GM、運転者データ売却疑惑をめぐるカリフォルニア州との和解に合意

一つの自動車メーカーを超える影響を持つプライバシー案件

ゼネラルモーターズは、同社が機微な顧客の運転データをデータブローカーに販売したとカリフォルニア州が主張したことを受け、州の検察当局と1,275万ドルの和解に合意した。元資料によると、争点となったデータには、氏名、連絡先、位置情報の詳細、そして数十万人のカリフォルニア州民に紐づく運転行動データが含まれていた。

この案件が重要なのは罰金額だけではない。コネクテッドカー、消費者の同意、保険、データブローカー業務が交差する地点にあるからだ。現代の車は、移動するセンサー・プラットフォームとして機能している。これは商機を生む一方で、規制当局がより強く問い始めている核心的な問題も生む。車が人の行き先や運転の仕方という親密な情報を記録したとき、誰がそこから利益を得る権利を持つのか。

カリフォルニア州の主張

今回の和解は、カリフォルニア州司法長官 Rob Bonta が主導した2年間の法廷闘争の結果だ。元テキストでは、検察側はGMが Verisk Analytics や LexisNexis Risk Solutions などのブローカーに運転者データを販売したと述べている。州当局は、正確な位置情報によって、住居、職場、子どもの学校、礼拝先など、人の生活に関する極めて機微な詳細が分かると主張した。

この捉え方は重要だ。問題は抽象的なプライバシー懸念にとどまらない。位置情報データは日常の行動、社会的関係、脆弱性を、コネクテッドカーサービスに登録する多くの消費者が想像するよりはるかに多く明らかにしうる。

この案件はまた、保険会社が運転データを使って顧客の保険料に影響を与えているのではないかと疑問視した2024年の報道の後に続くものでもある。ソースによれば、司法長官の調査は、カリフォルニア州の保険規則がこうした運転データを保険料設定に使うことを禁じているため、州内の運転者はその点で直接影響を受けていないと結論づけた。

それでも、根本の執行理論は変わらない。十分な保護なしに機微な運転情報を収集し、販売すること自体が重大なプライバシー問題だ。

和解の条件

金銭的制裁は合意の一部にすぎない。GMはまた、5年間にわたり消費者向け信用情報機関への運転データ販売を停止し、運転者が明示的に保持を許可しない限り、既存の運転データを180日以内に削除し、収集慣行を評価して漏えいリスクを低減するためのプライバシー・プログラムを構築することにも同意した。

これらの条項は、規制当局が罰金を超えて業務上の制約を見ていることを示している。一回限りの罰金は、事業コストとして処理できる。将来の収益化の制限、削除の義務付け、内部コンプライアンス・プログラムは、企業のデータ事業の運営方法そのものにより深く踏み込む。

コネクテッド製品の監視能力が拡大する中で、このアプローチは今後さらに一般的になるかもしれない。車、スマートフォン、家庭用機器、ウェアラブルはすべて行動データの流れを生み出し、そのデータは消費者が何を収集されているのか完全に理解する前に商業価値を持ちうる。