被害総額1兆円を超えるウェブの｢ダークパターン｣｡誤解を生まないために企業がとれる対策とは 誠実な姿勢を見える化する

現代のデジタル社会に潜む課題「ダークパターン」

ウェブユーザーのブラウザに保存されている個人情報Cookie（クッキー）。これまで多くの企業がユーザーの嗜好を分析するために活用し、デジタルマーケティングにおいて重宝されてきた。だが個人情報の取り扱いに高い信頼性が求められる昨今、企業にはクッキーの運用に際して最大の注意が求められている。

クッキーにはさまざまな種類があり、たとえばショッピングカートの内容などウェブサイトを快適に使うための情報を保管するものもあれば、ユーザーの行動動態も記録するものもある。その行動動態は本人が知らないところでプロファイリングされ、個人の興味関心や可処分所得の程度、病気や宗教などを丸裸にし、広告ネットワーク内で活用されている。これらのセンシティブな情報が流出してしまったら、個人では対処することができないのが現状だ。その重大性を鑑み、クッキーの取得に際して、本人の同意を必要とするクッキー規制が欧州を中心に強化されている。

そこで近年普及してるのがクッキーバナーだ。個人データの収集に関して本人の同意を求めるもので、ネットを使うほとんどの人はバナーを見たことがあるのではないだろうか。そしてバナーの内容を理解することなく「同意」を押してしまったことも一度や二度ではないはずだ。

プライバシー保護規制に詳しく、コンサルティングや技術支援なども行うインターネットイニシアティブ（IIJ）の中西康介氏によると「クッキーバナーによって同意を求めるのは誠実なアクションですが、何度も何度もクッキーバナーが表示されることによるユーザーの“同意疲れ”や、クッキーバナーだけでなく個人情報の取り扱いについてや規約類を読まずに同意ボタンを押してしまう“同意の形骸化”に対処する必要があると考えています。またサイトに表示されるアナウンスには、ユーザーを企業側に有利な方向に誘導しようとする『ダークパターン』と呼ばれるものも数多く見受けられます。サービス提供の条件として後続の個人データ処理とは無関係なマーケティング関係の個人データの利用目的も含めて一括して同意させるようなものや、ユーザーに一回キリのお得なキャンペーンで購入に誘導しつつ、定期購入になるよう規約内にこっそりと取引条件を混ぜ、また解約しにくくして利益を得ようとするような手法も横行しています。ダークパターンによる被害総額は実に国内推定1兆円を超えるという報告も出ています。“同意の形骸化”などの問題は、こういったダークパターンを助長させてしまうことにもつながると考えられています」と問題点を指摘する。

株式会社インターネットイニシアティブ（IIJ）　ビジネスリスクコンサルティング部　部長　中西康介氏

「非ダークパターン」を見える化する認定制度

もちろん、個人情報の扱いにあたって誠実な対応をとる企業も多い。ただその中にも落とし穴が潜んでいることがある。誠実に対応をしようとするあまり、文章が難解になったり、規約が小さく書かれたり、言い回しが冗長だったり。そのためユーザーがストレスを感じて理解に至らず、結果としてその効果を適切に発揮できていない規約類やクッキーバナーもあり、意図していないにもかかわらず、ユーザーにストレスを与えてしまう例もある。

「企業側は、わかりやすく見せる努力を怠ってはいけない」と前出の中西氏は指摘するが、しかし企業の努力にのみ頼るには限界がある。そこで立ち上がったのが一般社団法人ダークパターン対策協会だ。IIJの呼びかけでウェブの同意問題に関心を持つ有志が集い、消費者庁、総務省、個人情報保護委員会、経済産業省などの協力を受け、官民連携で設立された。そこで浮かびあがったひとつの解決策が、中立な第三者が誠実なウェブサイトを認定し、消費者にひと目でわかるようにロゴを発行する仕組みを設けるというもの。これを一般に広く周知することで、ユーザーはどの企業が信頼できるか正しい選択ができ、誠実に取り組む企業・ウェブサイトが報われることになり、結果として、ダークパターンが減ってユーザーの被害を減らすことを目指している。

2024年9月27日に設立された一般社団法人ダークパターン対策協会。前身であるウェブの同意を考えようプロジェクトから活動を引き継ぐ形となった。

クッキーバナーの実装が抱えるハードル

ダークパターンによる消費者被害の要因のひとつである同意の形骸化。その同意の形骸化を助長する要因にもなっているクッキーバナーの出し方について少し掘り下げてみたい。

企業の法務部門としてはプライバシー保護を重視している企業姿勢をユーザーに理解してもらうためにもクッキーバナーの実装を推進したい考えがあり、コーポレートサイトでは実装が進んでいるものの、事業部門が管轄するブランドサイトでは実装が進んでいない。

「これはクッキーバナーが表示されることでユーザーが煩わしさを感じて、サイトから離脱してしまうという事象が一定数起きることや、クッキーによる個人情報の提供をユーザーが拒否することによって、手にする情報量が減ってマーケティングに影響すること、さらには多額の予算をかけて印象的なブランドサイトをつくっても、バナーが表示されることによってイメージが台無しになると危惧する事業部門の強固な反対によって起こるものです。日本国内の個人情報保護法では、海外ほどの厳しい規制が敷かれていないことから、その考え方でもまだ通用するところはあるのですが、一方、世界に目を向けると非常に由々しき事態につながりかねません」と中西氏。

2018年にEUが施行したGDPR（General Data Protection Regulation）では、もともとePrivacy Directiveで求められていたクッキーに関するユーザーの同意の要件を、『自由に与えられた環境下で、強制されずに自分の意思で同意すること』と厳格にした。ウェブ上の操作としては空のチェックボックスに自分の意思で印をつけてからOKを押さなければ同意したとみなされないのだ。

「こうした規制に適切に対処しない場合、最大で全世界売り上げの4パーセント、もしくは2000万ユーロのいずれか高い方の制裁金の類型に該当しますから、経営上の大きなリスクとなっています。また『ウチは国内でしか営業していないから』とたかを括っている企業もあるかもしれませんが、GDPRには『域外適用』という項目もあって、たとえばEU圏の人が自国から日本のホテルやオプショナルツアーなどを予約した時に個人データを入力した場合にも適用の対象となります。つまりクッキーバナーの正しい運用は、日本企業にとっても性急に対応しなければならない事柄のひとつなのです」と中西氏は日本企業にとってもはや対岸の火事ではないことを強調する。

“三方よし”の新しいプライバシーツール「STRIGHT」

正しいクッキーバナーの導入に一刻の猶予もない事態に思われるが、すぐに対処する手はあるのか？　そのひとつの方策にあげられるのがIIJの新プライバシーツール「STRIGHT」だ。クッキーだけでなく、その他の追跡技術にも対応しているので心強いだけでなく、先にあげたクッキーバナーの表示に後ろ向きになるようなサイトビジュアルの毀損や離脱率上昇などが起きないように設計されている。「STRIGHT」は、ブランドサイトで懸念されていたバナー表示によるサイトのイメージダウンを避けるため、第1層ではバナーを表示させず、ウェブサイトのフッター領域に「プライバシー設定」などの文言でリンクを配置。リンクをクリックすることでクッキーなどユーザーデータ取得の詳細説明と拒否できる画面が掲示されるようになっている。

これによりブランドサイトのイメージを損なうことなくブランド価値を最大化し、プライバシー保護も図ることができる。またバナーによって次のページに進むことを妨げられないため、ユーザーにストレスがかからない。「STRIGHT」は、ユーザー、デジタルマーケティング、さらに企業を守る立場の法務部門や経営層の意向にも叶う“三方よし”のソリューションなのだ。また、社会的にも同意の形骸化を助長することなく日本のプライバシー保護のレベルを一段引き上げることが可能になり、ダークパターン対策にも一役買うことになる。こうした新しいツールの手を借りて、自社のサイトの健全化に取り組めば、CSRの向上にもつながり、企業イメージのアップにも貢献するだろう。

「STRIGHT」の導入例。ブランドサイトのイメージを損なうことなくプライバシー保護も図ることができる。