イギリスのデータ保護機関（ICO）によるダークパターンに関する声明

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

• 配信日：2023年9月14日
• タイトル：イギリスのデータ保護機関（ICO）によるダークパターンに関する声明
• メインスピーカー：データサイン 代表取締役社長 太田祐一
• MC：ビジネスディベロッパー 宮崎洋史

ICOとCMAが共同で発表した文書

英国のデータ保護機関であるICO（Information Commissioner’s Office）と、CMA（Competition and Markets Authority：競争・市場庁）は2023年8月9日、デジタル市場における有害なデザイン（harmful design）に関する共同声明を発表しました。企業などの組織、ウェブサイトのデザイナーや開発者に対して、個人情報を提供する消費者が自らの情報をコントロールすることを妨げたり、市場における競争環境を悪化させたりする、有害なデザインの使用に警鐘を鳴らしています。

「ICOとCMAは日本における個人情報保護委員会と、公正取引委員会に相当する組織に位置付けられます。今回共同で発表した文書には、5つの有害デザインとそれらに対するICOとCMAの見解が取り上げられています。いわゆるダークパターンも対象に含まれています」（データサイン 代表取締役社長 太田祐一）

5つの有害なデザインとは

文書に記された5つの有害なデザインの概要をこちらにまとめました。

「Harmful nudges and sludge」におけるHarmful nudge（ハームフル ナッジ）とは、ユーザーが意図しない決定を下すように誘導する手法で、ダーク・ナッジとも呼ばれます。Sludge（スラッジ）とは、ユーザーが望むことを阻む手法を意味します。たとえば、下図のようなオンラインで会員登録を求めるウェブサイトが文書では例示されています。

ユーザーに適した内容表示（パーソナライゼーション）にする選択肢として行動履歴データなどの取得や利用に関する同意を1回で完了する簡単セットアップと、個別選択が可能な4ステップの操作を要するマニュアルセットアップが用意されています。これはユーザーを前者の簡単セットアップに誘導する意図があります。簡単セットアップを選択すればユーザーは1回の操作で同意を完了することができますが、同意の拒否を1回で完了する選択肢は用意されていません。

出典：「Harmful design in digital markets」Digital Regulation Cooperation Forum （13ページより）

関係行政機関を横断する議論の場

前述した「Harmful nudges and sludge」は、Cookieの利用許可を求める同意ポップアップでもしばしば見かけます。

「文書のなかでICOはこれが英国GDPR（一般データ保護法則）第5条1項(a)の公平性と透明性の原則を侵害する可能性が高いことを指摘しています。この方法を用いて収集された個人データは、インフォームド・コンセントである可能性は低く、第4条(11)に基づく同意の定義に合致する可能性は低く、合法性の要件に抵触すると述べています。またCMAはオンライン・サービスの設計における有害なナッジやスラッジの使用は、そのサービスを受けるために、利用者が通常選択するよりも多くの個人情報を提供するよう促す可能性がある、といった懸念を示しています」（太田）

今回の文書はDRCF（Digital Regulation Cooperation Forum）での議論を踏まえたものです。DRCFはICOとCMAに加えて、英国のFCA（Financial Conduct Authority）とOfcom（Office of Communications）がデジタル分野の規則を横断的に議論する場であるです。

「FCAは日本でいうと金融庁、Ofcomは総務省に相当する組織です。縦割りではない議論の場は参考にすべきではないかと思います」（太田）