能性がある。

(A) ソーシャルメディアプラットフォーム・インターフェイスのダーク・パターンに関する EDPB ガイドライン 03/2022 (「ガイドライン」) は、ソーシャルメディア・プラットフォームの「ダーク・パターン」を評価するための実践的な推奨事項を提供している。同ガイドラインでは、「ダーク・パターン」はユーザーが「自由に与えられた、具体的で十分な情報に基づいた明確な同意」を提供する能力を妨げる可能性があり、ひいてはデータ保護と消費者保護の観点からプライバシーの権利を侵害する可能性があると指摘している。実際の例として、組織は次のような場合に「ダーク・パターン」に陥る可能性がある。言葉やビジュアルの使用が、(a) 非常に前向きな見通しでユーザーに良い気分や安全を感じさせる、または (b) 非常に否定的な見通しのいずれかでユーザーに情報を伝える 1 つは、特にデフォルトのオプションとしてより多くのデータを共有するようにユーザーを誘導する方法で、ユーザーに不安や罪悪感を抱かせることである。ガイドラインの詳細については、本事務所のブログ投稿を参照されたい。

(B)CPC – EDPB の子供に対する公正な広告に関する共同原則(CPC – EDPB Joint Principles for Fair Advertising to Children)

2022 年 6 月 14 日、EU の CPC ネットワーク(Consumer Protection Cooperation Network)4/3(91)の代表者は、EU 内のいくつかの国家データ保護当局および EDPB 事務局とともに、子供に対する公正な広告のための 5 つの主要原則を承認した（プレスリリースを参照）。これらには、例えば、子供をターゲットにする可能性が高い広告やマーケティング手法を設計する際に、子供特有の脆弱性を考慮すること（特に、子供を騙したり不当に影響を与えてはならない）や、子供をターゲットにしたり、アプリ内またはゲーム内のコンテンツの購入を促したり、購入を促したりしないことが含まれる。このため、組織は子供を対象としたオンライン・インターフェイスを作成する際に、ダークパターンを避けるために十分な注意を払う必要がある。これらの原則と子供のプライバシーの詳細については、以前のブログ投稿を参照されたい。

(C)UCPD(不公正商行為指令)。不公正商行為指令 (Unfair Commercial Practices Directive:UCPD」は、契約締結前、契約締結中、契約締結後に消費者の経済的利益に影響を与える不公正な商行為を禁止している。 2021 年 12 月 29 日、欧州委員会は UCPD に関するガイダンスを発表し、UCPD がダークパターンをカバーしていることを確認し、UCPD の関連規定がデータ駆動型の企業間取引(BtoB)の消費者の商習慣にどのように適用できるかを説明するセクション (4.2.7) を割当てた。

　UCPD は、消費者の注意を引くなどの商行為を対象としている。これにより、サービスの使用を継続する (フィードをスクロールするなど)、広告コンテンツを表示する、またはリンクをクリックするなどの取引上の決定が行われる。これらの商慣行にダーク・パターンが含まれており、誤解を招く限りにおいては、UCPD に違反することになる。たとえば、ダーク・パターンは、オンライン広告に関連して平均的な消費者の経済行動を大きく歪める可能性があるため、UCPD に該当する可能性がある (ブログ投稿を参照)。

(D)DSA(デジタル・サービス法 (Digital Markets Act)

　DSA は、ユーザーの自由な選択を歪めたり損なったりする可能性のある、ダーク・パターンを含む欺瞞的または誘導的な手法 (同意のオプションを視覚的に目立つようにしたり、ユーザーに決定を繰り返すよう要求したり促したりするなど) を特に禁止している。さらに、DSA に基づいて、欧州委員会には、ダーク・パターンの範囲に含まれる可能性のある追加の商慣行を定義するための委任法を採択する権限も与えられている。 DSA の詳細については、ブログ投稿を参照。

(E)DMA(デジタル市場法 (Digital Markets Act：DMA)

　DMA はダーク・パターンについては明示的に言及していないが、ダーク・パターンと同様の方法で説明される義務をゲートキーパーに課している。たとえば、ユーザーの自由な選択と同意の撤回に関して、ゲートキーパーは「エンドユーザーが自由に同意する能力を欺いたり、操作したり、その他の方法で実質的に歪めたり、損なったりするような方法で、オンラインインターフェイスを設計、編成、運用してはなりません」。この目的を達成するために、DMA は、ユーザーが同意したときと同じように簡単に同意を撤回できる機能を提供し、追加の負担を回避させる。同意を撤回するための簡単なメカニズムをユーザーに提供しない場合は、ダーク・パターンとみなされ、DMA に基づく違反とみなされる。 DMA の詳細については、ブログ投稿を参照。

２．規制立法法案

　ダークパターンに関する規制は継続的に進化しており、特にダークパターンが消費者に与える悪影響がより多くの研究や調査によって明らかになっているため、新しい法律に組み込まれている。次の今後のルールでも、ダーク・パターンの使用が規制される。

(1)提案されているAI法(The proposed AI Act)

　提案されている AI 法は、EU 全体での人工知能システム (「AI システム」という) の開発、市場投入、および使用に関する規則を定めている。 AI 法はまだ立法過程にあるが、現在の提案では AI システム内でのダークパターンの使用が禁止されている。すなわち、この提案は、「人の行動を、その人を引き起こす、またはその可能性のある方法で実質的に歪めるために、人の意識を超えた潜在意識技術を展開する AI システムの市場投入、運用、または他人の身体的または精神的危害を加える使用を明確に禁止している。したがって、AI システムのメーカーは、ダークパターンのような欺瞞的な手法の使用が禁止され、ダークパターンの使用を避けるために、GDPR が推進する一般的なデータ保護原則、つまり透明性、説明責任、データの最小化などを考慮する必要があります。 AI システム内のパターン。提案されている AI 法の詳細については、当事務所のブログ投稿を参照。(欧州委員会専門サイト「Shaping Europe’s digital future」でAI法など最新情報が入手可)

(2)提案されているデータ法(The proposed Data Act.)

　提案されているデータ法は、ユーザーが接続された製品やサービスの使用を通じて生成されたデータにアクセスし、第三者に移植できるようにするなど、データへのアクセスと使用を促進することを目的としている。

　この一環として、このデータを受け取る第三者は、「ユーザーとのデジタルインターフェースにおいてユーザーの自主性、意思決定、選択を破壊したり損なったりすることにより、いかなる方法でもユーザーを強制、欺瞞、操作しない義務を負う。Recital 34 では、これは、サードパーティがデジタルインターフェイスを設計する際に、特に消費者がより多くのデータを開示するように操作する方法でダークパターンに依存すべきではないことを意味すると説明している。したがって、サードパーティは、GDPR で定義されているデータ最小化原則に準拠する必要がある。インターフェイスでダーク・パターンの実践を採用しないようにすべきである。( 提案されているデータ法の詳細については、ブログ投稿を参照)。

(3)デジタル公平性に関する公開協議(Digital Fairness Consultation)

　2022 年 11 月 28 日、欧州委員会はデジタル公平性に関する公開協議を発表しました。この協議は現在 2023 年 2 月 20 日まで開かれている。この協議の目的は、既存の消費者保護法（不公正商法など）を更新する必要があるかどうかを判断することである。オンライン世界のデジタル変革に適応するために、慣行指令、消費者権利指令、不当な契約条件指令などを遵守する。特に、欧州委員会は、既存の消費者保護法が、他の消費者保護上の懸念事項（パーソナライゼーションの実践、インフルエンサー・マーケティング、仮想アイテム消費者のマーケティングなど）の中でも、ダーク・パターンを含むオンラインの欺瞞的およびナッシング手法などの新たな消費者保護問題から消費者を保護するのに適切であるかどうかを検討する予定である。

　公開協議後、欧州委員会はスタッフ作業文書を公表する予定で、この文書はこれらの問題に対処し、ダーク・パターンをさらに規制する新たな立法提案を推奨する可能性がある。その一方で、EU はすでに次のようなダークパターンの施行を推進している。

(4)欧州委員会の新しい消費者アジェンダ（ダーク・パターンの義務化を含む）の一環として、2022 年 4 月に欧州委員会は、デジタル環境における不当な商行為に関する行動調査を発表した。この調査では、ダーク・パターンの使用と操作的なパーソナライゼーションを調査し、ダーク・パターンに関する懸念に対処するための既存の消費者保護法の潜在的なギャップ。欧州委員会は、この調査で特定されたオンライントレーダーに連絡し、特定された問題を修正するよう依頼する予定である。

　前述したように、CPC ネットワークは Web サイトやアプリでの「ダーク・パターン」の使用を特定するためにオンライン調査を実施した。欧州委員会のプレスリリースによると、調査対象となったオンラインショッピング Web サイトのほぼ 40% (399 件中 148 件) がこのサイトに依存していると記載されている。消費者の脆弱性を悪用したり、消費者を騙したりする操作的行為（例：偽のカウントダウンタイマー、隠された情報、消費者を購入、定期購入、またはその他の選択肢に誘導するように設計された Web インターフェース）。関連する加盟国の消費者保護当局は今後、関連する業者に連絡してウェブサイトを修正し、必要に応じてさらなる措置を講じることになる。

　2022年11月21日に発表された、取引アプリや取引ポータルでのダーク・パターンを禁止するドイツ連邦金融監督庁(Bafin)の声明(注19)で証明されているように、金融セクターなど分野ベースでの施行も予想される可能性が高い。

結論

　EUは、特にデジタル分野におけるEU消費者の権利をさらに保護するために重要な措置を講じており、企業がそのような目標を達成するための追加の勧告を提供し続けている。 EUはデジタル市場法とデジタルサービス法の採択、および今後の立法提案の交渉により、欧州の各機関はデジタル市場における透明性と説明責任の強化に向けて 2023 年に向けた調子を整えている。ダーク・パターンの規制に重点を置くことは、EU の多数の法律との関連性が示すように、広範囲に影響を与える可能性がある。さらに、ダーク・パターンの規制は単一の規制に拘束されないため、ダーク・パターンに対する施行の数は増加するであろう。たとえば、EU データ保護当局はダーク・パターンの使用や個人データの処理、デジタルマーケティングを調査するため、ダーク・パターンも施行の議題となっている。

**************************************************************

(注16) 長島・大野・常松法律事務所パートナー福原あゆみ氏のニュースレター「欧州におけるグリーン・ウォッシュ規制のアップデート」から一部抜粋する。なお、EUサイト(DIRECTIVE (EU) 2024/825 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 28 February 2024)とのリンクは本ブログの筆者が独自に行った。

福原あゆみ氏

(1)EU理事会は、2024年2月20日、従前の欧州の不公正商行為指令（Unfair Commercial Practices Directive: UCPD）と消費者権利指令（Consumer Rights Directive: CRD）を改正する形で、不公正な慣行に対するより良い保護と情報提供を通じてグリーン移行するための消費者の権限強化に関する指令（Directive on empowering consumers for the green transition through better protection against unfair practices and better information 以下「ECD」といいます。）を採択し、同指令は同年3月26日に発効した。今後、EU加盟国は採択から2年以内に国内法規制への置き換えを行い、30か月以内に適用することが求められる。

(2) 禁止される行為の概要

ECDに基づく禁止行為又は規制には以下のものが含まれる。

①一般的な環境主張の規制

②持続可能性ラベルの使用の規制

③カーボンオフセットのみに基づく主張の禁止

④将来の環境性能に関する主張の来の環境性能に関する主張の規制

(2)グリーン・クレーム指令（The green claims directive）

　グリーン・クレーム指令（The green claims directive　以下「GCD」という。）は、環境主張の広告を出す前に、環境マーケティングのクレームに関する証拠の提出を企業に義務付けるものであり、ECDに基づくグリーン・ウォッシュの規制を補完するものになる。同指令は、消費者が購入する製品の環境認証に関する信頼できる情報をアクセス可能にすることを目的として2023年3月に提案され、審議がなされていたが、2024年3月12日に欧州議会により採択がなされている。今後、2024年6月に実施される欧州選挙後の新議会で更に同指令案の審議が行われることが見込まれ、内容については変更がありうるものの、現時点で同指令で定められる項目には以下のものが含まれる。

①明示的な環境主張に関するアセスメントの実施と立証に関する要件

②環境主張の伝達に関する要件

③環境ラベル制度の要件

(注17) REGULATION (EU) 2023/2854 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act)

(注18) GDPRとeプライバシー指令は相互に補完しあう関係にある。GDPR第95条によれば、eプライバシー指令（及び同指令を実施する国内法）が企業に義務を課している範囲において、GDPRがさらなる義務を課すことはないとされている。これは、原則として、eプライバシー指令の規定が、電気通信サービス（特に電子メールとインターネット）についての枠組みを定める、いわゆる特別法であり、より一般的なGDPRの規定に優先することを意味する。GDPRは、eプライバシー指令によって具体的に規律されていない事項についてのみ直接的に適用されることとなる。(長島・大野・常松法律事務所「GDPRとEU加盟国法との相互関係に関する最新動向－eプライバシーに関する規律やドイツの事例を題材として－」から一部抜粋)

　この 2002 年の e プライバシー指令は、デジタル時代のプライバシー、より具体的には通信の機密性と追跡と監視に関する規則に関する重要な法的手段である。

　2011 年 5 月に発効した電子プライバシー指令 2009/136/EC は、電子通信分野における個人データの処理とプライバシーの保護に関するものである。これは通常「電子プライバシー指令」と呼ばれ、第一次指令 2002/58/EC の修正指令である。(Wikipedia から抜粋、仮訳)

　一般データ保護規則(GDPR)の発効により、EU 立法者はこの文書を更新する必要があり、欧州委員会は 2017 年 1 月 10 日に提案を発表した。この新しい文書は、機械の機密性などの問題を伴い、急速に進化する技術情勢に取り組む必要があり、マシン間の通信 (モノのインターネット)、または公的にアクセス可能なネットワーク (公衆 Wi-Fi など) 上の個人の通信の機密性等に言及している(EDPSサイトを仮訳)。

(注19)Bafin声明(独文)および第63条第6項を筆者なりに仮訳する。

「また、BaFin は、取引アプリや取引ポータルにある関連性のある重要なボタン (取引をキャンセルするためなど) が完全に欠落していてはいけないことも明確にしている。投資サービス会社が重要かつ関連性のある意思決定の選択肢のボタンを提供しない場合は、WpHG 第 63 条第 6 項 (§ 63 Abs. 6 Satz WpHG.)に基づく誠実さの要件にも違反する。」

＊連邦証券取引法 (有価証券取引法： Gesetz über den Wertpapierhandel： WpHG)第 63 条：一般的な行動規則; 規制を発行する権限：第6項　投資サービス会社が顧客に提供するマーケティング・コミュニケーションを含むすべての情報は、正直、明確で、誤解を招くものであってはならない。マーケティングコミュニケーションは、それを明確に識別できる必要がある。 (資本投資法第 302 条(Kapitalanlagegesetzbuch (KAGB)§ 302 Werbung 広告)、規制 (EU) 2017/1129(Artikel 22 der Verordnung (EU) 2017/1129)( 2017 年 6 月 14 日の欧州議会および欧州理事会の規則 (EU) 2017/1129 は、有価証券が一般に提供される場合、または規制された市場での取引が認められる場合に発行される目論見書に関するものであり、指令 2003/71/ECText を繰り返している(Verordnung (EU) 2017/1129 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über den Prospekt, der beim öffentlichen Angebot von Wertpapieren oder bei deren Zulassung zum Handel an einem geregelten Markt zu veröffentlichen ist und zur Aufhebung der Richtlinie 2003/71/EGText von Bedeutung für den EWR.)、証券目論見書法(Wertpapierprospektgesetz - WpPG)の第 7 条(§ 7 証券情報シートの発行が必要なオファーの広告)は影響を受けない。

　BaFin は、第 63 条以降に従って、2018年1月に施行された第2次金融商品市場指令(MiFID II )の行動規則に関する 2 つの新しい FAQ を公開した。投資サービス会社は、オンラインでのプレゼンスを適宜確認することが求められる。 BaFinが独自の監査手続きを通じて取引アプリのダーク・パターンをすでに特定している場合、直ちに関係企業に対処する予定である。

*************************************************************

悪意あるインタフェース・デザイン・パターンの一種でエンドユーザーをだまし、本人の意図または期待とは異なる行動を取らせる「ダーク・パターン」の米国やＥＵの規制強化に向けた具体的活動内容を検証(その2)

2024-04-19 08:28:16 | 違法なマーケテイング規制

４．その他の消費者向けビジネスへの影響

　Amazon と PCH ヘの訴訟は、FTC が不公平、欺瞞的、またはその他の違法なダーク・パターンとみなしている特定のタイプのデザイン慣行について重要な明確さを提供し、自社のオンライン・デザインの健全性を調査しようとしている他の消費者向け企業にとってのガイドとして役立つ。

　電子商取引プラットフォームやサブスクリプション・ベースのモデルを展開している企業、あるいはオンライン・マーケティングに大きく依存している企業は、現在の規制環境においてデザイン関連のリスクを適切に特定して制御していることを確認するために、さまざまな措置を講じることができ、またそうすべきである。これらの手順には次のものが含まれる場合がある。

(1)登録/サインアップのフローを確認する: 企業は、この機会を利用して、Amazon の告訴で取り上げられている慣行の種類に目を向けて、既存のオンライン顧客フローと関連する設計原則を確認する必要がある。今日の簡単なチェックにより、製品フローやその他の設計上の決定を改善または合理化する機会が見つかる可能性がある。これにより、潜在的なダーク・パターンに関連する規制リスクが軽減されるだけでなく、顧客とのコミュニケーションが改善され、収益も向上する。

(2)シンプルなキャンセル方法を検討する: 同様に、企業は既存のキャンセルフローを調査して、その結果を達成するための「シンプルなメカニズム」を提供していることを確認する必要があります。潜在的には、消費者がサービスを登録するのと少なくとも同じくらい簡単にサービスをキャンセルできるようにするべきである。FTC が提案したネガティブ・オプション・ルールと Amazon に対する強制措置に沿って、企業は見つけやすく使いやすいシンプルなキャンセル・プロセスを備え、消費者が登録に使用したのと同じ方法 (例: ウェブサイト、電子メールアドレス、または他のアプリケーション）を提供すべきである。

　インターネット上の販売者は、サインアップに使用したのと同じ Web サイトまたは Web ベースのアプリケーション上で、アクセス可能なキャンセルメカニズムを提供する必要がある。販売者がユーザーに電話を使用したサインアップを許可する場合は、少なくとも電話番号を提供し、その番号へのすべての通話が通常の営業時間内に応答されるようにする必要がある。簡単に言うと、企業は消費者にサブスクリプション・プランをキャンセルするために面倒な手続き・厳しい審査など〕複雑な［何段階もの］手順を踏むことを避けるべきである。

(3)サブスクリプション・プランに関する明確な開示: 最後に、送り付け商法(negative option)のサブスクリプション・プランを採用している企業は、すべての重要な条件が事前に明確かつ目立つように開示されていることを確認するために、少し時間をかける必要がある。また、その開示には、告発を避けるために取るべき措置と、その措置が必要となるスケジュールを含める必要がある。

　まだ最終決定されていないが、FTC が提案している改正ネガティブ・オプション・ルールでは、消費者の請求情報を取得する前に次の情報が必要になる。 ① 該当する場合、消費者の支払いが定期的に行われること、② 消費者が停止するために行動しなければならない期限、③ 消費者が負担する可能性のある費用の金額またはその範囲、④ 料金の支払いが提出される日付、⑤ 消費者が定期的な支払いをキャンセルするために使用できるメカニズムに関する情報。(注14)

　もちろん、ダーク・パターンは違法であり、サブスクリプションのキャンセルはサインアップと同じくらい簡単でなければならないというFTCの決定の実現可能性と範囲についてはなお未解決の疑問がある。

　FTC は、ダーク・パターンの定義を満たす行為が、特定の事件の特定の事実に基づいて不当または欺瞞的であることを証明できるかもしれないが、事実のパターンが「強制されたアクション(Forced Action)」または「コンファーム・シェイミイング（羞恥心や罪悪感の植え付け）の定義を満たすことを示すには十分ではない。

　結局のところ、FTC 法は「ダーク・パターン」を禁止しているのではなく、数十年にわたる判例法を通じて発展してきたように、不公平と欺瞞を禁止している。欺瞞を証明するために、FTC は依然として、状況下で合理的に行動する消費者が重要な用語について誤解される可能性が高く、その責任を負うためにコピーテストまたはその他の外部証拠を使用する必要がある可能性があることを証明する必要がある。不公平を証明するには、FTC は、その行為が合理的に回避できない損害を引き起こし、またはその可能性があり、商業および競争上の利益を上回るものではないことを証明する必要がある。たとえば、ワンクリック・キャンセルには利点があるかもしれないが、キャンセル・フロー中の「保存」オファーは、サブスクリプションを低価格で維持したいと考えている消費者に多大なメリットを提供する可能性がある。節約オファーも価格競争を促進する可能性がある。

　しかし、FTC は、広く使用されている取引慣行を含む、ダーク・パターンを考慮した慣行に対する強制を明確な優先事項とする。競合他社の実践をベースラインとして見ることは、何の安心感もない。規制上の不確実性とリスクを回避するために、企業は登録とキャンセルのフロープロセスについて慎重かつ現実的な視点を持つ必要がある。既存の（PCH の場合は長期的な）慣行を取り締まるという FTC の決定が何かを示唆しているからである。 FTCが積極的な法執法を続けるかどうかは、Amazonに対する苦情訴訟やネガティブオプション・オファーに関する「規則制定案告示 (Notice of Proposed Rulemaking ：NPRM)」の経過を通じてより明らかになるであろう。

Ⅲ．FTCは、オンライン・サブスクリプションとキャンセル慣行に関する「ダークパターン」の苦情に3人のエグゼクティブを追加

　2023年10月9日のDuane Morris LLP.の解説「FTCは、オンライン・サブスクリプションとキャンセル慣行に関する「ダーク・パターン」の告訴状に3人の上級幹部を追加」を仮訳する。(なお、公正取引委員会はFTCが６月21日に行ったリリース文「FTCは消費者を同意なくAmazon Prime に登録し、キャンセルの試みを妨害したとしてAmazonに対して裁判行動を起こすーFTCの告訴は、合意のない定期購入と解約の策略に対する会社の認識上の不履行の詳細を概説しているー」要旨を仮訳している)(注15)

　連邦取引委員会(FTC)によるAmazonに対する最近の独占禁止法訴訟は多くの注目を集めているが、同委員会が以前に提出したAmazonに対する消費者保護訴訟は、Amazon幹部に重要なポイントを提供している。

　2023年9月20日、FTCはAmazon.com Inc.に対する告訴状を修正し、3人のAmazon幹部を個々の被告として追加した。訴状では、Amazonが「ダーク・パターン」を使用して、消費者が無意識のうちに Amazon Prime のサブスクリプションに登録し、サブスクリプションのキャンセルを困難にしたと主張した。FTCは、これらの訴訟は、FTC法の第5条「Unfair or Deceptive Acts or Practices」および「オンラインショッパー信頼回復法(Restore Online Shoppers’ Confidence Act :ROSCA)」。 6月に提出された最初の告訴状は、Amazonのみを指名していた。

１．FTCの主な追加告訴事項

(1)修正された告訴状は、不正行為に直接関与している幹部の個人の説明責任に関してFTCでの焦点が高まっていることを示している可能性がある。

(2)幹部がFTC訴訟で指名されることの潜在的な結果には、民事罰、その他の形態の金銭的救済、および永久的差止命令が含まれる。

２．FTCの追加告訴の主張内容と求められた救済策

　3人の幹部はすべてAmazon Prime を監督する上級副社長であり、そのうちの1人は現在Amazonのリーダーシップチームに所属している。修正された告訴状は、(1)3人の幹部全員が顧客が無意識のうちにAmazon Prime に登録していること、および(2)Amazonが加入者のキャンセルを防ぐために迷路 (labyrinthine) となるキャンセル手順を設計したことを知っていたと主張した。さらに、FTCは、(3)3人の幹部全員が登録およびキャンセル・プロセスを明確にするための内部の試みを遅らせるかあるいは拒否したと主張した。

　修正された告訴状は、内部の電子メール、メモ、プレゼンテーションでこれらの主張をサポートし、不明な登録と困難なキャンセルを既知の問題として識別した。これらの内部文書の一部は3人の幹部によって承認または受信されただけであったが、他の文書は幹部’自身の通信文であった。コミュニケーションには、Amazonの従業員から幹部へのメールが含まれており、Primeの登録とキャンセルのプロセスについて懸念が生じた。

　また、修正された告訴状は、Amazonと3人の幹部が特権の指定を誤用して文書を隠蔽したと主張し, たとえば、法的助言(legal advice)を要求しなかった大規模な通信において「弁護士に法的アドバイスを求めるべき(seeking counsel)」というフレーズを追加することによって、FTCは、この実務慣行は、被告らが調査される可能性が高いことを理解したことを示していると主張した。

３．FTCが告訴状で指名したAmazonの幹部の役割の重要性

　Amazonの幹部を主要なリーダーシップの役割に追加する修正された告訴状は、個人の説明責任に関する機関での焦点の増加を示している可能性がある。

　このような消費者保護問題裁判の場合、FTCが個人や企業を被告として指名することは珍しいことではない。ただし、そのような場合には通常、指名された幹部が被告事業の唯一の所有者または別法人格(alter ego )である小企業が関係する。

　しかし、近年、FTCは大企業の幹部の名前を告訴状に付け始めた。

　2022年、FTCはDrizly LLCとそのCEOの両方をデータ侵害(データ侵害とは、社内の脅威や外部からの攻撃者が、医療記録、財務情報、個人識別情報（PI）などの機密データまたは機密情報に不正にアクセスするセキュリティインシデント)で訴えた。この訴訟は同意命令(consent order)で終わったが、CEOは、25,000人以上の情報を収集する企業の過半数所有者、CEO、またはセキュリティ責任を持つ上級役員である場合、情報セキュリティトレーニングを実施する必要があるとされた。

４．セキュリティ責任を持つCEOまたは上級役員の指名

　この訴訟の被告としてCEOを指名することで、FTCは違法行為とされる行為に直接関与した個々の幹部の責任を追及するのではなく、抑止のメッセージを送っているように見えた。実際、元FTC委員のロヒット・チョプラ(Rohit Chopra)氏(現金融消費者保護局長)とレベッカ・スローター(Rebecca Slaughter)委員は、大企業の個人の名前を明らかにすることを支持し、それが抑止の手段であることを強調してきた。また、ドライズリー事件(Drizly, LLC.)　(注15-2)では、元FTC委員のクリスーティーン・ウィルソン(Christine S.Wilson)氏が、一般にCEOは問題のある慣行についての知識や関与がほとんどないため、CEOが個人的に責任を問われるべきではないと主張した。 FTC委員長のリナ・カーン氏はこれに反対し、「大企業を監督することは、他の優先事項を優先して法的義務を後回しにする言い訳にはならない」と述べた。

Rohit Chopra 氏

Christine S.Wilson 氏

　しかし、今回修正された訴状で名前が挙がったAmazon幹部らは、違法行為に積極的に参加していたと言われている。FTC によると、幹部 3 人は、問題のある実務慣行を阻止する権限を与えられた役職に就いている。これらの実務慣行を止めるのではなく、継続することを許可した。そして証拠には、違法行為の疑いを助長するこれら幹部自身の通信も含まれていた。

結論

　Amazonのプライム・プログラムに責任を負った幹部3名を名指しすることで、FTCは、たとえ大企業であっても違法行為に積極的に参加する幹部はFTCの消費者保護訴訟の被告として指名されるリスクがあることを示唆した。FTC の訴訟で名前が挙げられると、経営幹部が受ける影響は重大になる可能性がある。 Amazonプライムの訴訟では、企業と個々の被告は各違反ごとに最大5万120ドル(約766万8360円)の民事罰金を科される可能性があり、場合によっては他の形式の金銭的救済も行われる可能性がある。さらに、幹部は永久差止命令の対象となる可能性もある。

　最後に、消費者と取引するすべての企業の経営者は、FTC が、企業による不当または欺瞞的な行為または慣行を促進する行為について、個人の責任を追及しようとする可能性があることを認識する必要がある。

Ⅳ．EUのダーク・パターン規制のあり方・スタンスおよび欧州データ保護会議 (EDPB) 、ソーシャルメディアインターフェースにおける「ダーク・パターン」の使用に関するガイドライン草案を公開の概要

１．Covington & Burling LLPの解説ブログ「2023.1.31The EU Stance on Dark Patterns」を仮訳する。

　2022 年 3 月 21 日、欧州データ保護会議 (EDPB) は、3 月 14 日に開催された EDPB 本会議の後、

「ソーシャルメディア・プラットフォーム・インターフェイスのダーク・パターンに関するガイドライン 3/2022 草案(Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them　Version 1.0) 」(以下、「ガイドライン」)という) を発表した。ガイドラインの明記された目的は、ソーシャルメディア・プラットフォームのデザイナーとユーザーの両方に、EU の一般データ保護規則 (GDPR)で定められた要件に違反するソーシャルメディア・インターフェイスのいわゆる「ダーク・パターン」を特定し、回避する方法について実践的なガイダンスを提供することである。

　この意味で、ガイドラインは、GDPR に準拠した方法でプラットフォームとユーザー・インターフェイスを設計する方法を組織に指示するとともに、対象となる特定の慣行がどのように GDPR に反する可能性があるかをユーザーに教育する両方の役割を果たすものといえる。結果として、そのような行為に起因する GDPR の告訴の増加につながる可能性がある。現在、このガイドラインは 6 週間の公開協議の対象となっており、関心のある方は、こちらから EDPB に直接フィードバックを送信するよう求められている (「フィードバックを提供する」ダウンロードボタンを参照)。

１．ダーク・ パターンの 6 つの定義された包括カテゴリーの分類の設定

　EDPBはガイドラインの冒頭で、「ダーク・パターン」を「ユーザーが個人データの処理に関して意図的ではない、望まない、潜在的に有害な決定を下すように導く、ソーシャルメディア・プラットフォームに実装されたインターフェースとユーザーエクスペリエンス」と定義している。次に EDPB は、ダークパターンの 6 つの定義されたカテゴリの分類を提供した。

①過負荷 – 大量のリクエスト、情報、オプション、またはより多くのデータを共有するよう促す可能性によってユーザーを圧倒すること。

②スキップ – ユーザーが意思決定のすべてまたは特定のデータ保護側面を忘れる (または考慮しない) ような方法でインターフェイスまたはユーザーエクスペリエンスを設計すること。

③撹拌 – ユーザーの感情に訴えたり、視覚的なナッジを使用したりすること。

④妨害 – ユーザーが自分のデータの使用について知らされること、または特定のアクションを達成するのが困難または不可能にすることによってデータを制御することを妨害またはブロックすること。

⑤気まぐれ – 一貫性がなく不明瞭な方法でインターフェイスを設計するため、ユーザーコントロールの操作や処理の目的の理解が困難になること。

➅闇に放置 – 情報やプライバシー制御を非表示にしたり、データがどのように処理され、データに対して実行できる制御についてユーザーに不確実性を与えたりする方法でインターフェイスを設計すること。

　上記で概説したダーク・パターンの 6 つの包括的なカテゴリーの下で、EDPB は 15 の具体的なダークパターンの行動を特定し、ソーシャルメディアユーザーアカウントのライフサイクル中にそれぞれの行動がどのように現れるかを検討した。これは、EDPB が次の 5 つの段階の連続体である。

段階：（1）ソーシャルメディア・アカウントを開設する。 (2) ソーシャルメディアで最新情報を入手し続ける。 (3) ソーシャルメディア上で保護された状態を保つ。 (4) ソーシャルメディア上で個人データの権利を行使する。 (5) ソーシャルメディア・アカウントを離れる。

　EDPB は、ソーシャルメディアユーザーのライフサイクルにおける 5 つのユースケースを詳しく説明する前に、組織や個人がダークパターンの使用を検討する (および回避しようとする) 際に念頭に置くべき、以下のいくつかの基本的な GDPR 原則を強調している。

(1)公平性と透明性 (GDPR 第 5 条 (1)(a)): EDPB は、GDPR の公平性原則が、データ主体の個人データが有害、差別的、誤解を招く、または予想外の方法で処理されることを防ぐ「包括的な機能を果たす」ことを強調している。透明性に関しては、GDPR 第 12 条に従って、情報は「明確で平易な言葉を使用した、簡潔、透明、理解しやすく、簡単にアクセスできる形式」でデータ主体に提供されなければならない。これは、潜在的なダークパターンを調査する際の重要な考慮事項である。

(2)説明責任 (GDPR 第 5 条(2)): EDPB は、ソーシャルメディアプラットフォーム上のユーザーインターフェイス/ジャーニー自体が、ソーシャルメディアユーザーに対して GDPR 要件への準拠を示す方法として使用できると述べている。特に EDPB は、ソーシャルメディアプラットフォームの運営者に対し、GDPR の情報をどのように適切に満たしているかを示すために、インターフェイスのスクリーンショットを記録するだけでなく、定性的および定量的な調査 (A/B テスト、アイトラッキング、ユーザーインタビューなど) を実施することを奨励している。

(3)設計およびデフォルトによるデータ保護 (GDPR 第 25 条): EDPB は、設計およびデフォルトで効果的なプライバシーを確保するには、ここで特定の要素を考慮する必要があると指摘している。特に、データ主体の自律性と合理的な期待を尊重し、データ主体のデータ主体のデータ保護を可能にすることである。簡単な相互作用と権利行使、消費者の選択の促進と権力の不均衡の回避、データ主体を欺いたり、操作したり、誤解を与えたりしない客観的かつ中立的な方法での情報の提供である。

２．ソーシャルメディアユーザーのライフサイクルにおけるダーク・パターンを深く掘り下げる

　EDPB は、ソーシャルメディア・ユーザーのアカウント・ライフサイクルの 5 つの段階にわたるダークパターンの詳細な分析を提供し、各セクションを次のように分けている。(a) 関連するコンテキストの説明。 (b) 関連する法規定の概要。 (c) 特定のダーク・パターン (コンテンツ・ベースかインターフェイスベースかを問わず) をそれぞれ複数の例とともに調査する。 (d) ダークパターンを回避するためのベストプラクティスのリスト。

　以下に、ソーシャルメディアのライフサイクルのこれら 5 つの段階に関連した EDPB の注目すべき発言をいくつか挙げる。

(1)ソーシャルメディア・アカウントを開設するとき

①同意: EDPB は、ソーシャルメディアプロバイダーは、サインアップ段階で要求された場合に同意が区別できるように特別な注意を払う必要があると述べている。そうしないと、このオンボーディングのステップでユーザーがあまりにも多くの情報に圧倒され、すべてを読む気をなくしてしまうのにも関わらず、プライバシーポリシーをすべて読んだことを確認する必要がある同意が必要な場合、[プライバシーポリシーに] という名前が付けられるが、これは特別な条件への強制的な同意とみなされる可能性がある。ソーシャルメディア・プラットフォームのユーザーは、サインアップ段階でプラットフォームがシングルクリックで同意を取得した場合、ワンクリックで同意を取り消すこともできなければならない。

②データの最小化: EDPB はデータの最小化の原則にも焦点を当てており、ソーシャルメディアプラットフォームは追求される目的に客観的に必要な以上の個人情報を取得しようとするべきではないと明確に述べている。ここで EDPB は、電子メールアドレスも同じ目的 (たとえば、特定のユーザーが電子メールアドレスを所有していることを証明するため) に使用できるにもかかわらず、アカウントの 2 要素セキュリティ認証のために電話番号を要求するプラットフォームの例を挙げている。例えば、プラットフォームへのログインに使用されるデバイスの場合)。

③ダーク・パターンの例: EDPB は、ライフサイクルのこの段階でのさまざまなダークパターンの使用に焦点を当てている。これには、「感情操作」の使用、つまり、次のいずれかの方法でユーザーに情報を伝えるための言葉やビジュアルの使用が含まれる。(a)非常に前向きな見通しで、ユーザーに良い気分や安全を感じさせる。 (b) 非常に否定的な見通しで、ユーザーに不安や罪悪感を感じさせる。また、デフォルトのオプションとしてより多くのデータを共有するようにユーザーを誘導する。

(2)ソーシャルメディアで最新情報を入手する

①透明性(Transparency): EDPB は、GDPR には規範的な透明性要件があるものの (GDPR 第 12 条から第 14 条を参照)、「情報が多ければ多いほど良い情報になるとは限らず、無関係または混乱を招く情報が多すぎると、重要な内容がわかりにくくなったり、コンテンツの価値が低下したりする可能性がある」と強調している。

　したがって、EDPB は、包括的な情報と容易なアクセス性の間で適切なバランスをとる、多層的なプライバシー通知の使用を推奨している。 EDPB は、これを、矛盾する情報や論理的一貫性を欠く情報、曖昧な表現を提供する情報、特定の情報を見つけにくくすることでユーザーに過大な負担をかける情報などのダーク・パターンの使用と対比している。ここでも EDPB は、フィードバックを取得し、関連情報を確実に理解できるようにするために、ユーザーに対して階層化されたプライバシー通知の使用をテストすることを推奨している。

②共同管理者(Joint Controllership): EDPB は、共同管理者に共同管理者取り決めの本質をデータ主体に開示することを義務付ける。 GDPR 第 26 条の規定により、共同管理者に追加の透明性義務が課せられ、これには特定の状況ではソーシャルメディアプラットフォームが含まれる可能性があることに留意している。

③データ侵害の伝達(Communication of Data Breaches:): EDPB は、データ侵害に関する不特定または無関係な情報をデータ主体に提供することに対して警告している。たとえば、処理者のデータ侵害が管理者のセキュリティ侵害ではないことを示すなどである。侵害の重大性は、データ主体への影響ではなく、プラットフォームまたはそのプロセッサへの影響によって左右されることを示唆している。また、どの特定の種類の特別なカテゴリーの個人データが侵害で流出したかを示すものではない。

(3)ソーシャルメディア上での保護を維持する

①同意: ここでも EDPB は、ターゲットを絞った広告 (e-プライバシー指令に基づく Cookie およびトラッカーの使用に関する義務が適用される場合を含む) など、さまざまな処理目的でソーシャルメディア・ユーザーが同意を付与または撤回するために提供される手段および同意の撤回を妨げるために使用できるダーク・パターン行動の種類に焦点を当てている。

②ユーザー・コントロール: EDPB は、ユーザー・コントロールの表示におけるダーク・パターンについて懸念を提起している。特に、ユーザーが選択できるオプションやメニュー (またはサブメニュー) が多すぎる場合、それらは明確な機能を提供するのではなく、不明確または論理的に矛盾する可能性がある。集中型とは、プライバシーの選択を管理することを意味する。注目すべきは、EDPBが、「ソーシャルメディア・プラットフォームのユーザーが設定を変更する際に必要な平均歩数に関しては、『すべてに適合する万能のアプローチ』はない。その数値は必要な手順の数値はできるだけ少なくする必要がある」と述べていることである。

(4)ソーシャルメディア上での個人データの権利の行使

　ここで EDPB は、ユーザーを無関係なページにリダイレクトすることでユーザーを「行き止まり」に導く、不十分または曖昧な開示を提供する、個人データの権利を行使するためにユーザーを「プライバシーの迷路」に導く、ユーザーに情報を提供しないなどのダーク・パターンに関する懸念を提起している。権利を行使するためのフレンドリーな方法 (例: データのコピーをダウンロードするための直接リンク)、および特定の手順を必要以上に長くすること (例: 特定のアクションを実行したいと「確信している」かどうかをユーザーに尋ねるなど)などをあげている。

(5)ソーシャルメディア・アカウントを離れるときの留意点

　EDPB は、正当な理由なく消去権の行使が困難になった場合、これは GDPR 違反となり、ソーシャルメディアアカウントの削除を求めるユーザーの要求は暗黙の同意の撤回として理解される必要があると述べている ( 信頼されている場合)、GDPR 第 7 条 (3) に基づいて処理される。

　またEDPBは、現段階でユーザーを「プライバシーの迷路」に誘導してアカウントを削除したり、ユーザーを感情的にアカウントを維持するよう誘導したり、あいまいな情報や混乱を招く選択肢を提供したり、削除プロセスが中断される「死」に導くダーク・パターンについても懸念を表明している。

結論

　これらのガイドラインは、ヨーロッパおよびその他の管轄区域全体における広範な傾向の一部であり、規制当局や裁判所は、消費者を欺いたり、操作したり、不当に影響を与えたりしていると解釈される可能性のある方法でウェブサイト、プラットフォーム、またはその他の消費者向けインターフェースを提供する組織の責任を追及している。プライバシー保護の選択肢が少なくなる。この点で、上で強調したように、これらのガイドライン (特に EDPB によって特定されたベストプラクティス) は、欧州のプライバシー当局からの精査を受ける可能性のある慣行を避けたいソーシャルメディア分野以外の組織にとって有益となる可能性がある。さらに、EDPB が指摘しているように、ダークパターンは消費者保護法に違反する可能性もあり、これらの行為を行った当事者が二重の執行体制にさらされる可能性がある。

***************************************************************************

(注14)2023年4月24日 FTCが公表したNegative Option Ruleに関するFTCの「A Proposed Rule by the Federal Trade Commission」の改正案の要旨は以下のとおり。なお、詳細はFTC解説参照。

　連邦取引委員会は、「サブスクリプションおよびその他のネガティブ・オプション・プランに関する規則」(“ネガティブ・オプション規則”または“規則”)の改正を提案している。提案された変更は、消費者が望まない製品またはサービスの繰り返し料金を含み、過度の困難なしにキャンセルすることができない、不公正または欺罔的なビジネス慣行と戦うために計算される。

(注15) 公正取引委員会の仮訳は「過去のある報道では、アマゾンが解約手続を説明するために「イリアス（Iliad）」という言葉を使ったと指摘した上、この解約手続は、十年間にわたるトロイア戦争について書かれたホメロスの大叙事詩のようであると報じられている。」しかし、これでは読者はイリアス（Iliad）を正確に理解できまい。本文で述べたように「解約手続きが複雑な迷路である」というのが正しい訳語であろう。

(注5-2) 米連邦取引委員会は、オンラインアルコール市場のDrizlyと同社CEOのJames Cory Rellasに対し、同社のセキュリティ上の欠陥がデータ侵害につながり、約250万人の消費者の個人情報が流出したとの申し立てを巡り、訴訟を起こした。

*************************************************************

悪意あるインタフェース・デザイン・パターンの一種でエンドユーザーをだまし、本人の意図または期待とは異なる行動を取らせる「ダーク・パターン」の米国やＥＵの規制強化に向けた具体的活動内容を検証(その１)

2024-04-19 08:27:25 | 違法なマーケテイング規制

　読者は「ダーク・パターン」すなわち、悪意のあるインタフェース・デザイン・パターンの一種で、エンドユーザーをだまし、本人の意図または期待とは異なる行動を取らせ、インタフェースの提供者に利益を与えるものを十分理解されてあろうか。

　筆者は、最近のブログの(注4)で簡単にこの問題を取り上げた。その趣旨は違法なマーケティング規制のあり方の実態およびわが国の法規制のあり方を論じたいと考えたからである。

　改めて考えると、この問題の重要性から見て問題を整理すべく、今回のブログは、(1)「ダーク・パターン」の実態と技術面からみた本質的な違法性問題、(2)米連邦取引委員会(FTC)のダーク・パターン・レポートの内容と法規制・執行機関の取組みの意義、(3)FTCのターゲットとするAmazonおよび出版社クリアリングハウスに対する告発におけるダーク・パターン問題、 (4) FTCはAmazon.com Inc.に対する告訴状を修正し、3人のAmazon上級幹部を個々の被告として追加したダーク・パターンの幹部責任の裁判問題、(5)EUのダーク・パターン」の取組みスタンスや欧州データ保護会議 (EDPB)の「ダーク・パターン」の使用に関するガイドライン草案等につき概観する。

　これら問題の背景には、サービスや商品を一定期間利用できる権利に対して料金を請求するビジネスモデルであるサブスクリプションの普及(例：電子書籍、音楽配信、動画配信、ゲーム、洋服、車等の普及と併せた違法なマーケテイングの急増)だけでなく、悪徳ダイレクトメールやテレビ広告、さらに実店舗の小売店のチラシ等あげれば、切りがない。

　翻って、これらの問題にわが国の規制監督機関や具体的規制の実態はどのようか。法執行機関として具体的に取り上げるとすれは「消費者庁」や「公正取引委員会」くらいであろうか。

　また、比較法レポートとしては内閣府経済社会総合研究所　加納克利「デジタル化と消費者政策（いわゆる「ダークパターン」）に関する研究のサーベイ」があるが、専門外の読者に極めて読みにくい。さらに言えば、筆者のP.20以下の③小括には「EU 及び米国においては、比較的汎用性のある規定に関し、その解釈・適用関係の詳細をガイダンスやガイドラインによって明らかにした上で活用しているように見受けられる。技術の進展等により対応しなければならない事案が日々変化することを踏まえると、一つの在り方として参考になる」とあるが、我が国の法規制強化にかかる研究レポートとしては、踏み込みが極めて弱い。

　今回は3回に分けて掲載する。

Ⅰ．ダーク・パターンに関するわが国法律事務所の解説例

１．2023.10.12 西村あさひ法律事務所「ダーク・パターンに対する米英の規制動向及び日本の現況」の著者は角田龍哉、上野太資、小川慶、原田実侑の各氏である。

　わが国のダーク・パターンの法規制に関する数少ないレポ―トと言えよう。ただし、本レポートは米英の解説はあるがEUの取組みは言及していない。EUのEU欧州データ保護会議 (EDPB)の「ダーク・パターン」の使用に関するガイドライン草案などにつき筆者は独自に調査し、本ブログ第Ⅳ節で解説する。

２．2024年 2月 27日Internet Initiative Japan Inc.石村卓也「欧米でのダークパターン規制の動向と日本企業に求められる対応」

　欧米を中心としたダーク・パターン規制の概要を解説した上で、各国のガイドライン等で示されている具体的なUI/UXのNGパターンを紹介し、消費者の信頼獲得のために日本企業に求められる対応について考察している。

Ⅱ． FTCの委員会が公開審議で承認したFTCスタッフ・レポート「消費者をだまして罠にかけることを目的とした巧妙に洗練されたダーク・パターンの増加」に関する解説および2022年9月FTCスタッフ報告の概要

　以下のFTC解説文およびFTCスタッフ報告の概要について仮訳する。

１．米連邦取引委員会は2022年9月15日、消費者をだましてオンライン操作して製品やサービスを購入させたり、プライバシーを放棄させたりする「ダーク・パターン」として知られる巧妙につくられたデザイン慣行を企業がどのように利用しているかを示す報告書を発表した。

　この報告書で詳述されているダーク・パターン戦術には、(1)広告を独立したコンテンツのように見せかけること、(2)消費者がサブスクリプション(注1)や料金をキャンセルすることを困難にすること、(3)重要な用語や追加料金を隠蔽すること、(4)消費者を騙してデータを共有させることなどが含まれる。この報告書は、市場でのダーク・パターンの使用と闘うためのFTCの取組みを強調し、消費者をだまして罠にはめることを目的とした企業の戦術に対して行動を起こすというFTCの取り組みを繰り返し述べた。

　FTCの消費者保護局局長サミュエル・レバイン(Samuel Levine, Director of the FTC’s Bureau of Consumer Protection)は,「我々のレポートは、ますます多くの企業がデジタル・ダークパターンを使用して人々をだまして製品を購入し、個人情報を提供していることを示しており、このレポートと私たちのケースは、これらの罠が許容されないという明確なメッセージを送信し続ける」と述べた。

　長年にわたり、悪徳ダイレクトメールや実店舗の小売店は、消費者に商品、お金やデータ等を諦めさせるために、(1)事前にチェック済のボックス、(2)見つけにくく読みにくい開示情報、(3)わかりにくいキャンセル・ポリシーなどのデザイン上のトリックや心理的戦術を使用してきた。商取引のオンライン化が進むにつれ、ダーク・パターンの規模と巧妙度が増し、企業は複雑な分析手法を開発し、より多くの個人データを収集し、ダーク・パターンを実験して最も効果的なものを悪用できるようになってきた。このFTCスタッフ報告書は、FTCが2021年4月に開催したワークショップの結果から派生したもので、ダーク・パターンが消費者の選択と意思決定をどのように曖昧にし、覆し、または損なう可能性があり、法律に違反する可能性があるかを調査した。

「ダーク・パターンに光を与える(Bringing Dark Patterns to Light)」題するそのレポートは、「eコマース(e-commerce)」(注2)、「Cookie同意バナー(cookie consent banners)(注3)、子供向けアプリ、サブスクリプションの販売など、さまざまな業界や状況で使用されているダーク・パターンを明らかにした。

　このレポートは、以下の4つの一般的なダーク・パターン戦術に焦点を当てている。

(1) 消費者に誤解を招く広告と偽装広告: これらの戦術には、独立した編集コンテンツのように見えるようにデザインされた広告が含まれる。すなわち中立であると主張しているが、実際には報酬に基づいて企業をランク付けする比較ショッピング・サイトがある。また、カウントダウン・タイマー(countdown timers)は、申込に実際には期限がないにもかかわらず、消費者に製品やサービスを購入できる時間は限られていると思わせるように設計されている。たとえば、FTCは在宅勤務制度の運営者に対し、CNNやFoxニュースなどの報道機関からのものであると偽る「差出人」の行を含む迷惑メールを消費者に送信した疑いで措置を講じた。これらの電子メールの本文には、消費者をさらなる偽のオンライン・ニュース記事に誘導し、最終的には同社の在宅勤務制度を宣伝する販売 Web サイトに消費者を誘導するリンクが含まれていた。

(2)サブスクリプションや料金のキャンセルを困難にする: もう 1 つのよくあるダーク・パターンには、誰かをだまして同意なしに商品やサービスの代金を支払わせるというものがある。たとえば、欺瞞的なサブスクリプション販売者は、購入するつもりのなかった製品やサービス、または購入を継続したくない製品やサービスに対して、定期的な支払いを消費者に課す可能性がある。

　たとえば、FTCはオンライン児童教育サービス会社「ABCmouse.com」に対する訴訟では、オンライン学習サイトが「簡単なキャンセル」を約束していたにもかかわらず、無料トライアルやサブスクリプション・プランのキャンセルを非常に困難にしていると主張した。サブスクリプションをキャンセルしたい消費者は、多くの場合、会社の Web サイト上で①見つけにくく、②長く、③わかりにくいキャンセル・パスをたどり、④数ページにわたるプロモーションやリンクをクリックすることを強いられ、クリックすると消費者がかえってキャンセル・パスから遠ざかってしまった。

(3)重要な契約条件と追加料金(junk fees)の隠蔽: 一部のダーク・パターンは、製品やサービスの主要な制限を、消費者が購入前に目にすることのない密なサービス条件文書の中に埋め込むなど、消費者から重要な情報を隠したりすることによって機能させる。この戦術には追加料金ジャンク料金を埋め込むことも含まれる。企業は消費者を惹きつけるために製品の総額の一部のみを宣伝し、購入プロセスの後半になるまで他の必須な料金には言及しない。

　LendingClubに対する訴訟で、FTCはオンライン金融業者が目立つ画像を使用してローン申込者に特定の融資金額を受け取り、「隠れた手数料なし(no hidden fees)」で支払うと虚偽の約束したが、手数料に関する言及をツールチップ・ボタン(tooltip buttons)(注4)の背後や目立つテキスト文書の間に隠したと主張した。

(4)消費者を騙してデータを共有させる: こうしたダーク・パターンは、消費者にプライバシー設定やデータ共有に関する選択肢を与えるものとして提示されることがよくあるが、最も個人情報を漏らすオプションにおいて消費者を意図的に誘導するように設計されている。

FTC は、スマート TV メーカーである“Vizio”がデフォルト設定を有効にし、同社が消費者の視聴活動を収集して第三者と共有できるようにし、一部の消費者には見逃されやすい短い通知のみを提供していたと主張した。

　このスタッフレポートで詳述されているように、FTCは市場で使用されている進化しつつあるタイプのダーク・パターンに歩調を合わせるために取り組んできた。FTCは企業に対し繰り返し発生するサブスクリプションをキャンセルし、不要な製品を知らないうちに消費者に忍び込む’オンライン・ショッピング・カート、および不正なマーケティング・デザインを試す等、ユーザーが画面の迷路を十分ナビゲートする必要がある等を理由に訴えた。

　FTCは、公開会議で5対0で投票し、このスタッフレポートのリリース公開を承認した。

Ⅲ．FTCはターゲットとする” Amazon Prime ”およびパブリック・クリアリングハウスに対するアクションにおける違法なダーク・パターンを理由に告訴

　2023.8.14　付けローファームWilmer Cutler Pickering Hale and Dorr LLのレポートを仮訳する。著者はFrank Gorman、Benjamin Chapin、Reade Jacob、Julia M. Mayの各氏である。

Frank Gorman氏

Benjamin Chapin 氏

Reade Jacob 氏

Julia M. May 氏

　近年の連邦取引委員会(FTC)は、いわゆるダーク・パターンに対してより積極的な法執行姿勢を採用する意図を明らかにしている。すなわち、FTCは違法なダーク・パターンを定義して、「ユーザーをだまして操作し、ユーザーが他の方法では行わなかった決定を行わせ、害を及ぼす可能性のあるオンラインサービスの設計慣行」を含めた。以下述べる最近の2つの法執行措置において、既存の執行当局の下でのダーク・パターンの抑制にFTCが焦点を当てていることが確認され、規制当局による精査を引き出す可能性のあるデジタル設計手法の種類に関する有用な洞察が提供された。

(1)2023年6月21日、FTCは、Amazon Primeが操作的、強制的または欺罔的なユーザーインターフェイス(UI)設計を使用したと主張して、ワシントン西部地区連邦地方裁判所に訴状( 永久差止め、民事罰金、金銭的救済、衡平法上の救済)を提出した。つまり、ダーク・パターンは、消費者をだましてAmazon Prime のサブスクリプションサービスに登録させたとした。FTC委員長のリナ M．カーン(Lina M. Khan)(注5)（注6）、「 Amazonは人々を騙し、同意なしに定期購読に陥らせ、ユーザーをイライラさせただけでなく、多額の費用を費やした」と指摘した。

Lina M. Khan委員長

　具体的には、FTCの告訴状は、Amazonのダーク・パターンの使用は、(1)FTC法の第5条に違反する不公正な取引慣行であったと主張した。さらに (2) 「オンラインショッパー信頼回復法(Restore Online Shoppers’ Confidence Act :ROSCA)」(注7)違反、これは通常、消費者を保護するための開示、同意、キャンセルの特定の要件を満たさずに、ネガティブオプション・マーケティングを通じてインターネットでの商品またはサービスの販売を禁止する法律である。

　その1週間も経たない2023年6月27日、 FTCはさらなる法執行措置を発表し、「パブリッシャーズ・クリアリングハウス(Publishers Clearing House ：PCH)」がダーク・パターンを使用して同社の有名な懸賞図面を入力上で消費者にどのように誤解を与えたかという申立てに関し、消費者に 1850万ドル(約28億3050万円)を支払うことを要求する同意命令(consent order)(注8)を提案した。

　具体的には、FTCは、PCHが消費者に勝利または勝利の可能性を高めるために購入が“必要であり、懸賞エントリーが不完全であると消費者に信じさせたと主張した。 FTCは、PCHがFTC法第5条および「2003年無承諾ポルノおよびマーケティング攻撃を規制する法律(Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003 :CAN-SPAM Act)」(注9)の詐欺禁止規定に違反したと主張した。

　本件については、本節の後半で詳しく解説する、

　これらの法執行活動は、FTCが不公平、欺罔的、またはその他の方法で違法であると見なしているダーク・パターンのタイプに重要な明確さを提供した。消費者に面した幅広い業界にわたる企業は、この機会に、独自のオンライン設計プラクティスと製品フローを、その他のFTCガイダンスや2つの法執行措置で問題となっている慣行のカテゴリーに照らして検討することを勧める。

　FTCの消費者保護局局長がPCH同意命令に付随する声明で述べたように、不正な設計手法を展開し続けている企業が通知されており、企業はFTCを真正面から受けとめるべきである。

　FTCは施行方針声明に続き、2022年9月にスタッフ報告書を発表し、欺瞞的なダーク・パターンとみなす特定の慣行を指摘した。たとえば、スタッフレポートは、製品やサービスの主要な制限を、消費者が購入前に目にしないサービスの用語の中に埋め込むなど、消費者から重要な情報を曖昧にする慣行を非難した。また、同レポートは、消費者が同社の Web サイト上で見つけにくく、長く、わかりにくいキャンセル・パスを移動し、プロモーションやリンクの数ページをクリックして、クリックするなど消費者をキャンセル経路から遠ざけた。 FTCスタッフ報告書によると、こうした実務慣行は、電子商取引、Cookie同意バナー、子供向けアプリケーション、サブスクリプション販売など、幅広い業界や状況で発生していることが判明した。

　これら法執行と並行して、2023 年 4 月に FTC は、売り手がいわゆる「ネガティブ・オプション・オファー(negative option offers)」(注10)を採用するための法的要件を大幅に拡大する「規則制定案告示 (Notice of Proposed Rulemaking ：NPRM)」を公布した。ネガティブ・オプション・オファーとは、売り手は、顧客の沈黙または行動の失敗をオファーの受諾と解釈する必要があるというもの。通常、ネガティブ・オプションの取り決めには、自動更新、継続プラン、無料から有料への変換、または有料から有料への金額変換、および事前通知プランが含まれるが、これらに限定されない。

　FTCは長い間、「オンラインショッパー信頼回復法(Restore Online Shoppers’ Confidence Act :ROSCA)」、「テレマーケティング販売規則(Telemarketing Sales Rule ：TSR)、「送り付け商法（ネガティブ・オプション）規制法 (39 U.S. Code § 3009 - Mailing of unordered merchandise)、電子資金移動法(Electronic Fund Transfers Act)などの法律の部分修正やFTC法の第5条に基づくその広範な権限に基づき、有害かつ否定的なオプションの慣行の廃止に取り組んできた。 FTCが推論した新しい提案されたルールは、“既存の法律と規制のパッチワークが業界と消費者にメディアとオファー全体で一貫した法的枠組みを提供しないため、絶対に必要であった。

　新たに提案された規則案は、既存のFTCが取り組んできたパッチワークの法的枠組みを拡張し、次のような特定の変更を行う。 (1)単純なキャンセル・メカニズム(サブスクリプションを開始するのと同じくらい簡単にキャンセルできる)、(2)キャンセル・プロセス中に追加のオファーを行う前の新しい要件, (3)自動更新のリマインダーと確認に関する新しい要件を追加する、(4) 規則の違反には、確定した場合、売り手は民事罰および損害賠償訴訟等を起こされることになる。

2． Amazonに対するFTCの法執行措置

　FTCはAmazonへの告訴で、同社が何百万もの消費者にさまざまなダーク・パターンを使用して無意識のうちにAmazon Primeサブスクリプション・サービスに登録させたと主張した。また、サブスクライバーに迷路のようなキャンセル・プロセスを強制することにより、これらのサブスクリプションをキャンセルすることを困難にしていると主張した。Amazon Primeは、Amazonの有料サブスクリプションサービスである。 139ドル(約21000円)の年会費で、加入者は(1)製品の無料の迅速な配達、(2)無料動画のストリーミングコンテンツ、2)食料品の配達などの特典にアクセスできるとある。 FTCは現在、Amazon Primeの登録とキャンセルのプロセスが、FTC法の第5条とROSCAの双方に違反して、ダーク・パターンを活用したと主張している。

　まず、FTC は、Amazon が、モバイルデバイスを使用する消費者が「ウェブページの下部までスクロールすることによってのみアクセスできる「細かい文字を精査せずに、目立つオプションを選択する可能性を高くした。こうした取引慣行を通じて、アマゾンは顧客が購入を完了する前にプライムの重要な条件について「明確かつ目立つ開示を提供できていない」と FTC は主張した。また、FTC 法および ROSCA に違反して請求情報を収集する前に、「一切開示しない」ことを規定していると主張した。

　具体的には、FTC は Amazon Prime に関連して使用されたと主張する 6 つの特定のダーク・パターンを特定した。

　FTC はさらに、Amazon がプライム加入者向けに迷路のような解約プロセスを意図的に作成したと告発しており、同社はこれをキャンセル手続の迷路「イリアス・フロー(Iliad flow)」(注11)と呼んでいるとされている。FTC の訴状で主張されているように、プライムの解約フローでは、加入者は「4 ページ、6 ページの手順」をナビゲートする必要があった。 FTC によると、このキャンセル・フローは、消費者がメンバーシップをキャンセルしようとするのを遅らせたり阻止したりするダーク・パターンに依存しており、その結果、顧客は同意なしに不当に追加料金を請求されることになる。これは FTC 法に違反し、ROSCA に違反して定期的な請求を終了するための簡単なメカニズムを消費者から剥奪するものである。

　具体的には、FTCは、Amazon Primeに関連して使用されたと主張する以下の6つの特定のダーク・パターンを特定した。

(1) 強制されたアクション(Forced Action): FTC は、「強制されたアクション」につき、特定の機能にアクセスするためにユーザーに特定のアクションまたはプロセスの実行を強制するあらゆる設計と定義する。 FTCは、Amazonがプライムの登録フローで消費者に購入を完了させる前にプライムに登録するかどうかの選択を強制するという強制措置を利用していると主張した。さらにFTCは、Amazonが消費者に定期購入をキャンセルするために複数の画面を通過させることにより、イリアス・フロー(Iliad flow)といえる強制的アクションを使用したと主張した。

(2) インターフェイス干渉(Interface Interference): FTC は、「インターフェイス干渉」を、ユーザーインターフェイスを操作して、他の情報と比較して特定の情報に特権を与えるあらゆる設計と定義した。 FTCは、AmazonがPrimeの登録フローにおいて、購入手続き中に一度だけ利用規約を表示し、その後は見落としやすい小さなフォントで利用規約を明らかにすることにより、インターフェース干渉を使用したと主張した。FTCによると、アマゾンはまた、消費者の注意を「送料無料」という言葉に誘導し、プライムの価格から遠ざけるために、文言の繰り返しや色彩を使用しており、それが一部の消費者がインフォームド・コンセントを提供せずに登録することにつながったとFTCは考えた。

(3) 解約手続のゴキブリホイホイ的妨害 (ローチモーテル(Roach Motel): FTC は、「妨害」を、ユーザーが特定の行動をとるのを妨げる手順を追加することで、意図的にプロセスを複雑にするあらゆるデザイン(注12)と定義した。妨害行為は、その名を冠したモーテルにゴキブリが侵入するように、「（消費者は）チェックインするのにチェックアウトしない」ことから、「ゴキブリのモーテル」としても知られている。 FTCは、Amazonが登録を拒否するオプションを見つけにくくし、Iliadフローで消費者がプライム会員をキャンセルできる機能を見つけにくくすることで、ローチ・モーテリングを導入したと主張している。

(4) 故意に誤つた指示を行わせる(Misdirection): FTC は、“Misdirection”を、別のことからユーザーの注意をそらすために、あるものにユーザーの注意を引き付けるデザインと定義している。 FTCは、AmazonがPrimeチェックアウトの登録フローに“Misdirection”を使用し、非対称の選択肢を提示することで、Primeへの登録をしやすくするものだと主張した。さらに、FTC によると、Amazon のチェックアウト登録フローの特定のバージョンでは、消費者にプライムを拒否するためのあまり目立たない青色のリンクしか提供していない。

　さらにFTCは、Iliadフローが“Misdirection”を利用して、プライムをキャンセルする試みを完了するよりも簡単にキャンセルできるようにしていると主張している。 FTCによると、「Amazonは、アニメーション、対照的な色の青、テキストなどの誘引要素を使用して、消費者の注意を『キャンセルを続ける』ではなく『後で通知する』や『特典を維持する』オプションに引いている。

(5) 関連情報を隠したり、その開示を遅らせたりする「こそこそ“Sneaking”行為」: FTC は、“Sneaking”を、関連情報を隠したり、その開示を遅らせたりするあらゆるデザインと定義する。 FTCの訴状によると、「Amazonは、価格や自動更新属性を含むプライムの登録チェックアウトフロー中に、プライムの利用規約を明確かつ目立つように開示しない」こと、および消費者のカートに「プライムの価格や自動更新機能を表示しないことによって、“Sneaking”を利用している」としている。

(6)コンファーム・シェイミイング（羞恥心や罪悪感の植え付け）(Confirmshaming)(注13)：最後に、FTC は「コンファーム・シェイミイング」を、消費者に好意的な選択肢を選ばせるよう、好意的でない選択肢を中心に感情的な文言を使用するデザインと定義しているが、このカテゴリーのダーク・パターンに関連する申立てでは完全に編集されている。

　FTC は以前、法執行措置はダーク・パターンの取締まりであると説明していたが、Amazon の告発は、FTC が欺瞞的なダーク・パターンとみなす特定の慣行についてこれほど詳細なレベルを提示したのは初めてである。

３. PCH に対する FTC の法的強制措置

　Amazonの発表からわずか数日後に出された「パブリッシャーズ・クリアリングハウス（PCH）に対するFTCの法執行措置は、PCHがダーク・パターンを利用して消費者を騙し、懸賞に参加したり当選の可能性を高めるために製品を購入する必要があると信じ込ませたと主張している。告訴状によると、欺瞞は PCH のホームページから始まり、そこで消費者は実際に懸賞に参加できないボタンであるWIN IT!」または「一生勝ちます！」をクリックしてフォームに記入するが、その代わりに、消費者はエントリーを提出する機会が与えられる前に、数ページの広告を読み進めなければならない。また、顧客が懸賞に応募した後、PCH はあたかも追加の措置を講じなければ失格の危険があるかのように装う電子メールを送信する。これらの電子メールは消費者を PCH の電子商取引サイトに送るだけであり、消費者はそこで懸賞の応募に影響を及ぼさない追加の広告に遭遇する。懸賞の応募後に送信される誤解を招く電子メールは CAN-SPAM Act違反である。

　FTC の訴状では、PCH が展開する 3 つの具体的なダーク・パターンを挙げている。

(1)トリックな言葉遣いや視覚的干渉を使用して、商品の「注文」と懸賞への「応募」を結び付けて消費者を混同させる。

(2) 開示内容を小さくて軽いフォントで、あえて消費者が目にしにくい場所に配置する。消費者に電子メールを大量に送信し、電子メールをクリックしてすぐに行動を起こすよう心理的圧力をかけたり、懸賞に参加したり当選したりする機会を失う危険を冒すこと等を誘う。

(3)消費者は注文なしで懸賞に参加することが困難になる。

　FTのカーン委員長とスローター(Rebecca Kelly Slaughter)委員およびベドヤ(Alvaro Bedoya)委員は、この裁判行動に伴う声明の中で、PCHの行動を「デジタル詐欺を煽り、消費者に損害を与えるために違法なダーク・パターンを使用する企業を取り締まるこれまでの取組みを基礎とするものである」と述べた。これら委員は、ダーク・パターンの結果として消費者が苦しむのは直接的な経済的損失だけではないと説明した。むしろ、PCHの訴訟は、消費者の無駄な時間に対する補償を獲得するというFTCの勝利を意味すると彼らは説明した。

Rebecca Kelly Slaughter 氏

Alvaro Bedoya 氏

　提案された裁判所命令は、PCH に対し、ウェブサイト上での顧客の混乱を防ぐための措置を講じることを要求している。たとえば、顧客に注文につながるボタンが表示された場合、PCH は次の文を表示する必要がある。「懸賞に参加するために何も購入する必要はなく、購入したからといって当選するわけではない」ことを理解させる。また、消費者を PCH の電子商取引プラットフォームに誘導する可能性のある電子メールでは、企業は次のように述べなければならない。「購入しても当選確率は向上しない」

***************************************************************:::

(注1) サービスや商品を一定期間利用できる権利に対して料金を請求するビジネスモデルのこと。例：電子書籍、音楽配信、動画配信、ゲーム、洋服、車等

　サブスクリプションとは、商品やサービスを購入することなく、一定の期間、サービスや商品を利用できるビジネスモデルである。一般的に料金を支払っている間は、自由に商品やサービスを利用できるが、契約が終了するとそれらは利用できなくなる。

　ソフトウェアをサブスクリプション形態で提供するサービスも増えている。月単位、あるいは年単位で契約して料金を支払うと、その期間は対象のソフトウェアを利用できるという内容である。永続的にソフトウェアを利用できるライセンスを購入する従来の形式に比べ、安価にソフトウェアを使い始められ、短期間だけ利用する場合であればライセンスを購入するよりも安価であること、さらに企業で利用する場合にはライセンスを資産として計上する必要がないがメリットとなる。

　多くの企業が参入するサブスクリプションであるが、メリットばかりではなく、以下のデメリットもある。

①複数登録するとコストがかさみやすい

②利用しなくても毎月支払いが発生する

③解約すると手元にものが残らない

(注2) e-commerceとは、WEBサイト上で物品を販売するオンラインショップや、ソフトウェアなどデジタルコンテンツのオンライン販売、金融商品の売買取引をWEB上で行うオンライントレード、ネットオークションなども、eコマースの一つの形態である。

(注3) Cookieは、一般に、GDPRにおいては、「オンライン識別子」（GDPR 4条1項）として「個人データ」に該当するとされる。したがって、EU域外適用を含め、GDPRが適用される場合には、Cookieの取得には、原則として明示の同意が要求される。日本における規制について述べたところと同様、GDPRは個人情報保護法制の観点からの規制であり、電気通信にかかる法制の観点からは別の規制が適用されることとなる。それが、EUのe-privacy指令4/3(54)である（通称として「Cookie指令」と呼ばれることもある）。

　なお、e-privacy指令は2002年に制定されたものであり、2009年改正および2018年5月のGDPRの全面施行を経て、なお現在も有効なものである。(Business & Law LLPの解説から一部抜粋)　

(注4) ツールチップは、ユーザーがグラフィカルユーザーインターフェイス (GUI) 内の要素を操作するときに表示される短い情報メッセージをいう。(解説を仮訳、なお、その使用につきガイドラインがある。)

　Tooltipコンポーネントは、UI上のスペースが限られている場合に、以下のような補足テキストを一時的に表示するために使う。

・補足的な説明テキストを表示する場合

・アイコンだけのボタンにラベルを表示する場合

・省略されたテキストを全文表示する場合

　Tooltip内の情報は隠れるため、操作に必要な情報の表示への使用は避けるべきである。ユーザーが把握しておかないと操作が進められないような重要な情報は、常に明確に表示することを検討すべきである。

　また、重要な情報とは、フォームの入力に必要な情報などが該当する。具体例は次の通り。

・パスワードに使用できる文字や、エラーになる入力値などの入力要件

・入力エラーとなった際のエラーメッセージ

・操作補助になる情報（ショートカットなど）

(注5) リナ・M・カーン委員長（1989年3月3日生まれ、35歳）は英国生まれの米国法学者で、2021年から連邦取引委員会（FTC）の委員長を務めている。同時に彼女はコロンビア・ロー・スクールの法学准教授(常勤)でもある。

イェール大学ロー・スクール在学中に、法曹、実務界に大いなる影響力を与えた学生論文「Amazon独占禁止のパラドックス(Amazon's Antitrust Paradox)」(注6)を発表した後、米国における独占禁止法と競争法の研究で知られるようになった。

　バイデン大統領は2021年3月にカーン氏をFTC委員に指名し、彼女の承認を受けて2021年6月に同委員長に就任させた。FTCは彼女の任期中、非競争協定の禁止を推進し、反競争的行為に従事するヘルスケア企業等に対して訴訟を起こし、非競争慣行を批判し、Amazonに対して注目を集める訴訟を起こした。 2022 年、FTC と連邦司法省の独占禁止部門は、独占禁止を理由に記録的な数の合併を阻止した。(Wikipedia から抜粋、仮訳)

(注6) カーン委員長の有名な論文「Amazon's Antitrust Paradox」(Yale Law Journal)は無料でダウンロード可。

(注7) 米国では2010 年 12 月、オンラインに関連するデータパスマーケティングを禁止するオンラインショッパー信頼回復法（Restore Online Shoppers’ Confidence Act：「ROSCA」）が施行された。ROSCAは第三者である売手に対し、当初の販売事業者と関係がないことを含め、明確な事前宣伝販売情報の開示を消費者に提供することを義務付けている。さらにROSCAは、この種の売手が、消費者から、請求金額全額、消費者の連絡先及び消費者による「追加的確認行為」を含む明白な同意を消費者から直接得ることを求めている。

(注7-2) わが国では、Restore Online Shoppers' Confidence Actを「復元オンライン購入者信頼法」と100%訳している。

しかし、これは明らかに誤訳である。以下、同法の内容を仮訳、引用する。

(1)この法律は、取引後の第三者販売者（消費者が最初の販売者と取引を開始した後、最初の販売者を通じて商品やサービスをオンラインで販売する販売者）が、すべての資料を明確に開示していない限り、インターネット取引で金融口座に請求することを禁止している。取引条件を遵守し、料金に対する消費者の明示的な同意を得たものとします。販売者は、請求される口座の番号を消費者から直接取得する必要がある。(FTCの解説の訳)

(2)「オンラインショッパー信頼回復法」では、企業はネガティブオプション・マーケティング(オプトアウト・サブスクリプション・サービス)を使用して、以下の条件を満たさない限り、製品またはサービスをWeb経由でアメリカの消費者に販売することはできない。

【3つの法的要件】

①合理的な顧客が購入しているものを正確に理解する公正な機会を持つことができるように、購入の完全な条件は販売時に明確にされなければならない。

②販売者は、進行中のオプトアウト・サブスクリプション・プログラムに参加したいことを示す消費者からの明示的な同意を得る必要がある。もう一度、請求情報が取得される前に、販売者の特定の条件を明確にする必要がある。

③販売者は、いつでもサブスクリプションサービスをオプトアウトするための明確で明白なメカニズムを消費者に提供する必要がある。さらに、このオプトアウトは、不適切な面倒や過度の遅延なしに許可する必要がある。

　販売者が上記の3つのことのいずれかを実行しなかった場合, そもそも、サブスクリプションサービスを販売していたという事実を隠していたか、販売者が製品やサービスをキャンセルすることをほぼ不可能にしたため, その後、そのビジネスは連邦消費者保護法に違反している。あなたが偽のインターネット広告のためにかなりの金額を失った消費者であるなら、あなたは行動を起こす必要がある。(Pike&Lustig、LLPの解説4/3(80)から引用、仮訳)

(注8) 連邦取引委員会（FTC）の同意命令（consent order）:公正取引委員会資料「世界の競争法：米国」から一部抜粋した。

(2) FTCの事件処理手続

ア　審査手続

　FTCは、特定事件について審査を開始するときには、職員の中から審査官を指定し、これに審査を行わせる。審査官は、連邦取引委員会法第９条に基づく罰則付き命令（Subpoena）による書証提出命令、出頭命令等及び同法第20条に基づく民事審査請求（Civil Investigation Demand ：CID）による文書提出命令、口頭供述命令等を行うことができる。

イ　同意命令

　FTCは、違反事件の審査の結果、法的措置を採ることが相当であると判断したときは、まず、関係人にFTCの申立てを記載した文書（Complaint）及び排除措置命令案（Orders to Cease and Desist）を送付し、これらの内容につき交渉し、合意に達した場合には、合意内容を踏まえた同意命令案を作成し、委員会の議決を経て、通常30日間のパブリック・コメントを行う。その後、再度委員会の議決を経て、同意命令（Consent Order）を発出する。

　また、下記ウの審判開始決定後であっても、同意命令の手続を行うことができる。審判開始決定後、被審人との間で同意された同意命令案が審判官を通じてFTCに付託される。この場合も、同案を官報に掲載し、一般からの意見を求めることとなる。FTCは、当該意見等を考慮して、再審査を行い、同意命令を発出する。

　同意命令は、審判手続を経た命令ではない。したがって、同一の事案について後に損害賠償請求訴訟が提起されても、同意命令による事実や違法性についての推定といった効果は発生しない。

【補足説明】

・いわゆる裁判上の和解。効率的な紛争解決手段として多用されている。

・同意判決・同意命令に対しては上訴できない。

・その後の民事の損害賠償請求訴訟において証拠価値をもたない。

・第三者意見聴取あり。

(注9) 2003年のCAN-SPAM法（Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003）は、PCによる商業メールを送信する者の要件を定め、スパマーやスパムで製品を宣伝している企業が法律に違反した場合の罰則を明記し、消費者にスパムメールの停止を求める権利を与えた。

2004年1月1日から施行されたこの法律は、ウェブサイト上のコンテンツを含め、商業的な製品やサービスの広告や宣伝を主な目的とするPC向け電子メールを対象としている。取引や関係のあるメッセージ. 合意された取引を促進する、または既存のビジネス関係における顧客を更新する電子メールは、虚偽または誤解を招くような経路情報を含まないが、それ以外はCAN-SPAM法のほとんどの条項から免除される。

CAN-SPAM法の施行は、米国の消費者保護機関である連邦取引委員会（FTC）が権限を有する。 CAN-SPAMはまた、司法省（DOJ）にその刑事制裁を執行する権限を与えている。また、他の連邦政府機関や州政府機関は、その管轄下にある組織に対して同法を執行することができ、インターネットアクセスを提供する企業も同様に違反者を訴えることができる。

　一方、連邦通信委員会（FCC）は，携帯電話やポケットベルにユーザーの承諾がない商用電子メール（スパム・メール）の送信を禁じる規制法案4/3(108)を可決したことを， 8月4日に発表した。米国議会は2003年、スパム対策法「Controlling the Assault of Non-Solicited Pornography and Marketing（CAN-SPAM）」を可決した際に，携帯電話に送られるスパム・メールを規制する権限をFCCに与えていた。今回の法規制は，その流れを受けてのもの。

FCCの法規制によれば，携帯電話ユーザーがあらかじめ承諾しない限り(オプトイン)，いかなる無線サービス加入者のアドレスにも商用電子メールを送信してはならない。ユーザーがオプトアウト（受信拒否手続き）するまで送信が認められているコンピュータの電子メール・アドレス宛て商用メールと比べ，より厳しい条件となっている。

以下で、CAN-SPAM同法の概要を引用する。

１．迷惑メール規制法:

・「CAN-SPAM法」（2003年）により、ＰＣ向けメールを規制

・「CAN-SPAM法」に基づき、連邦通信委員会(ＦＣＣ)規則により、2004年より携帯電話向けメールを規制(Rules and Regulations Implementing the Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003

Rules and Regulations Implementing the Telephone Consumer Protection Act of 1991)

２．迷惑メールの範囲 :商業電子メール

３．送信者等に対する規制

【ＰＣ向けメール】

・オプトアウト規制

・表示義務

・許可なくアクセスしたＰＣからの送信禁止

・偽ヘッダー情報による送信禁止

・欺瞞的表題を付した送信禁止等

【携帯電話向けメール】

・オプトイン規制

・表示義務

・オプトアウトを受けた時は、10日以内に送信終了する義務等

４．制裁措置・行政処分（停止命令）

・拘禁刑最高５年又は罰金（違反行為により被告が得た利益若しくは他者が被った損害の２倍の額、又は25万ドル（個人）、50万ドル（法人）のうち、いずれか高額な方が上限）等

５．執行状況 ：FTCが扱ったスパム関連事案の80％はオプトアウト義務違反

６．国際連携施策：（日本等との連携等）

「US SAFE WEB ACT」の制定（2006年）

(注10) 「ネガティブ・オプション」とは、注文していない商品を、勝手に送り付け、その人が断らなければ買ったものとみなして、代金を一方的に請求する商法をいう。

特定商取引法が改正され、令和3年7月6日以降売買契約に基づかないで、一方的に送り付けられた商品は直ちに処分することができることとなった。

例示：①売買契約に基づかないで送付された商品を受け取ったときは商品を直ちに処分することができる。

②事業者から金銭を請求されたときは金銭を支払う必要はない。

③商品を開封や処分しても、金銭の支払いは不要であり、事業者から金銭の支払を請求されても応じないようにしましょう。

④商品の代金を誤って支払ってしまったときは代金について返還を請求することができる。(警視庁サイトから抜粋)

(注11) “Iliad Flow”とは、オンラインの迷路のようなキャンセル・フローをいう。

具体的手順については解説例参照。

(注12) ローチ・モーテル((Roach Motel)とは、簡単に登録できるが、キャンセルや退会方法が複雑で難しいものをいう。数回のステップで簡単に登録できるが、いざ退会・解約する際にはその何倍もの労力が必要。故意に解約方法をわかりにくくしたり、電話だけで解約を受け付ける企業が多く存在する。

(注13) ユーザーがオファーを断ろうとすると、羞恥心や罪悪感を与えて、あたかも断ることに罪があるように思わせること。海外サイトで多く見られるダーク・パターンの一種。感情的なコピーを用いて「この選択肢を選ばないのは愚かである」と、暗にプレッシャーをかける。

　海外サイトで多く見られるダーク・パターンの一種。感情的なコピーを用いて「この選択肢を選ばないのは愚かである」と、暗にプレッシャーをかける。

*************************************************************************

SECは、暗号資産起業家のジャスティン・サン氏と彼の会社を詐欺およびその他の証券法違反で起訴：8人の有名人もサン氏の暗号資産証券の違法な宣伝に関与しかつ報酬額を秘匿したとして起訴

2023-03-27 10:04:37 | 違法なマーケテイング規制

　証券取引委員会は3月22日、暗号資産起業家のジャスティン・サン(Justin Sun)氏(注1)と、彼の完全所有企業である保証有限責任会社トロン・ファウンデーション・リミテッド(Tron Foundation Limited)、ビットトレント・ファウンデーション・リミテッド(BitTorrent Foundation Ltd.)(注1-2)、レインベリー・インク(Rainberry Inc.)(旧BitTorrent)の3社を、暗号資産証券であるトロニクス(TRX)とビットトレント(BTT)のSEC未登録の募集と販売したとして、3月22日にニューヨーク州南部地区連邦地方裁判所に提訴したと発表した。告訴状原本を参照。

Justin Sun氏

　また、SECは受益所有者の実際の変更なしに証券が活発に取引されているように見せるための証券の同時またはほぼ同時の売買を含む広範なウォッシュ・トレード(wash trading) (注2) (注3)を通じてTRXの流通市場を不正に操作し、いわゆる有名人に報酬額を一般に開示せずにTRXとBTTを宣伝するために支払うスキームを調整したとして、サン氏と彼の会社を起訴した。

また、SECは同時に、TRXおよび/またはBTTを違法に宣伝したとして、次の8人の有名人を、報酬を受けたことと報酬額を開示しなかったことを理由に起訴した。

　筆者が補足すると、この8人のいわゆる「有名人」は決して「著名人」ではない。(注4)その職業内容につき、わが国では必ずしも十分知られていない。筆者なりに本ブログで補足する。

なお、わが国でも何十万人ものソーシャル・メディア・フォロワーを持つがゆえに毎日テレビやネット広告に出来るいわゆる有名人が多いが、規制法違反に関し、その報酬に関し被告詐欺企業と連帯責任を問われる可能性はたして皆無といえるのか？

①リンジー・ローハン(Lindsay Lohan:1986年7月2日生まれ( アメリカ合衆国の女優、歌手。以前は「リンゼイ・ローハン」と表記されていたが、日本でのCD発売に際し、「リンジー・ローハン」に統一された。)(Wikipedia ) 。ロサンゼルス郡保安官事務所（Los Angeles County Sheriff's Department）は2010年9月25日、保護観察下の定期薬物検査でコカインの陽性反応が出たため再収監されたリンジー・ローハン被告（当時24歳）が、保釈金30万ドル（約2500万円）を払い、15時間で保釈されたと発表した。

　ローハン被告は薬物テストでコカインの陽性反応が出たため、9月24日朝、ビバリーヒルズ最高裁判所（Beverly Hills Superior Court）から再収監を命じられ、法廷から手錠をかけられてロサンゼルス郊外リンウッド（Lynwood）にある女性専門の刑務所に収監された。(犯罪歴のほんの一例である)

② ジェイク・ポール(Jake Paul)

　アメリカ合衆国オハイオ州クリーブランド生まれのYouTuber、インターネットセレブリティ、俳優、プロボクサーである。兄のローガン・ポールも、YouTuberとして知られている。問題行動が多いトラブルメーカーで、数々の裁判沙汰となっている。

③デアンドレ・コルテス・ウェイ(DeAndre Cortez Way (Soulja Boy)(1990月6月生まれ)

　プロとしてソウルジャボーイ(旧ソウルジャボーイ・テルエム)として知られ、アメリカのラッパー兼レコードプロデューサーである。2007年にシングル「Crank That」がBillboard Hot 100にて合計7週間の1位を獲得した。このシングルはユーチューブやマイスペースなどのインターネットを経由した自身のセルフ・プロデュースから1位を獲得した

　法的なトラブルにつき最近の例をあげる。2022 年 2 月 18 日、暗号資産会社 SafeMoon に対して提起されたクラス・アクションで、同社はポンプアンドダンプ・スキームであると主張され、ウェイはプロボクサーのジェイクポール、ミュージシャンのニックカーター、ラッパーのリルと共に被告として指名された。 Yachty とソーシャルメディアパーソナリティの Ben Phillips は、誤解を招く情報を使ってソーシャルメディアアカウントで SafeMoon トークンを宣伝した。同日、米国第 11 巡回区控訴裁判所は、1933 年の証券法がソーシャルメディアを使用したターゲットを絞った勧誘にまで及んでいるとの Bitconnect に対する訴訟で判決を下した。(Wikipedia から抜粋、仮訳)

④ オースティン・マホーン(Austin Mahone)

　アメリカ合衆国の歌手。身長180cm。Chase、ヤング・マネー・エンターテインメント、キャッシュ・マネー・レコード、リパブリック・レコード所属。

YouTube celebrityと呼ばれる動画投稿によって生まれた有名人の一人。

⑤　ケンドラ・ラスト(Kendra Lust)

アメリカ合衆国のポルノ女優兼監督ポルノ女優

➅ マイルズ・パークス・マッカラム(リル・ヨッティ)Miles Parks McCollum (Lil Yachty)

　アメリカ合衆国ジョージア州アトランタ出身のラッパー、歌手、ソングライター、ヒップホップ・ミュージシャン。

⑦ シェイファー・スミス(ニーヨー)Shaffer Smith (Ne-Yo)

Ne-Yoとして専門的に知られているシェイファー・チメア・スミス(1979年10月生まれ)は、アメリカのＲ＆Ｂシンガーソングライター、音楽プロデューサー。俳優、ダンサーでもある。

⑧ アリオーヌ・ティアム(エイコン)Aliaune Thiam (Akon)

　1973年4月生まれ､セネガル系アメリカ人の歌手、レコードプロデューサー、起業家。

　ニューヨーク南部地区連邦地方裁判所に提出されたSECの訴状は、サン氏と彼の会社が、利害関係者にソーシャルメディアでトークンを宣伝し、トロン関連のTelegramおよびDiscordチャネルに参加して他の人を募集し、TRXおよびBTTの配布と引き換えにBitTorrentアカウントを作成するように指示し、複数の未登録の「報奨金プログラム」を通じて投資としてTRXおよびBTTを提供および販売したと主張している。さらに訴状は、サン氏、BitTorrent Foundation、Rainberryが、トロンウォレットまたは参加している暗号資産取引プラットフォームでTRXを購入して保有している米国を含む投資家に、未登録の「月次エアドロップ(monthly airdrops)」(注5) (注6)でBTTを提供および販売したと主張している。訴状によると、これらの未登録のオファーと販売の行為はそれぞれ「1933年証券法第5条」 (注7)に違反する。

さらにSECは、サン氏が流通市場でのTRXの見かけの取引量を人為的に膨らませるスキームを調整することにより、連邦証券法の不正防止および市場操作の規定に違反したと主張している。少なくとも2018年4月から2019年2月まで、サン氏は従業員に彼が管理する4つの暗号資産取引プラットフォームアカウント間で5万件以上のTRXのウォッシュ取引を行うように指示し、毎日7万〜4万のTRXウォッシュ･トレードが取引されたとされている。このスキームには、サン氏が提供したとされるTRXのかなりの供給が必要であった。起訴状で主張されているように、サン氏はTRXを流通市場に売却し、違法な未登録のオファーとトークンの販売から3100万ドル(約40億6100万円)の収益を生み出した。

SEC委員長のゲイリー・ゲンスラー氏は「このケースは、暗号資産証券が適切な開示なしに提供および販売された場合に投資家が直面するリスクが高いことを再び示している。起訴状で主張されているように、サン氏と彼の会社は、未登録のオファーと販売で米国の投資家を標的にし、投資家を犠牲にして数百万の違法な収益を生み出しただけでなく、未登録の取引プラットフォームでウォッシュ・トレードを調整して、TRXでのアクティブな取引の誤解を招く外観を作成した。さらにサン氏は、彼と彼の有名人のプロモーターが有名人がツイートに対して支払われたという事実を隠すプロモーションキャンペーンを組織することにより、投資家にTRXとBTTを購入するように促した」と述べた。

SECの法執行部門のディレクターであるGurbir S. Grewal氏は「問題となっているテクノロジーについては中立であるが、投資家保護に関しては中立ではない。訴状で主張されているように、サン氏らは古くからある脚本(age-old playbook)を使用して、登録と開示の要件に従わずに最初に証券を提供し、次にそれらの証券の市場を操作することにより、投資家を誤解させ、害を及ぼした。同時に、サン氏は何百万人ものソーシャル・メディア・フォロワーを持つ有名人に報酬を支払い、未登録の暗号資産製品を宣伝する一方で、彼らの報酬額を一般に開示しないように具体的に指示した。これは、連邦証券法がサン氏や他の人々が使用したラベルに関係なく保護するように設計されていたまさにその行為である」と述べた。

Gurbir S. Grewal氏

　コルテスウェイとマホーンを除いて、3月22日に起訴されたいわゆる有名人6名は、SECの調査結果を認めたり否定したりすることなく、告発を和解するために合計400万ドル(約5億2400万円)以上の不当利得の返還(disgorgement)、利息、および罰金を支払うことに同意し、また排除措置命令(a cease-and-desist order)の発行につき和解した。

**************************************************

(注1) 創始者のジャスティン・サン氏(1990年生まれ)は、 Hupan University (2015年–2018年)、ペンシルベニア大学 (2013年)、北京大学 (2011年)を優秀な成績で卒業、リップルチャイナの事務所長をしていたことでも知られている。また、中国の大手音楽配信ストーミングサービスPeiWoを創業後、2017年にトロン・ファウンデーションを立ち上げたことでも知られている。

(注1-2)わが国では、Tron　Foundation Limitedをトロン財団と訳すのが一般的である。しかし、これは明らかに不正確である。改めて調べて見るとシンガポールの監督当局(ACRA)やローファームは以下のとおり解説している。

TRON FOUNDATION LIMITED is a Singapore PUBLIC COMPANY LIMITED BY GUARANTEE. The company was incorporated on 28 Jul 2017, which is 5.7 years ago. The address of the Business's registered office is REPUBLIC PLAZA, 9 RAFFLES PLACE, #04-A02, Postal 048619. The Business current operating status is Live Company. The Business's principal activity is DEVELOPMENT OF OTHER SOFTWARE AND PROGRAMMING ACTIVITIES N.E.C.. The company UEN is 201721312Z, registered with ACRA on 2017-07-28.

**********************************************************:

シンガポールでは、非営利団体は、保証有限責任会社(PUBLIC COMPANY LIMITED BY GUARANTEE :CLG)、慈善信託、社会などの構造を通じて活動を行うことができる。CLGを組み込むことの利点には、有限責任と税制上の優遇措置が含まれる。

保証有限責任会社(CLG)とは何か?

CLGは、慈善活動などの非営利活動を行うために使用される。

CLGはシンガポール会計規制当局(ACRA)に登録され、会社法に準拠しているため、通常、企業の地位を必要とする非営利団体によって設定される。

さらに、CLGは慈善団体のステータスを取得する場合がある(以下を参照)。

保証有限責任会社は株式有限責任会社とどう違うのか?

株式によって制限されている会社とは異なり、CLGには株式資本がない。したがって、CLGのメンバーの責任は、清算が発生した場合に会社の資産に貢献するために彼らが約束する金額に限定される。この金額は会社定款に規定されている。

一方、株式有限責任会社の場合、株主の責任は、会社の株式資本のうち、彼らが引き受けた部分に限定される。

会社は保証によって制限されている、非公開企業か、それとも公開会社か?

CLGは公開会社である。株式資本を持つ会社のみが非公開会社として分類できる。

営利団体を保証有限責任会社として設立する必要があるか?

CLGはメンバーに配当や利益を支払うことを禁じられているため、この構造は、メンバーが通常、配当などの支払いを通じて投資の見返りを求める営利団体には適していない。(SingaporeLegalAdvice.comサイトから一部抜粋、仮訳)

(注2) ウォッシュトレーディングと仮想通貨:近年、仮想通貨の分野にもウォッシュ・トレーディングが浸透している。人気と高い取引量の印象を与えたいという願望は明らかである。世界中で何千もの暗号通貨トークンが利用可能であり、ほとんどが自分自身を区別するのに苦労している。しかし、ビットコインを含む最も人気のある暗号通貨でさえ、ウォッシュトレーディングが発生する。

　Forbes による 157 の仮想通貨取引所に関する 2022 年の調査では、報告されたビットコイン取引量の半分以上が偽物または非経済的なウォッシュ取引であることがわかりました。

　暗号通貨は、ポンプ・アンド・ダンプ・スキーム(注3)に対して特に脆弱である。このスキームでは、膨張した取引量と、インサイダーからの強力な宣伝または推奨の組み合わせにより、トークンの価値が人為的に上昇し、特定の所有者が関心が高いときに莫大な利益を上げて売却できるようになる。

　暗号資産空間でのウォッシュ・トレーディングの普及には、複数の潜在的な理由がある。ビットコインのような主要なデジタル通貨でさえ、毎日の取引量を計算する普遍的に受け入れられている方法を欠いていることがよくある。これにより、暗号資産会社は、過去の取引量に対してしばしば大幅に異なる数値を生成する。暗号資産取引所自体には正当性が欠けていることが多く、近年、トークン取引所の破綻が注目を集めている。暗号通貨空間の極端な乱高下(volatility)は、迅速な売買を促進する可能性がある。最後に、米国およびその他の政府規制当局に対する暗号資産の曖昧な地位は、誤解を招く取引活動のさらなる機会を生み出す。(investopediaから抜粋、仮訳)

(注3) ポンプ・アンドダンプ・スキームは、偽の誤解を招く情報を通じて資産の価格を人為的に膨らませる人々のグループを指す。本質的に、彼らは一度に低価格の資産を購入し、価格の上昇を促す。資産の名目価値のこの突然かつ横行的な増加は、彼らが雄牛の市場に乗ることを望むように飛び込み、資産を購入するために知らないトレーダーを促す。元のバイヤーはその後、迅速な利益を上げるために資産を売却（ダンプ）する。この需要と供給の変化により、多くのユーザーが大幅な損失を生じることがよくある。

(注4) 有名人は良い意味でも悪い意味でも世間に名が知られている人です。芸能人に限らず、スポーツ選手や作家などあらゆる分野の人に使われる。たとえ犯罪者であったり、悪いことをした人であってもよく知られていれば「有名人」となる。ちなみに英語では “well‐known person”または“famous person ” と言う。

一方、著名人はある分野や社会で良い意味で名が知られており、重んじられている人である。有名人よりも良い印象を受ける。英語では “celebrity” である。大衆に広く注目され、名声のある話題の人を意味する。日本で使われるセレブとは意味合いが異なる。

(注5) 暗号資産のエアドロップとは、通常、新しい暗号通貨トークンの無料配布を使用して認知度を高め、コミュニティを迅速に構築し、受信者がエアドロップ・トークンの取引を開始するときにトークンに早期の価値を置くのに役立つマーケティング戦術である。

場合によっては、受信者はエアドロップの資格を得るために特定のトークンを保持するか、最低残高を維持する必要がある。また、ユーザーはソーシャルメディアにプロジェクトについて投稿するなどの小さなタスクを実行する必要がある場合もある。暗号資産エアドロップはイニシャル・コイン・オファリング(ICO) (注6)とは異なり、後者は個人からの投資を勧誘することを目的としており、米国のICOを証券オファリングとして分類しているが、エアドロップは意識を高めるために広く使用されている。(Coinmarketcapサイトから引用､仮訳)

(注6) ICO（Initial Coin Offering：イニシャル・コイン・オファリング）とは、資金調達をしたい個人や企業、プロジェクトなどがトークンやコインと呼ばれる独自の暗合資産(仮想通貨)を発行し、それを広く投資家に販売することで資金を集めることを指す。このトークンの販売はトークンセールなどと呼ばれる。ICOでは、資金調達をしたい企業や事業プロジェクトが、独自トークンなど暗号資産（仮想通貨）を発行/販売して資金を調達します。IPOのように厳しい審査基準がある訳ではなく、誰でも新規にトークンを発行できる。

一方、開発する気がないにもかかわらず資金調達を行った詐欺的なICOの事例も無数に存在しますし、暗号資産（仮想通貨）・トークンを買い占めた一部投資家の売買行動によって価格が左右される可能性も否定できない。また、プロジェクトの失敗などによって、ICOトークンの価格が想定を大きく下回るリスクもある。

(注7) 1933年証券法は、証券の販売において法的義務の登録プロセス(mandatory registration process)を通じて開示を実施する。実際には、多くの免除(流通市場での取引および小規模オファリング)により、この法律は主に発行者によるプライマリー・マーケット・オファリングに適用される。証券法第5条に基づき、すべての発行者は非免除証券を証券取引委員会(SEC)に登録する必要がある(Mandatory Disclosures)。第5条は、有価証券を売りに出す発行者のスケジュールと分配プロセスをも規制している｡

******************************************************

ベルギーAPDのIABヨーロッパの透明性と同意のフレームワークに関する行動計画の承認とこれまでの裁判事案の経緯等を解析する

2023-01-17 17:56:29 | 違法なマーケテイング規制

　2023年1月11日、ベルギーのデータ保護機関(「Autorité de protection des données;以下、｢APD｣という)は、インタラクティブ広告局ヨーロッパ(以下、“IAB Europe”という)(注1)の「透明性と同意のフレームワーク(Transparency and Consent Framework：TCF)」に関する行動計画を承認したと発表した。

Townsend Feehan氏　(IAB EuropeのCEO)

　この解説記事は主要ローファームで論じられている、しかし、一方で、その内容についてみると、はたして、1)GDPR違反に関し具体的にいかなる点が問題なのか、2)業界団体が厳しく罰せられる理由は如何、3)アドテク・ベンダー業界への影響は如何といった問題についての解説は皆無である。

　今回のブログはAPDのリリース文の仮訳を中心に以上の疑問点を関係サイトやローファームの解説を適宜引用、仮訳する。

１．APDのIAB Europe によって開発された「「透明性と同意のフレームワーク (TCF)」が GDPR の多くの条項に準拠していない点を問題提起

　2019 年以降、ベルギーのAPD は Interactive Advertising Bureau Europe (IAB Europe) を対象とした一連の苦情を受けました。苦情は、いわゆる「透明性と同意のフレームワーク (TCF) 」と GDPR との適合性に異議を唱えるものであった。

　IAB Europe によって開発された TCF は、OpenRTB (注2)プロトコルに依存するアドテク事業体の GDPR への準拠に貢献することを目的としている。

　Open RTB プロトコルは、「リアルタイム入札(Real-Time Bidding)」(注3)で最も広く使用されているプロトコルの 1 つである。つまり、インターネット上で広告スペースを売買するためのユーザープロファイルの即時自動オンラインオークションである。ユーザーが広告スペースを含む Web サイトまたはアプリケーションにアクセスすると、何千もの広告主を代表するテクノロジー企業が、アルゴリズムを使用した自動オークションシステムを通じて、舞台裏でその広告スペースに即座に (「リアルタイムで」) 入札し、ターゲットを絞った広告を表示することができる。その個人のプロファイルに合わせて特別に調整されるといえる。

　より、具体的にいう。ユーザーが初めて Web サイトまたはアプリケーションにアクセスすると、インターフェイス (同意管理プラットフォームまたはConsent Management platform or CMP)) がポップアップし、個人データの収集と共有に同意するか、アドテク・ベンダーの利益にかかる正当な情報に基づくさまざまな種類の処理に反対することができる。

　ここで TCF の出番である。TCF は、CMP を介してユーザーの設定を簡単に取得できるようにする。これらの設定はコード化され、「TC 文字列」(注4)に保存される。この文字列は、OpenRTB システムに参加している事業体と共有されるため、ユーザーが何に同意/反対したかを知ることができる。CMP は、Cookie (euconsent-v2)もユーザーのデバイスに配信する。これらを組み合わせると、TC 文字列と euconsent-v2 Cookie をユーザーの IP アドレスにリンクできるため、ユーザーたる設定の作成者を識別できることになる。

(1)APDの主な調査結果 : TCF は個人データの処理を暗示しているという問題に関するIAB Europe の主張に反して、APDの訴訟部は、IAB Europe が、独自の透明性と同意 (TCF) 文字列を使用して、個々のユーザーの同意信号、異議、および設定の登録に関してデータ管理者として行動すなわち識別可能なユーザーにリンクしていることを発見した。これは、IAB Europe が GDPR 違反の可能性について責任を負う可能性があることを意味した。

　次にAPD は、IAB Europe による以下の一連のGDPR 違反を特定した。

① GDPRからみたTCFの合法性:IAB Europe は、TC 文字列の処理の法的根拠を確立できなかった。また、TCF がアドテックベンダーによるその後の処理に対して提示した法的根拠は不十分であった。

② ユーザーに提供する情報の透明性: CMP インターフェイスを介してユーザーに提供される情報は、特に TCF の複雑さを考えると、ユーザーが処理の性質と範囲を理解するにはあまりにも一般的で曖昧である。したがって、ユーザーが自分の個人データを管理し続けることは困難である。

③ 説明責任、セキュリティ、およびデータ保護にかかるバイ・デザイン/デフォルト: データ主体の権利の効果的な行使を確保し、監視することを含む、デザインおよびデフォルトによるデータ保護の原則に従った組織的および技術的対策がない場合、ユーザーの選択の有効性と完全性、TCF の GDPR への準拠が適切に保証または実証されていない。

④ 個人データを大規模に処理する管理者に関連するその他の義務違反: IAB Europe は、処理活動の記録を保持すること、DPO を任命すること、および「DPIA」(データ保護影響評価) を実施することを怠った。

(2)APDの制裁措置

　これらの侵害を考慮して、APDの訴訟部は、特に TCF が大規模な市民グループによる個人情報の管理の喪失につながる可能性があるため、深刻な制裁を課すことを決定しました。したがって、訴訟部は IAB Europe に25万ユーロ(約3525万円)の行政罰金を科した。さらに、現在のバージョンの TCF を GDPR に準拠させることを目的とした一連の是正措置を講じるよう同社に命じた。

(3)これらの是正措置には、（とりわけ）次のものが含まれる。

Ａ．APD の決定により、IAB Europe は次の措置を講じるよう命じられた。

① TC Strings に関連する個人データの管理者である限り、TC Strings を処理するための独自の法的根拠を確立する。

② IAB Europeが管理するサーバーからグローバルスコープの同意を含む TC 文字列を削除する (現在のバージョンの TCF は、グローバルスコープの同意をサポートしていない)。

Ｂ．TCF を次のように修正する。

① TC Strings の完全性を確保するために使用される技術的および組織的な対策を改善する。

② TCF 参加者が GDPR コンプライアンスを評価するための監査手順を実装する。

③ TCF の下で利用可能な法的根拠としての正当な利益を削除する。

④ 参加している同意管理プラットフォーム (CMP) によって提示されるユーザーインターフェイスの統一性を高めるための新しい基準を設定する。

⑤ 処理活動の記録の更新、データ保護影響評価の実施、データ保護責任者の任命など、GDPR が個人データの管理者に要求する手順を実行する。

⑥ 行政罰金を支払う。

Ｃ．その他の措置が命じられた。

①TCFのコンテキスト内でユーザーの設定を処理および配布するための有効な法的根拠の確立、および TCF に参加する組織による個人データの処理の根拠としての正当な利益の使用を禁止する。

②参加組織が GDPR の要件を満たしていることを確認するための厳格な審査を行う。

③APD により、IAB Europe は、これらの是正措置を実施するための行動計画を提示するために2か月の猶予が与えられる。

　このAPD決定は不服を申し立てることができる。

APDの訴訟部長であるヒエルケ・ヒーマンス(Hielke Hijmans )氏は次のように述べた。

Hielke Hijmans )氏

「ユーザーはサイト上で同意するよう求められるが、ほとんどの人は、パーソナライズされた広告を表示するために自分のプロファイルが 1日に何度も販売されていることを知らない。リアルタイム入札システム全体ではなく、TCF に関するものであるが、今回の決定は、インターネットユーザーの個人データの保護に大きな影響を与えるものである。ユーザーがデータの制御を取り戻すことができるように、TCF システムで秩序を回復する必要がある。」

以下、IAB(注5)の解説で補完する。

(4)APD によって命じられた是正措置の範囲はどのようなものか?

　IAB Europeは APDの調査対象であり、APDによって特定されたGDPR コンプライアンスの問題は、TCFの管理組織としての IAB Europeの役割に焦点を当てている。したがって、APD の決定で発行された命令は、TCFの管理組織としての役割を果たしている IAB Europeに対象が限定される。

　さらに、この決定は、TCF および TC Strings の管理における IAB Europe の役割に関する調査結果と、OpenRTB広告トランザクションを通じて発生する可能性のある個人データの他の処理とを明確に区別している。APDの訴訟部長である Hielke Hijmans 氏も、この決定はTCFに限定されるものであり、「リアルタイム入札システム全体ではない」と強調した。

　GDPR に基づく個人データのすべての管理者は、個人データを処理するための独自の法的根拠を確立する責任があるが、APDの決定は、 IAB Europe 以外の事業体に関する特定の措置を命じるものではない。たとえば、この決定では、IAB Tech Lab は OpenRTB システムのプロバイダーとしてのみ機能し、OpenRTBを通じて処理される個人データのデータ管理者ではないと明示的に述べている。

(5)IAB ヨーロッパはこの決定にどのように対応したか?

　IAB Europeは、2022年2月2日にAPD の調査結果を拒否する声明を発表し、ここからダウンロードできる「FAQ」ドキュメントを公開した。具体的には、IAB Europeは、TCF の管理の結果として、TC Strings の個人データの管理者であるという結論に同意しなかった。IAB Europeは、この判決に対して2022年2月11日、控訴する旨発表している。

2.APDのワン・ストップ・ショップへの取組み

　APDが作成した決定草案は、GDPR のＥＵ加盟国の協力メカニズム (「ワンストップ・ショップ・メカニズム」)(注6) の中で検討された。APDが新しい草案に取り入れた2つの異議と、深刻な精査の後、現在の決定は、欧州経済地域の30か国のほとんどを代表するすべての関係当局によって承認された。

３．APDによるEU加盟国の加盟国のカウンターパートとの協議

　2021年11月25日、ベルギーのAPDは、IAB Europeの訴訟で決定草案をヨーロッパのカウンターパートに送信し、IAB Europeに対する訴訟の決定草案を最終決定した。欧州連合のカウンターパー保護機関はこれについて通知を受けており、ドラフトに関する潜在的なフィードバックを APDに提供するために4 週間が与えられていた。

４．IAB ヨーロッパの訴訟::市場裁判所は予備問題を EU 司法裁判所に付託

　ベルギー市場裁判所(注7)は2022年9月7日、ベルギーのデータ保護機関 (BE DPA) の決定 21/2022に対して IAB Europe が提出した控訴において、予備的な質問を欧州連合司法裁判所に付託することを決定した。

***********************************************************

(注1) 広告業界団体の欧州インタラクティブ広告協議会（INTERACTIVE ADVERTISING BUREAU　IAB Europe）をいう。

(注2) OpenRTB 仕様 v3.0（最終版 v1.0）の日本語訳で確認できる。

(注3)リアルタイム・ビッディング（Real Time Bidding）の略で、広告のリアルタイム取引を実現する仕組みのことを指します。広告を1回表示させるごと（インプレッションごと）にeCPMが算出され、買い手である広告会社のシステムに対してオークションが行われ、最高額の入札単価を提示した買い手の広告が表示される仕組みです。入札と落札が行われる速度は数ミリ秒と言われ、高度なロジックと大量のトランザクションを高速処理する技術が駆使されています。

　下図は、Webページのアクセスから広告が表示されるまでの流れを簡単に図化したものです。

　SSPはインプレッションの発生に応じて複数のDSPに入札を呼びかけます。DSPが入札を行い、SSPはその中から最も広告収益が大きくなる広告（図ではB)を表示します。

(Geolocation Technology. Inc.解説から抜粋)

(注4) コンセント・ストリングは、広告入札要求に付加される一連の数字で、「デイジービット（daisybit）」とも呼ばれます。アドテクベンダーへの同意の状況、つまり、パーソナライズド広告の配信にデータを利用する同意をユーザーからもらっているかどうかを確認するもので、欧州の「一般データ保護規則」（General Data Protection Regulation：以下、GDPR）では、この同意が必要条件になっている。

　インタラクティブ広告協議会（IAB）ヨーロッパは、同協議内のグローバルベンダーリストに登録しているすべてのベンダーにコンセントストリングを割り当てている。IABのトランスペアレンシー＆コンセントフレームワーク（Transparency & Consent Framework：透明性と同意の枠組）に参加したいベンダーは、このリストに登録する必要がある。Googleも、同社の同意管理プラットフォーム（以下、CMP）であるファウンディングチョイス（Funding Choices）を利用する会社向けに、独自のコンセントストリングを設けている。

　デジタル広告のエコシステムでは何千ものベンダーが稼働しているため、GDPRへの抵触と巨額の罰金のリスクを回避するには、パーソナライズド広告配信への同意の有無を把握することが非常に重要です。コンセントストリングは、GDPRに則った広告の購入を徹底し、利用できるデータとできないデータについてデジタル広告チェーン全体が考えを一致させるための地図のようなものです。(DIGIDAY｢【一問一答】GDPRの「コンセントストリング」とは？：広告入札要求に付加される一連の数字｣から引用)

(注5)Interactive Advertising Bureau(IAB) は、メディアおよびマーケティング業界がデジタル経済で成功できるよう支援している。そのメンバーは、デジタル広告マーケティングキャンペーンの販売、配信、最適化を担当する 700 を超える大手メディア企業、ブランド、代理店、テクノロジー企業で構成されている。この業界団体は、インタラクティブ広告に関する重要な研究を行うと同時に、デジタルマーケティングの重要性についてブランド、エージェンシー、および幅広いビジネスコミュニティを教育している。IAB Tech Labとの提携、IABは技術標準とソリューションを開発している。IAB は、専門能力の開発と、業界全体の労働力の知識、スキル、専門知識、および多様性の向上に取り組んでいる。ワシントン DC の公共政策局の活動を通じて、業界団体はメンバーを擁護し、インタラクティブ広告業界の価値を立法者や政策立案者に宣伝している。1996 年に設立された IAB は、ニューヨーク市に本社を置いている。（IAB のHPから抜粋､仮訳）

(注6) EUの個人情報の越境処理に対する EU の規制監督（ワンストップ・ショップ(OSS)制度）:

GDPR 第60条(主監督機関とその他関係監督機関との間の協力)では、新たなコンセプトとして、データ管理者（Controller）とデータ処理者（Processor）が EEA 内の複数の国の個人データの処理を行う越境処理（Cross-border processing）の場合に、担当となる監督当局を 1 つの監督当局（主導監督当局（Lead supervisory authority））に集中させるという仕組みがある（ワンストップ・ショップ制度）。第60条の解釈guideline(Guidelines 02/2022 on the application of Article 60 GDPR Version 1.0 Adopted on 14 March 2022も併せ参照されたい。

　OSS の下では、主任監督機関 (LSA) が決定草案の作成を担当し、関連する SA と協力して合意に達する。2020年6 月初旬までに、各LSA は 110 の最終的な OSS 決定を採用した。この登録簿には、決定へのアクセスと、EDPB 事務局が作成した英語の決定の要約が含まれている。この登録簿は、SA が実際に GDPR を施行するためにどのように連携するかを示す情報にアクセスできるようになるデータ保護担当者にとって価値がある。

フランスCNILの「OSSの主要な拠点」の解釈問題

　わが国の解説例から引用する。

　グーグルはアイルランドに欧州統括拠点があり、アイルランドの監督当局が主導監督当局になり得るとも考えられたことから、CNILは、2018年6月1日、監督当局の協力に関するGDPRの規定に従って、グーグルに関して申し立てられた2つの苦情申立について対応する権限があるか否かを評価するためにアイルランドの監督当局を含む他の監督当局と協議を行った。

　この点について、下記の指摘がなされ、グーグルは本件の調査が開始された時点においてアイルランドに「主要な拠点」を有しないと判断された。

①グーグルアイルランド社がグーグルのプライバシーポリシーで記載されておらず、グーグルの利用規約においてもAndroidオペレーティングシステムのサービスプロバイダーではない。

②グーグルアイルランド社ではデータ保護責任者が選任されていない。

③グーグルアイルランド社はCNILに苦情申立がなされた個人データの処理に関する意思決定権限を有しない。

　このため、ワンストップショップメカニズムはグーグルに適用されず、アイルランドの監督当局ではなくCNILが本件に関する管轄権限を有するとの結論に至っている。

(注7) 経済、金融、市場法の分野で規制当局や行政当局が下した決定は、ブリュッセルの市場裁判所(控訴裁判所のバイリンガル・セクション)でEU基本権憲章第47条による「一例」の管轄控訴(完全な管轄権を有する市場裁判所)の対象となる可能性がある。

　すなわち、ベルギーでは経済法典を改正する2017年2月20日の法律と、被拘禁者の法的地位と刑務所の監督を改正し、司法に関するさまざまな規定を定める2016年12月25日の法律によって修正された後、第2条:「経済法典では、「ブリュッセル控訴裁判所」という言葉、「ブリュッセル控訴裁判所」および「控訴裁判所」は、以下の規定を除き、それぞれ「市場裁判所」という言葉に置き換えられる。

******************************************************

goo blog お知らせ

	ブログを読むだけ。毎月の訪問日数に応じてポイント進呈
	【コメント募集中】おすすめの登山スポットは？
	gooブロガーの今日のひとこと
	訪問者数に応じてdポイント最大1,000pt当たる！