気づけば8月も最終週ですね。社会人になり夏休みと縁遠くなって久しいですが、この時期は大人になっても何となく物悲しい気持ちになります。

さて、この時期だからという訳ではないのですが、最近読んだ2つの本の感想を、最近読んだ1つのニュースに紐付けながら書いてみようと思います。

-------------------

【最近読んだ本】

• その規約、読みますか?: 義務的情報開示の失敗
• ザ・ダークパターン ユーザーの心や行動をあざむくデザイン

【最近読んだニュース】

• 米国版GDPR策定へ　個人情報の扱いに忠実義務求める

-------------------

1.本の紹介

(1)その規約、読みますか?

6月頃にはっしーさんが感想を書かれていたのは見かけており、どこかのタイミングで読みたいなと考えていた本でした。8月に入り少し時間が取れそうだったので、自分の考えをまとめながら読み始めました。

『その規約、読みますか?: 義務的情報開示の失敗』読了。皆うすうす気づいている「利用規約への同意」という神話に対する批判を総まとめした上で、なぜそれがやめられないのかを説く。短く・シンプルに・ビジュアライズしたら解決といった短絡的な結論ではないところが良い。https://t.co/x4fZiYJpLf pic.twitter.com/50juAkx3Ig

— takuji.eth (@takujihashizume) June 18, 2022

(2)ザ・ダークパターン

「その規約、読みますか?」を読み終わった後、もう少し考えを深めたいと考えていたところ、note株式会社CDOの宇野さんの感想が流れてきたのを見つけて読みました。

連休中に読んだ『ザ・ダークパターン』すごい良かった。サービスデザインに関わる人全員に読んでほしい。

うちの会社の課題図書にしたいくらい。

誠実に顧客と向き合っていかねば。https://t.co/1NZNgU0jlt pic.twitter.com/MamCuAmoz9

— Yu Uno / note inc. (@saladdays) August 14, 2022

2.本の感想

(1)その規約、読みますか?

「第1章 はじめに」における

開示義務は、非専門家が、専門的知識を必要とする選択をしなければならない世界の問題のために存在する。

通常、立法者が開示を義務付ける内容は、素人に太刀打ちできるものではない。

開示義務は良いという根拠がほとんどなくても、明示的な害がほとんどないので魅力的である。

といった言葉から始まり、開示義務（≒同意を取得することによる適法化）の問題点について書かれています。利用規約やプライバシーポリシーの検討に関わったことがある方は、「あるある」と思いながら楽しく読めると思います。

 

この本が面白いのは

• 開示におけるアンチパターンを示して、このような開示の方法では意味がない（①）

という話をするのに加えて

• 立法者にとって開示義務による解決は魅力的であり安易に採用しがちだが、殆どの場合上手くいかないものだ（②）

と主張している点です。

 

少し日本の個人情報保護法の話に引き寄せて考えてみます。

プライバシーポリシーの中に紛れ込んだ「第三者提供同意」「個人関連情報提供同意」なんか、どれほどの人が読めているかという気はしますよね。これは①寄りの話です。

他方で「越境移転」の同意なんかは、いくら説明をされたところで自分にとってのリスクをきちんと評価して同意できる人が日本にどれだけいるだろうかという気もします（少なくともいちユーザーとしての私はよくわかりません）。これは②寄りの話です。

(2)ザ・ダークパターン

先ほどの2分類でいうと、主に①の方の問題をデザインの視点から解説したのがこちらの本です。翻訳本ではないため事例も馴染みやすく、読みやすい本なのでお勧めします。

ダークパターンについては今年GDPRのガイドラインとしてDark patterns in social media platform interfacesが公開されていて、私もブログを書いたところでした。また、最近ポコポコと出来上がってきている米国のデータ保護に関する州法でも、Drak patternについて言及されることが増えてきています。

この辺り「なんだ、ダークパターンってデザイン領域の話か。自分には関係ない言葉かな…」と思って距離を置いていると、いつの間にか法律領域の主要論点になりそうであっという間に置いていかれそうです。

3.まとめ

(1)同意は意味がない？

ここは近々、別で発表する場がありそうなのでそちらに譲ります。

また機を見てアナウンスさせてください。

(2)リスクと法的義務

今回のダークパターンの話なんか顕著ですが、当初はせいぜいレピュテーションリスクの話として扱われていた論点が、議論の高まりと共に法的義務に格上げされるようなケースは面白いですよね。

外国の法制でダークパターンの議論を取り込んできている現在の流れを踏まえると、次の日本の個人情報保護法改正においても、このダークパターンについての論点は影響を受けるかもしれません。

（検討）
第十条　政府は、この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。

と言っていますし。

(3)ニュース

いよいよ米国でデータプライバシー/データプロテクションの連邦法ができるかもしれないということで話題になっています。今回の日経の記事では忠実義務についても書かれていました。

法律上の忠実義務というのは、受益者のため忠実に信託事務を処理する義務だ。IT企業などによる個人情報の扱いにあてはめると、「データ主体である個人の利益に反する形で、もしくは個人の信頼を裏切るような形で個人情報を処理しない」という考え方になる。日本の個人情報保護法が重点をおく、個人への通知・同意に基づく処理では保護しきれない点を補うアプローチだ。
米国版GDPR策定へ 個人情報の扱いに忠実義務求める: 日本経済新聞

忠実義務に基づく規制が日本法でも進んだ場合どうなりますかね。忠実義務のように抽象度の高い法的義務が課されると、「(2)リスクと法的義務」で述べたようにリスクと法的義務の境界線がより曖昧になると思います。

そうすると、事業者側には「その選択をおこなったこと」に対する説明が強く求められるようになり、対応の難易度も上がっていくと想像します。

とはいえ、現状の日本法の運用は「燃えるまでは基準も提示せず泳がせておくが、燃えたら規制する」みたいな所もあり、あまり健全じゃないなと思っています。忠実義務を起点として、法律上不明確な部分の議論が活発になるならそれはそれでありですよね。

------------------

以上です。

残り数日ですが、皆さんも良い8月をお過ごしください！