ダークパターンとは、企業やサービス提供者が意図をもって、ユーザを不利益となる行動に誘導する手法のことを言います。
WebやアプリのUIを例にすると、会員登録の際に意図しないメルマガ購読を促し、かつ初期状態で購読の同意にチェックが入っていたり、同意ボタンと比べて同意しないボタンが小さく見づらい色やデザインになっていたり、あるいは解約手続きをわざと煩雑にし、ユーザをそのプロセスの途中で断念させようとしたり、など多くの類型を列挙することができます。
プライバシー保護の関連法令の施行は現在、世界的な潮流となっていますが、このダークパターンを用いたUI設計そのものを法的に規制対象とする動きが、今世界的に加速しつつあります。
ダークパターンを使って、ユーザを不利益な行動に誘導したり、逆に企業が期待する判断をするようにユーザを仕向けることを目的とした恣意的な設計は、「同意はユーザの真正な同意(informed and freely given consent)に基づかなければならない」とするGDPR等の法令の要求事項に反していますが、これらを法的にも無効な同意とし、さらに法令違反による罰則や制裁金の対象とする動きが出てきています。
今回は、ダークパターンの概要と類型、特にUI設計のダークパターンを規制する近年の世界の法制化の動き、ダークパターンを規制する法制度が要求する「ユーザの真正な同意取得」とは何を意味するのかについて、順番に見ていきたいと思います。
目次
ダークパターン(Dark Patterns)とは?
ユーザの意図に反した不利益な選択を誘導するデザイン手法のことをダークパターンと言います。
例えば、「同意する」ボタンばかりを強調し「拒否」や「詳細設定」ボタンが目立たない見つけにくい、あるいは同意しないと「一部の機能が使えなくなります」や「利用できません」などと表示し、(実際はそうではないのに)拒否によってユーザが望まない結果になると誤認させる、などがその典型例となります。
ソーシャルログインの認証画面を例にダークパターンを具体的に見てみましょう。
目立つ「許可」ボタン
許可ボタンが大きく色付き、拒否ボタンがグレーで目立たない。
スコープの事実上の強制
サービスに不要と思われるスコープ(例:連絡先、誕生日など)の許可を外すことができない。
選択肢の不透明化
「なぜこの情報の許可(例:位置情報やカメラなど)が必要なのか」についての説明がない。
誤認を誘導する文言
拒否すると「ログインできません」と表示され、かつ他の手段が提示されない、もしくは見づらい場所に表示し、ソーシャルログインが唯一の選択肢であるかのように見せかける。
どの類型も見たことがある、という方が多数派だと思います。ダークパターンは、残念ながら多くのWebサイトやアプリに今もなお実装され、当たり前のように私達の生活の中に存在しています。
【関連記事】ソーシャルログインに潜むリスク、知らないうちに個人情報が漏れている?
なぜ企業やサービス提供者はダークパターンを用いるのか?
企業がダークパターンを用いるメリットはどこにあるのでしょうか?企業は、より多くの収益を上げる必要があるため、以下のような動機があると考えられます。
1. ユーザの離脱を防ぐための設計上の圧力
拒否ボタンや「あとで設定」を目立たせると、ユーザが離脱するリスクが高まります。特に新規登録時の離脱率は重要なKPIであるため、「最短で登録→すぐ利用開始」の導線設計が重視されます。ダークパターンで「気づかせずに許可を取る」「押しやすく最短距離で誘導」「考える時間を与えない」ことで離脱を最小化しています。
2. 事業部門と法務部門のせめぎ合い
事業部門やマーケティング部門の考えるUI/UXは、ずばり「コンバージョン重視」です。一方、法務部門やコンプライアンス担当の部門は、当然ながら「法令順守重視」です。
各種法令や規制のグレーゾーンを突く設計は、現在、事実上の標準となっていますが、法規制が追いついていないため法務部門のチェックや指摘といった企業内の自浄作用が働かず、「ダークパターンは違法ではないので問題ない」とし、結果、市場に蔓延する一因になっていると考えられます。
3. データ収集によるインセンティブやマネタイズ
収集するユーザ情報の種類やデータ量が多いほど、サードパーティとのデータシェアや販売を通じた収益が向上します。特に「連絡先」「閲覧履歴」「位置情報」「利用傾向」などのデータはどの企業にとっても価値が高い情報です。ユーザからの同意なしでこれらのデータは合法的に収集することができないため、「同意」に誘導するための手法が必要となります。
4. 競合との差別化や精度の高いレコメンドやアルゴリズムの必要性
収集するユーザ情報の種類やデータ量が多いほど、ターゲティング広告やリコメンデーションの精度が向上します。他社よりも早くかつ多くのデータを取得し、アプリやサービスの機能を改善し、パーソナライズやターゲティング、リコメンドのパフォーマンスを向上させたいという動機がユーザデータの収集行動に拍車をかけています。
5. 法整備や施行の遅れ・リスクの軽視
ダークパターンを規制する法制度は施行されつつありますが、UI設計そのものを規制の対象としたり、UI設計に起因する被害に基づく制裁事例は、世界的にみてもまだ限定的な状況です。「摘発事例がない、制裁金を課されていないから、今のままで大丈夫だろう」という横並び認識がダークパターンを継続する動機となっています。
まとめ
データ収集や活用には、今やユーザの同意が不可欠となっています。ダークパターンは、形式上は法令を遵守しつつ、可能な限り大量のデータを収集し、収益を最大化したいと考える企業の施策の一部と言えます。
ダークパターンを用いたUI/UXの設計においては、同意獲得の効率を上げるために「よく分からないので判断したくない」「損失を回避したい」「面倒な操作はしたくない」といったユーザ心理や認知バイアスを有効に活用しています。
「キャンセルするとデータが消えます」や「同意しないとサービスが利用できません」などは、実際はそうならない設計だったとしても、ユーザの立場としては実際に確かめる手段がありません。ユーザは、損失を避けるため同意を選択せざるを得ず、最終的にはユーザの同意を獲得し収益を上げたい企業が期待する結果となります。
ダークパターンを活用し、取得したユーザの同意は「ユーザの真正な同意(informed and freely given consent)」ではなく、法令の要求に反しているという点は、現在世界的に問題視されており、規制の対象とする法制化の動きが徐々に具体化してきています。
ダークパターンを規制するEUの法制化の動き
それでは、ダークパターンを用いたUIの設計そのものを規制する法制度にはどのようなものがあるのでしょうか?ここ数年で次々と施行されています。
DSA(The Digital Services Act)
デジタルサービス法 2024年2月17日 全面施行
目的
オンライン環境の安全性・透明性・公正性を確保することを目的としています。2000年の「電子商取引指令」以来、EUのデジタル規制は大きくは更新されてきませんでしたが、検索エンジンやソーシャルメディア、マーケットプレイスなどのオンラインプラットフォームの影響力がその間に急速に拡大しました。偽情報、違法コンテンツ、プライバシー侵害など顕在化したリスクや諸問題に対応するため、2020年に欧州委員会が立法提案し、2022年に成立、2024年2月に全面施行されました。
概要
EU域内のユーザにデジタルサービスを提供する企業に適用されます。企業の所在地には関係しないため、海外の企業もDSAの規制対象となります。特に「超大規模オンラインプラットフォーム(VLOPs)や超大規模検索エンジン(VLOSEs)」に対しては、追加で厳しい義務を課しています。
・違法コンテンツの管理:オンライン上で違法な商品やサービス・コンテンツの拡散を防ぐため、プラットフォームに対して厳格な管理義務を課します。
・透明性の向上:アルゴリズムの説明責任や広告の透明性を強化し、ユーザがより安全にサービスを利用できるようにします。
・リスク評価の義務化:特にVLOPs(超大規模オンラインプラットフォーム)やVLOSEs(超大規模オンライン検索エンジン)に対して、定期的なリスク評価を義務付けています。
・消費者保護:詐欺的な広告やダークパターン(ユーザーを意図しない選択に誘導するデザイン)の禁止など、消費者の権利を強化します。
※VLOPs:Very Large Online Platforms:EU域内で月間アクティブユーザ数が4500万人以上(EUの総人口の約10%)のプラットフォーマーが該当。
例:Facebook、Instagram、Twitter(X)、YouTube、TikTokなどのソーシャルメディアプラットフォームやAmazon、eBayなどのマーケットプレイスなど。
※VLOSEs:Very Large Online Search Engines:EU域内で月間アクティブユーザ数が4500万人以上の検索エンジン(EUの総人口の約10%)が該当。
例:Google SearchやBingなど。
UI設計への規制
第25条(プラットフォームによる誤導行為の制限)では、明確に「ダークパターンの使用は違法」と明記しています。ユーザの行動を意図的に誘導したり、誤認を誘うUIは義務違反として罰則対象になる可能性があります。
【参考】Regulation on Digital Services Act
罰則
DSAに違反した場合、特に超大規模オンラインプラットフォーム(VLOP)や超大規模検索エンジン(VLOSE)に対しては、違反企業の前会計年度の全世界売上高の最大6%の制裁金が課される可能性があります。DSAの制裁金の上限は、GDPRの制裁金よりも高く設定されています。
DMA(The Digital Markets Act)
デジタル市場法 2023年5月2日 施行
目的
大規模なデジタルプラットフォーム企業(ゲートキーパー)による市場の支配的行動を制限し、公正な競争を促進することを目的とした法律で、EU(欧州連合)が2022年に制定し、2023年5月から施行されました。
デジタル市場における競争環境を確保し、ゲートキーパーの不当な優越的地位を制限し、市場構造を是正することで、多様な企業が参入する健全な競争を促し、ユーザにより多くの選択肢を提供することを目的としています。
※ゲートキーパー:EU市場において重要な影響力を持つ大規模なデジタルプラットフォーム企業を指します。これらの企業は、ユーザやビジネスがデジタルサービスを利用する際の主要な経路(ゲートウェイ)となっており、競争の公平性を保つため、厳しい規制の対象としています。月間ユーザー数4500万人以上、年間法人ユーザ1万社以上の企業が該当します。
例:Google、Apple、Meta、Amazon、Microsoft、ByteDance(TikTok)、など。
概要
自社サービスを競合より優遇(例:検索結果で自社サービスを上位表示)したり、他社のサービスから得たデータを無断で利用したり、アプリストアで外部決済手段を禁止する行為を禁止しています。また、外部アプリストアの許可(例:iOSでの外部ストア利用)、異なるメッセージアプリ間の相互運用(例:WhatsAppと他社アプリの連携)、広告主に対する透明性の向上(広告パフォーマンスデータの提供)などを企業に義務付けています。
UI設計への規制
ゲートキーパーが選択肢を不当に誘導することを禁止しているため、ソーシャルログインの同意画面設計にも影響があると見られています。ダークパターンを規制する具体的な条文はありませんが、実質的に同意の強制・選択肢の非対称性を禁じています。
第5条、第6条(ゲートキーパー義務、選択肢の公平提示)で、「自社サービスの優遇」「第三者選択肢の非表示」の禁止が規定されています。ソーシャルログインで「Googleログインしか目立っていない」などのUI設計は調査や制裁の対象となり得ます。
【参考】Regulation on Digital Markets Act
罰則
DMAに違反した企業に対してはさらに厳しい制裁金が設定されています。初回の違反は、全世界年間売上高の最大10%、再犯(繰り返し違反)については、最大20%まで引き上げが可能とされています。これは、GDPRやDSAより高い上限となっており、ゲートキーパーに指定された大規模なデジタルプラットフォーマーに対する非常に強力な抑止力として作用しています。
2025年4月、DMA施行後、初の制裁金がAppleとMetaに課されたことは日本でも大きく報道されました。施行されて約2年、実効性を伴う法制度としての認知は今後ますます高まることが予想されます。
・Apple:約 5億ユーロ(約810億円):アプリ開発者が外部のアプリストアや決済手段にユーザを誘導することを不当に制限していた。
・Meta(Facebook/Instagram):約2億ユーロ(約324億円):「広告なし」有料プランの提供方法が不適切でユーザの選択肢を制限していた。
【関連記事】GDPRの制裁金をランキング形式で紹介!法令を遵守したデータ分析手法とは?
ダークパターンを規制する米国の法制化の動き
米国ではダークパターンを規制する連邦法は、2025年5月現在、施行されていませんが、カルフォルニア州の州法である「カルフォルニア州プライバシー権法(CCPA)」を改正・強化する形で制定、施行されています。
CCPA / CPRA(California Privacy Rights Act of 2020)
カルフォルニア州プライバシー権法 2023年1月1日 施行
目的
消費者が自らの個人情報を管理する権利(削除・開示・拒否など)や消費者のプライバシーを保護する権利を強化し、企業の個人情報の取扱いをより厳格に規制する内容にアップデートしています。ターゲティング広告の制限にも踏み込み、カルフォルニア州プライバシー保護局(CPPA)を設立することで法の執行機能を強化しています。
概要
消費者の権利の拡大として、個人情報の訂正を要求する権利、センシティブ個人情報(健康情報、精密な位置情報など)の利用制限を要求する権利、個人情報の「共有(Share)」をオプトアウトする権利を強化しています。また、企業に対しては、個人情報の保持期間の通知義務、個人情報の販売・共有に関する契約締結義務、企業間で個人情報を共有する場合の規制などが強化されています。
カルフォルニア州内の個人情報を10万件以上取扱い、一定の規模以上の売上と収益がある企業は、外国企業でも同法の適用対象となります。
UI設計への規制
同意取得における欺瞞的なUIはダークパターンとみなされ、得られた同意は無効と明確に定義しています。「拒否する」選択肢が見えにくい、専門用語ばかりの難解な表示でユーザを欺き取得した同意は無効とみなされます。企業は、消費者が公平で明確な情報を得て、自由な判断ができる状態を提供することが求められています。
罰則
一般的な違反には最大で2500ドル、意図的な違反には最大で7500ドルが、件数単位で課されます。件数は以下の定義になっており、件数とそのケースに該当するユーザ数の掛け算で試算されるため、件数とユーザ数によっては、罰金は膨大な金額になりえます。
・1人の消費者に対する1つの違反行為
・1つの個人情報の取扱いに関する違反
・1つの通知義務やオプトアウト義務の不履行
【参考】Californians For Consumer Privacy
まとめ
欧州と米国の両方でダークパターンを用いたUI設計を禁止する法律が施行されていることを見てきました。今後、GDPRのように違反により制裁金が課されるケースが具体的に上がってくると企業のダークパターンを用いたUI設計への問題意識や改善の取組みが徐々に顕在化してくると予想されます。ここ数年で施行されたこれらの法令を契機に、今後同様の法制度の制定・施行が世界的な潮流となるかどうかについても、動向を注視していくことが必要です。
日本では、個人情報保護委員会(PPC)がUI設計への注意喚起を強化しています。2025年5月時点では、ダークパターンを明示的に禁止する法律や規則はなく、従来どおりのグレーゾーンの扱いとなっていますが、個人情報保護法の改正に向けたパブリックコメントでは、ダークパターンへの指摘も数多く見られることから、今年予定されている個人情報保護法の改正内容に盛り込まれるかどうかも、注目すべきポイントです。
【関連記事】GDPRと個人情報保護法の違いとは?日本企業として知っておきたいポイント
ユーザの真正な同意とはなにか?
ダークパターンと合わせて押さえておきたい概念が「ユーザの真正な同意(informed and freely given consent)」です。GDPRを中心に具体的に見てみましょう。
真正な同意の要件
GDPRの第4条と第7条では、「ユーザの真正な同意」とは以下のすべてが揃っていることとされています。
・明確(clear)
・特定(specific)
・自由意思(freely given)
・インフォームド(informed)
・肯定的な意思表示(affirmative action)
【参考】個人情報保護委員会:一般データ保護規則(仮日本語訳)
企業が「同意の真正性」を証明するための実務措置
取得した同意は「ユーザの真正な同意」に基づくことを企業はどのように証明すればよいのでしょうか?コンプライアンスに直結する重要な課題です。企業側の視点で「ユーザの真正な同意」を証明するために求められるポイントについて見ていきましょう。
1. UIログの保存
ユーザが同意ボタンを押した時点のログ(日時・内容)を保存、どの同意文言・レイアウトで同意したか画面キャプチャやコードで記録など
2. 同意のアクションログ
押下した操作の記録と同意の対象スコープの管理、ユーザが選択を強制されていないこと、選択肢が平等に提供されていたことの記録など
3. 設計記録の保管
UX設計ポリシー、UI/UXがユーザの自由な選択を妨げていないこと、自由に拒否できるUI設計であったことを示す設計レビュー資料など
4. 情報提供の証明
情報提供義務(スコープ、データ使用目的)の文言と表示の履歴、どのように情報提供していたかをログまたは画面遷移で提示など
5. 同意撤回の仕組み
同意の撤回が容易に可能であったことの証明、ユーザが撤回できる導線が存在し、実際に機能していることを記録するなど
6. バージョン管理
同意取得画面の表示・構成の記録(バージョンごと)、同意ポリシーやプライバシーポリシーの変更履歴とその告知記録など
証明責任は企業側に
GDPRでは「同意が有効に取得されたことの立証責任は企業側にある」(第7条)とされています。適正なUI設計に基づく情報提供と同意プロセス、監査のためのログの記録保管、UI設計の履歴の保管など、設計から提供、履歴管理と監査性の確保までを組み合わせた包括的な証拠構築が必要とされるでしょう。
【関連記事】日本企業はGDPRに対応する必要はある?いま実施すべき対策を紹介
今、企業に求められているもの
今回は、ダークパターンとその類型、世界的に広がりつつあるダークパターンを用いたUI設計の規制の法制化の動き、GDPRをさらに上回る制裁金の上限、そしてユーザの真正な同意取得の重要性と証明責任の所在などについて見てきました。
UI/UX設計やデザインはスマホの普及・進化とともにここまで大きく発展してきました。使い勝手や顧客体験、デザイン性の向上がフォーカスされてきた一方で、企業やサービス提供事業者の都合が優先され、ユーザを不利益な判断に誘導する構造もまたその設計の一部として存在しています。
利益を追求する企業でありながら、ユーザに提示する選択肢を利益も不利益も含めて明確に平等に提示し、ユーザの自由な意思決定を阻害しないことは、実は対面販売や実店舗でのサービスでは当たり前となっているものの、場所をオンラインに移すだけで、残念ながらユーザを欺く様々な設計手法が横行してしまっている現状があります。
ユーザの権利を守り、健全な市場競争と発展を目指すにあたり、今後、着実に法規制が整備・強化されていく領域となるだろうと予想されます。
RTmetricsは、法令を遵守したデータ活用の推進をサポートしています。是非、ご検討下さい。
【参考】ダークパターンの提唱者:Harry Brignull氏のサイト
【参考】総務省:ダークパターン及びプロファイリングについて(EUの動向を中心に)
