GMのカリフォルニア州プライバシー和解でコネクテッドカーのデータ販売が仕切り直しに

カリフォルニアがコネクテッドカーのプライバシーに新たな試練を課す

ゼネラル・モーターズは、運転データの収集と販売をめぐり、カリフォルニア州の法執行機関と1275万ドルの和解に合意した。これは、同意とデータ利用がずれたとき、コネクテッドカー事業がより厳しい制約に直面することを示す、州レベルで最も明確なシグナルの一つである。この訴訟は、GMがOnStarプログラムを通じて、十分な顧客の認識や許可なしに、何十万人ものカリフォルニア州民の個人情報や行動情報をデータブローカーに販売したとされる点に केंद्रを置いている。

カリフォルニア州司法長官ロブ・ボンタの事務所が発表したこの和解は、金銭的な罰則にとどまらない。GMはまた、消費者報告機関への運転データ販売を5年間停止し、顧客の同意を得ない限り保有する運転者データを180日以内に削除し、LexisNexis Risk SolutionsとVerisk Analyticsにも受領したデータの削除を求めることに同意した。実質的には、これは単なる罰金ではない。規制当局が、主張されている形では存在すべきでなかったというデータ共有パイプラインを、命じて解体させるものだ。

カリフォルニアが何が起きたと述べているのか

提供された原文で引用されている和解の説明によると、GMはOnStarを通じて収集した氏名、連絡先情報、位置情報、運転行動データを販売した。カリフォルニア州は、同社がそれらの販売でおよそ2000万ドルを得たと主張している。問題の核心は、情報が企業間を流れたことだけではなく、消費者に十分に知らされず、かつ重大な影響を及ぼし得る二次利用に同意していなかったことにある。

ここでは政治的・規制上の背景が重要だ。2024年の報道ですでに、自動車メーカーが運転行動情報を保険関連のエコシステムと共有していることに全国的な注目が集まり、テレマティクスデータが価格設定やリスクスコアリングに使われるのではないかという懸念が高まっていた。カリフォルニアでは、ボンタの事務所は、州法が保険会社による運転データの保険料設定利用を禁じているため、問題のデータが保険料を引き上げなかった可能性が高いと述べた。それでも州の立場は、販売そのものがプライバシー期待とカリフォルニア州のデータ最小化ルールに違反していたというものだ。

この区別は重要だ。プライバシー侵害が重大な執行問題になるのに、実際に保険料上昇という測定可能な結果を生じさせる必要はない。規制当局はますます、企業が必要以上のデータを集めていないか、必要以上に保持していないか、あるいは消費者が合理的に予期しない形で再利用していないかに注目している。GMの和解はまさにその枠組みに当てはまる。