- 2024年 10月 2日
(本コンテンツは2022年10月4日版を、社会動向に合わせ2024年10月3日に5章を加筆したものです)
目次
1. プライバシーが重大な経営リスクに
1.1. 4つの要因
2. LINE問題から得られた教訓
3. プライバシーは法的義務から企業の社会的責任へ
4. クッキーバナーに対するIIJの考え方(2022年10月4日時点)
4.1. クッキーバナーは義務か?
4.2. そもそもクッキー規制とは何か?
4.3. クッキーバナーの役割とは?
5.1. 新しい社会問題の顕在化
5.1.1. 同意問題(形骸化した同意と同意疲れ)
5.1.2. ダークパターン問題
5.2. 消費者の被害
5.3. 中立な第三者が誠実なWebサイトを認定する制度の立案
5.4. 日本に合った、またWebサイト毎の目的にあったクッキーバナーの選択肢とは?
1. プライバシーが重大な経営リスクに
1.1. 4つの要因
企業経営上のリスクにおいて、数年前まではそれほど大きく取り上げられることがなかったプライバシー保護が昨今急速に重大な経営リスクへと変化してきています。それは4つの社会環境の変化が原因であると筆者は考えています。4つの社会環境の変化とは、
- IoT/DXによる個人データ利活用の推進
- 世界各国のプライバシー保護規制の強化
- 消費者の権利意識の向上
- SNSによる悪評が拡散される環境
です。
これらの変化はある日突然起こったものではなく、それぞれが過去10年以上にわたって少しずつ変化をしてきた結果、社会に大きな影響を与えるレベルになり、プライバシー保護の領域で相互に作用しあうようになってきたものです。ここから各要因について見ていきたいと思います。
1つ目のIoT/DXによる個人データ利活用の推進ですが、あらゆるモノ(エッジデバイス)がインターネットに接続されることで、様々なモノ側でセンサー等により取得したデータを集約し、組み合わせて価値のある情報として利活用していくことが行われています。これは、技術的進歩の側面とIT経営の進歩の2つの側面から過去10年以上に渡って広がってきました。技術的進歩の側面は、センシング精度の向上、小型化、省電力化、耐久性の向上、ワイヤレスネットワーク技術の進歩、大量生産技術の向上と低価格化といったものがあげられます。筆者の同僚がAuto-ID Center, EPC GlobalでRFIDの標準化に携わっていた2003年、2004年あたりにRFIDを使ったシステム提案をしていた内容から考えると今のIoTは隔世の感があります。IT経営の進歩は、90年代に起きたオープン化の流れから20年以上がたち、オープンな技術をビジネスに利活用した成功事例の積み重ねやデータ利活用の成熟度の向上、ITを経営に活かすための意思決定を行える経営陣の増加といった諸々の要因が重なって現在プロフィットセンター、コストセンター双方でのDXが花盛りとなっています。IoT/DXにおけるデータ利活用の中でも特にB2Cの事業は“個人データ”の利活用によるよりきめ細やかなサービスの提供がビジネス成功の鍵となっています。
2つ目の世界各国のプライバシー保護規制の強化ですが、このトリガーはEU GDPR(General Data Protection Regulation:一般データ保護規則)といえるでしょう。EU加盟国においてGDPRの一世代前の法律は1990年代後半に作られたものでした。2000年代前半にインターネットがビジネス基盤として使われるようになりはじめ、例えばFAXでの見積書や発注書のやりとりが電子メール等に変化し、電子データで容易に複製・再利用できる形で個人データが国境(法域)を超える事態が発生するようになってきました。また1990年代には想定していなかった様々なインターネットサービスで個人データの利活用や自動処理が行われるようになり、2000年代には技術の進展に法律が追いついていない事態となってきました。個人データの域外移転への対応のみならず、米国プラットフォーマーを念頭に置いた、行き過ぎた個人データの利活用への規制やEU加盟国間での執行状況の格差是正等を含め1995年に成立したEUデータ保護指令(Directive 95/46/EC)を見直してEU法としたものがGDPRです。GDPRの1st Draftは2012年1月に欧州委員会から公表されました。これは従来よりも個人の権利・利益の保護を大幅に強化したものであり、事業者側にとっては制裁金が全世界売上の2%以下もしくは1,000万ユーロ(約13億円:€1=約130円とした場合)のいずれか大きい金額とそれまでの制裁金とは一桁も二桁も違う金額で大きなインパクトがあるものでした[1]。筆者がクラウドサービスの構築のために英国に必要なライセンス等の調査にいった2012年に現地の弁護士からGDPRのインパクトについて説明を受けたことを思い出します。その後2013年にスノーデンの暴露があったこともあり、一層GDPRの早期成立が求められ、2015年12月にFinal Draftの公表、2016年4月に欧州議会で可決し、2018年5月25日の施行となりました。最終的に個人の権利に関わる制裁金は全世界売上の4%以下もしくは2,000万ユーロと1st Draftの倍額に引き上げられています。
[1] 例えば英国の場合、Directive 95/46/ECに基づく英国法Data Protection Act 1998では最大の制裁金は£500,000(約7,500万円:£1=約150円とした場合)であった。
筆者は2014年から2017年まで英国に駐在し、自社のGDPR対応のために様々なシンポジウムに参加して成り行きを見守っていました。その中でマレーシア、シンガポール、韓国の当局者の話を聞く機会がありましたが、共通して以下のような考え方があったように感じました。それは、個人データのやりとりは商取引において発生するため、
EUと貿易を行う各国はEUにGDPRのような個人の権利・利益を強く守り、執行力が強い法律が作られた際に通商交渉上自国にも同様の法律を持っていないと不利に働くというものでした。そのため、GDPRの1st Draft以降、各国でGDPRの研究、自国の法律の改正・制定に関する動きが活発化してきたように思われます。また、GDPR施行前の2018年3月にはケンブリッジアナリティカのクリストファー・ワイリー氏の内部告発により、2016年の英国のEU離脱に関する国民投票や米国大統領選挙においてFacebookを使って世論の誘導を行っていたことが明らかになりました。この内部告発により民主主義の根幹を揺らすような個人データの行き過ぎた利活用やそれを許すプラットフォーマーが糾弾されることになります。カリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)が成立したのはその直後の2018年6月であり、米国においてもプライバシー保護(とプラットフォーマーへの規制)が重要であると認識されるように潮目が変わった事件であったといえます。GDPRでは既に100億円を超える制裁金が企業に課されており、加えて集団訴訟も起こされています。個人データ漏洩の影響を受けたデータ主体の数が多い場合には、制裁金よりも集団訴訟の賠償金(和解金)の方が巨額になる傾向にあり、中には1,000億円を超える損害賠償の可能性がある事案も存在します。CCPAは2020年1月から施行1年の間に50件を超える集団訴訟が提起されており、このような直接的な金銭的なダメージも旧法の時代とは違って無視できない規模になってきています。その後も世界各国にプライバシー保護規制の強化が広がっており、UNCTAD(United Nations Conference on Trade and Development)によれば、2021年12月の時点で全世界の80%の国々が何らかの法規制を有するあるいは法規制のドラフトを有する状態となっています。
2019年3月のUNCTADの調査では、同様の国々は68%であったため、2021年12月までの間に12ポイントも上昇していることからも世界各国へプライバシー保護規制が広がっていることが確認できます。
3つ目の消費者の権利意識の向上ですが、世界中で所謂「削除権」の請求が進んでいます。IIJは2018年からDPOアウトソーシングサービスを行っており、特にEUにおけるデータ主体の方々からの権利行使対応について様々な企業の支援を行っていることから削除権行使が行われている実態について変化を感じています。実際の運用支援を通じた印象としてインターネットサービスが一般的に利用される中で、個人データ漏洩が発覚したり、プライバシーノーティスで十分な情報開示がなされていないことやプライバシーノーティスとは異なる個人データの利用が後から発覚したような場合に、そのような企業は信用できないとして容赦なく個人データの削除を求める風潮が広がっているように感じます。日本においても令和2年の個人情報保護法改正において、利用停止、消去等の請求権の要件緩和が行われ消費者の権利の拡大とそれに伴う権利意識の向上が予想されます。我々は企業人であると同時に自宅に帰れば一人の消費者です。自分自身のことを考えても、誠実に透明性高く情報開示をしたり、個人からの問い合わせ窓口を明記して真摯に対応している企業には好感が持てますが、サービスの入会キャンペーンには力を入れて多くの広告を出していても退会の仕方をわざと分かりにくくしているような企業には嫌悪感を覚えます。法的義務への対応だけでなく、プライバシー保護やダークパターンをとらない誠実な対応等、企業の姿勢がまさに消費者に問われていると思います。世界各国の法律には現段階ではばらつきはあるものの、今後ますます「削除権」の行使は拡がっていき、信用できない企業からは個人データを引き上げることが当たり前になるのはもう間近であると認識しておいた方が良いでしょう。
4つ目のSNSの普及による悪評が拡散されやすい環境は説明をするまでもないと思います。良い情報もSNSで拡散しますが、一方で悪い評判も真偽が不明な状態でもSNS上で垂れ流されたり、事の善悪をよく考えもせず同調をしたりすることが日々行われています。このような悪い評判の拡散は、企業の信用を落とし、ブランドを棄損する一因となります。これは先の個人データの「削除権」の行使につながり、本来利活用したい個人データを使えずにDXの意味をなさない状況へと陥るリスクへとつながります。
これら4つの要因が重なりあってここ数年の間にプライバシー保護は急速に重大な経営リスクへと変化してきました。「プライバシー」保護をいい加減に行った場合の最悪のシナリオは上図の通りで、最終的には市場から撤退することに追い込まれます。
2. LINE問題から得られた教訓
3月17日の朝日新聞デジタルで「LINEの個人情報管理に不備 中国の委託先が接続可能」と題する記事が報じられ、その後政府・自治体でのLINE利用の停止や管轄省庁から関係民間企業に対するLINE利用や海外への個人情報の提供に対する実態調査と事態は大きくなってきています。報じられた記事や3月23日のLINEによる記者会見の内容を確認すると、今回の件はLINE一企業の問題ではなく日本企業広く一般に対する問題としてとらえる必要があると考えます。
LINEの記者会見によれば、中国の子会社ならびに委託先が日本のサーバーにある利用者の個人情報にアクセスできる状態にあった点とLINEメッセンジャーのトークにおける画像・動画ファイルやLINE Payの取引情報等が韓国のデータセンターに保管されている点、プライバシーポリシーでの第三国への情報提供に関して第三国を明らかにしてこなかった点を問題として社長から説明が行われました。その対応として、中国からのアクセスの遮断、韓国にあるデータの日本への移管、プライバシーポリシーの改訂を行うとの説明がありました。個々の対策は速やかに実施されるべきで、既に対応が完了しているものもありますが、その是非はここでは議論せずに問題の本質はどこにあったのか?を少し掘り下げたいと思います。
問題の本質は、LINE問題が報じられたことを受けて利用者が感じたことは何だろうか?という点です。これは、
- 中国や韓国に自分の個人情報が渡されることになっていたことを明確に説明してなかったことを裏切られた、騙されたと感じる憤り
- 説明していないことを実施している不信感
に尽きるでしょう。即ち問題の本質は、
- 透明性のある説明がなされていないこと
- 説明の通りに運用がなされていないこと
です。自分自身がこの企業はプライバシーを重視していないなと思うのはどのようなときか?と考えると、自分の権利・利益に対して、
- 嘘をつかれた、騙し討ちをされたと感じるとき
- 約束(契約内容や説明内容)と違うことをされたと感じるとき
- 公平性なく事業者側に勝手に判断されて機会を失ったと感じるとき
- 説明がいい加減なとき
- 問い合わせ対応がいい加減なとき
等があります。このような時に沸き起こる感情は、「この企業、気持ち悪い」や「怒り・憤り」、「不信感」といった「嫌な思い」に総称される感情だと思います。結局プライバシー侵害とは、事業者側の対応によって各個人に「嫌な思い」をさせてしまうことであり、逆にいえば、このような事態を避けることが重要なのです。それは本質的には、説明責任を果たすということであり、積極的に情報開示を行う透明性と説明通りに運用を行っていることを証明することの2点に収斂されると思います。LINEの社長は記者会見の質疑応答の中で以下のような応答をされていました。
社長:(中略)そして、何が問題だったのかということで言いますと、やはりわれわれとしてユーザーさまの分かりやすさ、そういったものに対する配慮が欠けていたということだというふうに思います。法的にどうこうということではなくて、やはりユーザーさまの感覚で見てちょっとおかしい、気持ち悪い、そういったことに対して、センスというか、配慮というか、そこに対する気を回すというか、そういったことが怠っていたというか、できていなかったということなんだというふうに思っております。そこが一番の問題だと思います。 |
この回答はプライバシー保護の本質をついており、プライバシーは法的義務への対応なのではなく、我々が企業人として向き合うユーザー、お客様が「嫌な思い」をしないために何をしなければならないのかを逆説的に示しているとの見方もあります。
3. プライバシーは法的義務から企業の社会的責任へ
前章のLINE問題でふれたように、プライバシー保護に関して企業がとるべきことは、究極的には企業が向き合うユーザー等ステークホルダーの方々が「嫌な思い」をしないようにすることです。そのために重要なことは、個人情報の処理に関して積極的に情報開示を行う透明性の確保であり、その説明の通りに運用を行うことと我々は考えます。
前者に関しては、LINE問題でも分かった通り、例え法的に問題がなかったとしてもユーザーが「気持ち悪い」と思う時点で企業の信用とブランドを棄損することになります。そのため、法律に従って義務として最低限の情報を開示するだけという消極的な姿勢ではユーザーからの信用を失うリスクを抱えるため、包み隠さず情報を積極的に開示していくという姿勢が信用を獲得する第一歩になると考えます。この企業はきちんと情報開示をしていて、好感が持てるとなれば、ユーザーからの評判が高まり、ブランド価値が結果として高まるのです。このようなプライバシー保護に対する姿勢は法的義務への対応を行う狭義のコンプライアンスではなく、企業の社会的責任として積極的に情報開示を行っていく広義のコンプライアンスに相当します。従来多くの日本企業はプライバシー保護に対して法的義務への対応として「コスト」として必要最低限の対応にとどめる姿勢でしたが、重大な経営リスクとなった今、プライバシー保護は企業の社会的責任として、また自社の信用、ブランド価値を高めるためにも「投資」とするよう考え方を変える必要があると考えます。このように積極的に情報開示を行い、ユーザーの信頼を勝ち得た企業が今後生き残っていくのではないでしょうか。
後者に関してはルールを逸脱しない手順に従って日々運用を行うとともに、主に内部監査やJIS Q 15001(個人情報保護マネジメントシステム)等の中でしっかりとチェックをし、説明責任を果たしていくことが求められると思います。日本においては例えばPマーク制度におけるチェックが今後ますます重要になってくるのではないでしょうか。
4. クッキー(cookie)バナーに対するIIJの考え方(2022年10月4日時点)
Webサイトを見ていると、「当サイトはクッキーを利用しています」といったバナーとともに同意を求めるようなクッキーバナーが出てくるサイトが増えてきました。実はIIJは日本で最も多くクッキーバナーツールを企業に導入支援している会社です。しかし、我々はクッキーバナー自体が万能な方策とは思っておらず、ある種の葛藤の中での現実的な選択肢としてお客様にご提案しています。その辺りの考えについて最後に説明をしたいと思います。
4.1. クッキーバナーは義務か?
EU GDPR/ePrivacy Directive等義務のため実施しなければならない海外法規制はありますが、日本の改正個人情報保護法の場合、クッキー等規制対応の義務にあたるケースは実はそれほど多くありません。例えば、Public DMP(Data Management Platform)からオーディエンスデータを購入してきて、会員向けサイト内で行動ターゲティング広告を出しているような企業のWebサイトは法的義務としてユーザーに説明をした上で明示の同意を得てから処理を行う必要がありますが、通常のGoogleやFacebookのような行動ターゲティング広告に用いられるクッキーの利用自体は今回の規制対象外となっています。
ところが必ずしも義務ではない一方で、現実には日本企業にクッキーバナーの導入が昨年から徐々に浸透し始めており、年末から導入企業が急増しています。これは、個人のプライバシー権利意識の向上や2022年4月1日からの法規制の強化による制裁の強化、個人が利用停止・消去を請求できる要件の緩和等からプライバシー保護を重視する企業としての姿勢をユーザーに示すことが求められてきていることが背景にあると考えられます。このように情報公開に積極的な企業はユーザーからの評判を高めることができるため、日本でも意識の高いお客様からクッキーバナーの導入が始まっていると考えています。
ところで、このクッキーバナーですが、特に内容を読まずに無意識のうちに同意ボタンを押しているので、ユーザビリティを下げるだけの無駄な施策なのではないか?ということや、ユーザーの離脱を促進してしまうので義務でなければやらない方が良いのでは?ということは時々議論の対象になっています。
4.2. そもそもクッキー規制とは何か?
いわゆる「クッキー規制」とは、ブラウザ、スマートフォン等の端末をプライバシーの領域として捉え、端末に紐づく識別子を使って本人の知らないうちにユーザーの行動を分析(プロファイリング)し、その結果に応じてサービス提供を自動的に出し分けていることを規制するものです。主に行動ターゲティング広告に使われることが多いのですが、これは、本人の知りえないところで、勝手に自分自身の行動履歴等を分析されて、それによって自動的に分別されることにより、誰かに見られているのかもしれないという気持ち悪さを感じたり、本来受けられるサービスが受けられないといった機会損失を被る等のプライバシー侵害が起きることを防ぐための措置です。そのため、まずどのような処理を行っているのか?という具体的な内容をユーザーに説明する必要があります(透明性のある情報開示)。この説明に対してユーザー自身がOKかNGかの意思を表示できる機会の提供が必要です(本人関与の機会提供)。ユーザー自身がこのような処理に対して明示的に「同意」を行った場合のみ処理をしても良い「オプトイン」形式と、事業者側はこのような処理をデフォルトでは行っても構わないが、ユーザーがいつでも事業者にこのような処理をやめさせることができる「オプトアウト」形式の2つの実装方法があります。これらは法域によって決まっており、EUのGDPRでは「オプトイン」形式が、USカリフォルニア州のCCPAでは「オプトアウト」形式が法的に求められています。日本で法的義務でないケースの場合はそもそもクッキーバナーを出す必要はありませんが、ユーザーの信用を得るという観点では「オプトアウト」形式の実装がJIAA(日本インタラクティブ広告協会)のガイドラインによって推奨されています。
4.3. クッキーバナーの役割とは?
現在世界的なクッキー規制に対して、オンライン広告業界ではクッキー離れが進もうとしており、様々な技術が開発されている途上です。ただ、どのような技術が開発されても法的にはクッキーを規制している訳ではないので、あまり意味はありません。例えば、クッキーに関しては、Googleが3rd Party Cookieの利用をやめてブラウザのChrome側でユーザーの行動を分析することで外部に情報を出さない仕掛け等(プライバシーサンドボックス)を考えているものの、これも結局は、Chromeによる自動的意思決定がなされているため、十分な情報開示と同意あるいはオプトアウトの機会提供がユーザーの信用を得る上では重要となってきます。このように、どのような新しい技術が今後出てきたとしても、本質的には透明性のある情報開示と本人がいつでも拒否できるような本人関与の機会提供が必要となります。そのような実装もクッキーバナーツールで行うことができるため、現段階で現実的なソリューションとして、クッキーバナーツールをIIJは販売しています。
ところで、ポップアップは邪魔だというユーザビリティの問題及び無意識に同意ボタンを押しているので意味がないのではないか?という双方の観点から、我々もクッキーバナーがクッキー規制に対して完璧なソリューションだとは思っておりません。しかしながら、過去10年EUでは、クッキーバナーを出すことで主に事業者側のWebやマーケティングの担当者には個人情報保護に対する意識が高まりました。彼らも自宅に帰れば一消費者ですから、他の企業の実装に対する目も厳しくなり、家族と話すこともあるのだと思います。そのような日々の積み重ねが消費者側のプライバシーに関する権利意識の高まりにも多少なりとも寄与してきたのだと思います。そのような背景もあり、世の中全体としては、何もしないよりはやった方が消費者のプライバシー保護の観点では良い方向に進むと思っています。もし、ユーザビリティの観点でも他にもっと素晴らしいソリューションが出てきたら、そちらを採用し対応していきます。
大事なことは原理原則で、特に透明性のある情報開示と本人がいつでも拒否できる機会を提供することです。その点において現段階での分かりやすい実装方式が、クッキーバナーツールということになります。特にユーザーの離脱の観点はデジタルマーケティングの担当者の方々は気になると思います。これは最終的には経営判断かと思います。例えば、多少の離脱であれば積極的な情報開示を行った方がユーザーの信用を得て結果としてブランド価値を高める上では有用と判断し、クッキーバナーを導入されるかもしれませんし、あまりに離脱率が高いということであれば、クッキーバナーではない形での積極的な情報開示の仕方を工夫するということもあり得るでしょう。いずれにしても、ユーザーの獲得だけに気を取られて透明性を犠牲にすると消費者の気持ちが離れ、結果としてブランド価値を棄損する恐れがあるという点に留意頂ければと思います。
5. クッキーバナーに対するIIJの考え方の追加(2024年10月3日追記)
5.1. 新しい社会問題の顕在化
5.1.1. 同意問題(形骸化した同意と同意疲れ)
4.3節で2年前にこのように表明をしておりました。”ところで、ポップアップは邪魔だというユーザビリティの問題及び無意識に同意ボタンを押しているので意味がないのではないか?という双方の観点から、我々もクッキーバナーがクッキー規制に対して完璧なソリューションだとは思っておりません。”(中略)”もし、ユーザビリティの観点でも他にもっと素晴らしいソリューションが出てきたら、そちらを採用し対応していきます。”
今回、社会環境の変化によって、クッキーバナーの掲示について法的義務でないWebサイトはユーザビリティの観点で見直しをかけるべきという考えを追加しました。その原因となったのは、「同意問題」です。
我々はクッキーバナーを販売してきましたが、家に帰れば一消費者であります。自分自身も含め周りの家族や友人、同僚などに聞いてもクッキーバナーをちゃんと読む人はほとんどいないということは分かっていました。消費者心理としては、クッキーバナーに書いてあることの意味が分からない、字が小さくて読みづらいといった文言そのものの理解のし易さの問題に加えて、商品の説明を早くみたい、動画を早くみたいといった、その先のコンテンツに早く到達したいがためにクッキーバナーは邪魔で読まずに同意ボタン(あるいは拒否ボタン)を押しているという状況が発生しています。この読まずに意味なく同意をしていることを「形骸化した同意」と読んでいます。また、一部のブラウザでは24時間など一定期間でクッキーを削除するため、消費者が信用している毎日訪れるようなWebサイトで昨日クッキーバナーに同意をしたのに、今日もまたバナーが出てきて同意をしなければいけない。そして、それがまた明日、明後日と続いていき、うんざりしてしまうという「同意疲れ」の問題も発生しています。この「同意疲れ」はますます読まずに同意ボタンを押す「形骸化した同意」を助長する一因となっています。
この「形骸化した同意」と「同意疲れ」を併せて「同意問題」と呼ぶことにしました。IIJとしてはこの「同意問題」に以前から社内で議論をしていましたが、本格的に対処するために「Webの同意を考えようプロジェクト」を2024年春 に立上げ、有識者の方々にも順次参画頂きながら、消費者と事業者にとって望ましい姿を継続的に考えてきました。
5.1.2. ダークパターン問題
この「同意問題」を掘り下げていく中で避けて通れないのが「ダークパターン」の問題です。www.darkpatterns.org (現在は www.deceptive.design)の創始者であり「ダークパターン」という言葉を最初に作ったと言われているHarry Brignull 氏によれば、ダークパターンとは「Webサイトやアプリ等で、あなたの意図に反して何かを購入させたり、何かに申し込ませたりする等の行動を取らせるために使われるトリックである」とされています。クッキーバナーに関して言えば、プロファイリングをするために消費者のブラウザでの行動動態を取得するには「同意(OKボタンを押す)」をしてもらわなければなりません。そのため、クッキーバナーで「同意」ボタンしかなく、「拒否」ボタンがないようなユーザーインタフェースにしたり、「同意」ボタンを押さないと次の画面に遷移できないクッキーウォールと呼ばれる手法を使ったり、はたまた「拒否」ボタンを押しているにも関わらず、実際はクッキー等のトラッキングデータをとり続けているという虚偽の実装をしているような悪質なケースが存在します。クッキーバナーの場合は特に本人があずかり知らぬうちに3rd Party Cookieを解析してプロファイリングし、機微な情報が広告ネットワーク内に流通するというプライバシー侵害事案が問題視されていました。この問題だけでも消費者にとっては気持ち悪いのですが、さらに「規約(定型約款)」や「個人情報の取扱い」といった情報開示に対して「同意」を求められる場面は多々ありますが、ここで消費者がきちんと読まないことをいいことに、故意に事業者側に有利な情報を「規約」や「個人情報の取扱い」にシレっと盛り込んで売上を向上させようとするダークパターンによって、金銭的被害が発生しているという問題があります。例えば、キャンペーンで1回お試しを申し込んだだけのはずなのに、規約に定期購入であることが盛り込まれ、また解約時には1年分の費用を解約料として支払わなければならないことが消費者には分かりにくいように、目立たない書き方(文字を小さくしたり、薄い字で記載する)で「誤魔化す」形となってしまい、消費者が「同意」をしたことで自己嫌悪に陥り、泣き寝入りをさせてでも売上を上げようとする事象が実際に起きています。キャンペーンでも実際には在庫が沢山あるのに残り僅かと表示したり、実際には継続的に実施しているキャンペーンなのに、残り何時間でこのキャンペーンは終わると表記したりと虚偽の情報で消費者の心理を煽って売上を伸ばそうとするケースもあります。またサブスクリプションサービスで1ヵ月無料のお試しにクレジットカード情報を登録して申し込んだものの、1ヵ月たつ前に解約しようとすると、解約手続きが分かりにくく解約できずに諦めさせてしまうようなケースもあります。このように消費者が読まずに同意をする「形骸化した同意」や、その原因となる「同意疲れ」はダークパターンによる消費者被害の入口にもなっているのです。
5.2. 消費者の被害
「Webの同意を考えようプロジェクト」では、ダークパターンによって実際にどの程度の消費者被害が発生しているのか2024年8月にアンケート調査を行いました。500人のアンケート調査に対して、ダークパターンを経験したことがある人は86%、そのうち金銭的被害にあったことがある人は30.2%でした。また一人当たりの年間平均被害額はノイズかもしれない上位5%のデータを除いて33,670円、同じく1%のノイズかもしれないデータを除いて53,361円となっており、日本のインターネット人口1億400万人から日本全体での被害を推定すると、年間約1兆575億円~約1兆6,760億円というかなり大きな金額となっていることが分かりました。また、金銭的被害にあっていなくとも約9,000万人の消費者の方々はダークパターンによって嫌な思いをしているということになります。
5.3. 中立な第三者が誠実なWebサイトを認定する制度の立案
このような問題を解決すべく「Webの同意を考えようプロジェクト」では、中立な第三者が誠実な企業を認定する制度の構築・運用を考案しました。ダークパターンになっていないことを独立性と公正性を保持した立場の第三者組織が審査・認定し、認定された企業にはロゴを付与する。消費者の方々はこのロゴがある企業はダークパターンではないという認定を得ているので安心してWebサイトを利用できる一つの目安となる、という仕組みです。
このアイデアを政府関係者の方々、有識者の方々、これまで誠実な対応を行ってこられている企業有志の方々に相談したところ、強い賛同を得ることができたため、この制度を政府と連携して実際に構築・運用することにしました。但し、IIJが主体で動いてきた「Webの同意を考えようプロジェクト」では中立な第三者になりえませんので、この「同意問題」や「ダークパターン問題」に広く見識のある有識者の方々を理事に迎えて、一般社団法人ダークパターン対策協会を設立することとしました。
この一般社団法人ダークパターン対策協会で誠実なWebサイトを認定する制度と、ダークパターンにならないための実装・運用のガイドライン(非ダークパターン認定ガイドライン)を構築、バージョンアップし、実際にダークパターンになっていない実装・運用となっているかを審査・認定・登録・更新をしていく仕組みを運用していきます。
2025年1月上旬を目途に非ダークパターン認定ガイドラインver.1.0とロゴマークを開発し、2025年1月中旬頃公表する予定です。また約半年の猶予期間を経て、2025年7月から審査を開始する予定です。このガイドラインの構築に関しては政府関係者の方々にオブザーバーとして参画頂き、政府方針と足並みを揃えて実施していく予定です。ガイドラインver.1.0は対象となるWebサイトが多いクッキーバナーを対象とし、そこから順次バージョンアップをしながら徐々に網をかけるダークパターンのスコープを広げていく予定です。
5.4. 日本に合った、またWebサイト毎の目的にあったクッキーバナーの選択肢とは?
日本の場合、クッキーバナーを掲示しなければならない法的義務にあたるケースは極めて限定的です。そのため、ほとんどのWebサイトでは通知または公表でよいということになります。
従来、企業概要などを紹介するコーポレートサイトでは、プライバシーを重視する姿勢を消費者に見せて安心頂くために積極的にクッキーバナーを掲示してきました。この傾向は今も続いており、意図してクッキーバナーを掲示しているのであれば、これはこれで一つの誠実な考え方だと思います。
一方で、商品やサービスを紹介するブランドサイトでは、これまでほとんどクッキーバナーが導入されていません。ブランドサイトを管轄する企業の事業部門の方々も、勿論プライバシー保護を重視している姿勢を消費者にお示ししたい気持ちはもっておられます。しかしながら、まず法的義務がないこと。その上で、クッキーバナーを出すと離脱率があがり、Webサイトのデザインを汚し、拒否されるとデジタルマーケティングのデータが取れないというデメリットしかない状況になっています。プライバシー保護を重視している姿勢を示したいとは思いつつも、クッキーバナーを出すデメリットとを天秤にかけた場合に、やはり商品、サービスの販売・認知向上に責任を持つ事業部門として、デメリットを受け入れられないという判断をされる企業がほとんどだというのが現実です。結果としてほとんどのブランドサイトにおいては、クッキー等トラッキングデータを取得しているものの、分かりやすい説明(「透明性」の確保)はほぼできておらず、クッキーの削除(「本人関与機会の提供」)にいたっては、ブラウザの設定で削除させるような技術に明るくない消費者の方々にとっては極めて難しい操作を強いているのが実情です。
そこで、我々はそもそもクッキーバナーを出さないという実装を新しい選択肢として提案したいと思います。ブランドサイトを管轄される方々は消費者に魅力的なWebサイトを提供するために、趣向を凝らしたデザインのWebサイトを作りこんでいます。様々なデザインがあるため、何かしらボタンのようなものがあると、Webサイトのトーン&マナーに反して受け入れにくいと思います。そのため、フッターもしくはハンバーガーメニューに「プライバシー設定」という文字を入れて頂き、その「プライバシー設定」をクリックすることで、クッキー等トラッキングデータの詳細情報が開示され、またその取得を止めさせたい場合に拒否できる(オプトアウト)画面がポップアップするような実装をすれば良いと考えました。これによりWebサイトのデザインを損ねることなく、また離脱率も上がらず、デジタルマーケティングのデータも取得できる。消費者にとっては、信用しているWebサイトでは毎日クッキーバナーが掲示されるような「同意疲れ」から解放され、もし信用できるかどうか分からない場合には「プライバシー設定」をクリックすれば欲しい情報がポップアップして出てくる。また嫌ならデータ取得をやめさせることができるという機能を提供できるので、「透明性」の確保と「本人関与機会の提供」も実現できるのです。すなわち、「同意疲れ」を回避できる消費者、魅力的にWebサイトを見せたい事業部門、「透明性」と「本人関与機会の提供」をしてプライバシー保護を重視している姿勢を見せたい法務/広報部門の三方良しの解決策になると考えます。
勿論、クッキーバナーを法的義務で掲示しなければならない場合はクッキーバナーを出す。また、積極的にプライバシー保護を重視する姿勢を消費者に示したいという意図のもと、クッキーバナーを出す(主にコーポレートサイト)。あるいは、クッキーバナーのように画面の一部を占有するのではなく、クッキーや設定を想起させるようなフローティング画像をクイックしたり、クッキーバナーはWebサイトのトップページでは出さないが、「プライバシー設定」をクリックしたりすれば従来のクッキーバナーと同様の機能を提供できる(主にブランドサイト)。このように、Webサイト毎の目的にあったクッキーバナーの出し方を選択することが良いと我々は考えます。IIJでは、消費者の方々の気持ちとWebサイトの特性、企業の姿勢をふまえて適切な実装をアドバイスできますのでお気軽にご相談ください。
株式会社インターネットイニシアティブ
ビジネスリスクコンサルティング本部長