データ解析企業Cambridge Analytica（CA）社が、ユーザの同意を得て収集したFacebook上の情報を米大統領選に利用したのではないかという問題について。

約２７万人がダウンロードしたFacebookアプリ上で、プロフィール中の住所、好きなものなどの情報にアクセスすることについて、ユーザの同意を得ていたとのこと。これについてはFacebookの規約違反ではなく、勝手に第三者提供したことがFacebookの規約違反と、Facebookは主張。

その規約についてみてみたところ、いまいちはっきりしないように思います。
第三者提供については、具体的に規約上のどこで規定されているのかがよくわかりません。

You may use Account Information in accordance with your privacy policy and other Facebook policies. All other data may only be used outside your app after you have obtained explicit user consent.（２-５）

Don't sell, license, or purchase any data obtained from us or our services.（３-９）

Only use friend data (including friends list) in the person’s experience in your app.(3-3)

Don't use data obtained from Facebook to make decisions about eligibility, including whether to approve or reject an application or how much interest to charge on a loan.（３-１５）

Comply with all applicable laws and regulations in the jurisdiction where your app is available. Do not expose Facebook or people who use Facebook to harm or legal liability as determined by us in our sole discretion.（５−８）

２−５はアプリ外で利用するには明確な同意を取得せよと書いていますが、対象はアカウント情報に限定。
５−８で法遵守を規定しているから、日本の場合はここで読めそうですが、アメリカの場合はどうなのか。
３−３は友人情報の利用制限がかかっていますが、このCA社の元ネタアプリが友人情報まで使っていたのかどうなのか（→関連ニュース）。
３−９でデータを売るなと書いてありますから、ここをいうのか。
３−１５はやけに具体的に限定された書きぶりだし。

規約　→英語、日本語

規約違反というよりは、本人同意を得る方法の十分性・適切性の問題のように思えますね。
個人情報保護の世界では本人同意を得ていれば固いというのは一般的に言われるものの、そうはいっても、実際は法的擬制にすぎないのではないかとは誰もが思っていたことのように思います。利用規約や書面を逐一読んで同意しているユーザがどれだけいるのか。ただこの辺りは、契約書でも同じことが言え、契約書を読まずにサインしたからといっても、契約書に拘束されるのが法的世界であり（例外：公序良俗違反、消費者契約法違反等）、ただ、契約書の場合は署名捺印は一般的感覚から見ても重いものですが、アプリやWebの世界での同意ボタンクリックがそこまで重いものと一般的感覚では捉えられていないことが差としてあると思います。
「有名なサービスなんだし有名な企業がやっているんだから、大丈夫だろう」と思っている人が多いのではないかと。

では、同意取得の十分性・適切性を確保するために、Webでのボタンクリックでは同意とは考えずに、書面にサインさせるか、電子署名をつけさせるという方法を仮に取るとすると（規制強化）、それはいくらなんでも経済活動・個人の利便性を阻害しすぎです。
ではどうするべきか。

十分な説明をして同意を取るということに本質としては尽きるはずで、しかし十分な説明とはどういうことをいうのかというのが難しい問題です。利用規約としては法的文書として作成して難解な文書とするとしても、そのほかに一般的な言葉でわかりやすく利用方法・外部提供先・本人に与える影響を説明すべし、とするのが良いのではないかと思います。
ただ、それは言うのは簡単ですが、すべてのサービスでわかりやすい説明というのも難しく。

少なくともいえることは、政治的利用については今よりも規制を強化すべきで、さすがに説明責任を重くすべきであろうということ。政治的利用だけではなく、宗教的利用、投資勧誘なんかも同じかもしれません。あとは一般人が予測できないような利用形態について、十分な説明責任を担保するということ。ただこれも、「一般人が予測できないような」とは何を指すのかを具体化するのは難しそうです。

同意と説明の問題は本当に難しく、プライバシー影響評価がこの点、少し役に立つような気がします。