『フォートナイト』のEpic Games、プライバシー侵害とダークパターンとは

米連邦取引委員会は、人気ビデオゲーム「フォートナイト」の開発元であるEpic Games, Inc.が、児童オンラインプライバシー保護法(COPPA)に違反し、ダークパターンと呼ばれる巧妙な手口で数百万人のプレイヤーから意図しない購買をさせたという申し立てに対し、総額5億2千万ドルを支払うよう救済する合意を成立させました。

Fortnite Video Game Maker Epic Games to Pay More Than Half a Billion Dollars over FTC Allegations of Privacy Violations and Unwanted Charges

Epic will pay a $275 million penalty for violating children’s privacy law, change default privacy settings, and pay $245 million in refunds for tricking users into making unwanted charges

FEDERAL TRADE COMMITTION

プライバシー侵害

FTCは、連邦裁判所に提出した訴状の中で、Epicが、子供向けオンラインサービスであるフォートナイトをプレイする13歳未満の子供から、両親に通知せず、両親の同意を得ずに個人情報を収集し、COPPA規則に違反しました。また、子供や10代の若者向けのテキストとボイスのライブチャットをデフォルトで有効にすることで、FTC法の不公正行為の禁止に違反しました。

保護者への通知と同意の取得を怠ったことによる COPPA 違反

Epicがフォートナイト ユーザーに対する調査、フォートナイトの玩具や商品のライセンスとマーケティング、プレイヤーサポート、その他の企業コミュニケーションを通じて、多くの子供がフォートナイトを遊んでいることを認識しており、両親の同意を得ずに子供の個人データを収集しました。また、子供の個人情報を削除するよう要請した保護者に対しては、不合理な手続きを要求し、そのような要請に応じないこともありました。

子供や十代の若者たちに不利益をもたらすデフォルトの設定

デフォルトでテキストとボイスのライブチャットを使用することができます。FTCは、これらのデフォルト設定が、子供や十代の若者と見知らぬ人をマッチングして一緒にフォートナイトをプレイさせることで、プレイ中にいじめや脅迫、嫌がらせを受けたり、自殺などの危険で心理的トラウマを与える問題に晒されました。

Epicの社員は、デフォルト設定に懸念を表明していました。2017年の時点で、特に子どもたちへの影響を懸念して、ボイスチャットをオプトインするようユーザーに求めるデフォルト設定の変更を同社に促しました。子どもがゲームのプレイ中に性的なものを含む嫌がらせを受けたという報告があったにもかかわらず、同社はデフォルト設定をオフにすることに抵抗しました。それは、ユーザーがボイスチャットをオフにできるボタンを追加しましたが、そのボタンを見つけにくいようにしました。

COPPA規則違反に対する米国財務省への記録的な民事罰の支払いに加え、連邦裁判所の命令案では、両親(13歳未満のユーザーの)または10代のユーザー(またはその両親)がプライバシー設定を通じて明確に同意しない限り、子供や10代の若者向けにテキストとボイスのライブチャットを有効にすることを禁止することになりました。COPPAルールの保護者への通知と同意の要件に違反してフォートナイト ユーザーから過去に収集した個人情報を、同社がそのデータを保持するために保護者の同意を得るか、ユーザーが年齢不問の検証を通じて13歳以上であることを確認しない限り、削除する必要があります。さらに、同社は、FTCの苦情で指摘された問題に対処する包括的なプライバシープログラムを確立し、定期的な独立監査を受けなければなりません。

年齢不問の検証とは、利用可能な特定の年齢を知らせずに一定の基準(13歳)以上であることを確認します。例えば、ユーザーに生年月日を確認し、それをもとに年齢制限します。

違法なダークパターン

FTCは、別の訴状で、Epicがダークパターンを使用してプレイヤーを騙して不要な買い物をさせ、保護者の関与なしに子供に不正な課金をさせたと主張しています。

ユーザーを騙して購入させるためにダークパターンを使用

同社は、あらゆる年齢層のユーザーに意図しないゲーム内購入をさせることを目的とした様々なダークパターンを展開しました。フォートナイトの直感的でない、矛盾した、分かりにくいボタン配置により、プレイヤーは一つのボタンを押しただけで、不要な課金をさせられていました。例えば、スリープモードから復帰させようとしたとき、ローディング画面のとき、あるいは単にアイテムをプレビューしようとしたときに隣のボタンを押しただけで課金される可能性があります。このような手口により、ユーザーは数億円の不正な課金を受けることになりました。

アカウント所有者に無許可で課金

フォートナイトをプレイする子供やその他のユーザーは、フォートナイトのV-Bucksを使って、コスメやバトルパスなどのゲーム内コンテンツを購入することができます。2018年まで、保護者やカード所有者の操作や同意を必要とせず、ボタンを押すだけで子どもがV-Bucksを購入することを許可していました。一部の保護者は、同社が同意なしにクレジットカードに課金したことに気づく前に、子どもが数百ドルの課金を積み重ねたと訴えた。FTCは、Amazon、Apple、Googleなどの企業に対し、子供がモバイルアプリゲームをプレイ中に親の同意を得ずに行ったアプリ内課金について、ユーザーに数百万ドルを請求したとして、同様の訴えを起こしています。

購入済みコンテンツへのアクセスをブロック

Epicは、クレジットカード会社に不正請求の異議を唱えた顧客のアカウントをロックしました。アカウントがロックされたユーザーは、購入したすべてのコンテンツへのアクセスを失い、その総額は数千ドルにのぼることもあります。同社がアカウントのロック解除に同意した場合でも、ユーザーは、今後請求されるものについて異議を唱えた場合、生涯にわたってアクセス禁止になる可能性があると警告されました。

Epicは非公式なテストを通じて、キャンセルや払い戻しの機能を意図的にわかりにくくすることに成功し、100万件を超えるユーザーからの苦情を無視し、「膨大な」数のユーザーが不正に課金されているという社員からの警告を繰り返し受けました。

違法な請求方法に関するFTCとの行政命令案の一部として、Epicは2億4500万ドルを支払う必要があり、この資金はユーザーへの返金に充てられます。さらにこの命令では、ダークパターンを使用してユーザーに課金すること、あるいはユーザーの明確な同意を得ることなく課金することを禁止しています。また、不正請求に異議を唱えるためにユーザーの口座へのアクセスを遮断することも禁じています。

関連記事

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ