ゼネラルモーターズは、カリフォルニア州の数十万人の運転者の運転データをデータブローカーに販売した件で、カリフォルニア消費者プライバシー法(CCPA)違反の民事罰金として1275万ドルを支払うことで和解した。この和解は、CCPA違反としては過去最高額である。同社は、運転者の同意なしにデータを販売していたとされる。
この和解は、カリフォルニア州司法長官ロブ・ボンタ氏、複数郡の地方検事、およびプライバシー法を施行するカリフォルニアプライバシー保護機関による調査に端を発する。調査によると、ゼネラルモーターズは緊急ロードサイドおよびナビゲーションサービス「OnStar」の有料ドライバーを誤解させ、2020年から2024年の間に彼らのデータ不法販売から約2000万ドルの収益を得た。販売された情報には、氏名、位置情報、運転行動、連絡先情報が含まれ、LexisNexis Risk SolutionsおよびVerisk Analyticsといったデータブローカーに渡っていたとボンタ氏は述べた。ボンタ氏は「この大量の情報には、カリフォルニア州民の日常的な習慣や動きを特定できる正確で個人的な位置情報が含まれていた」と説明した。
和解には、ゼネラルモーターズが今後5年間、消費者信用情報機関へのデータ販売を停止し、州にプライバシー評価書を提出するなどの規定も含まれている。これに先立ち、今年初めには連邦取引委員会とゼネラルモーターズの間で類似の合意が成立している。また、過去14ヶ月間には、ホンダとフォードもプライバシー法違反でカリフォルニア州と和解している。カリフォルニア州によるゼネラルモーターズの調査は、2024年のニューヨーク・タイムズ紙の調査を受けて開始されたもので、同調査ではゼネラルモーターズが全国の数百万人の運転者からデータを収集し、保険会社に販売して高い保険料を請求させていたことが判明した。カリフォルニア州法により保険会社が運転データを用いて保険料を設定することは禁止されているため、これらの保険料引き上げはカリフォルニア州民には影響しなかったとボンタ氏は述べた。
ロサンゼルス地方検事ネイサン・ホックマン氏は、この件は、ある消費者が自分に関するデータ報告書で位置データを発見したことが発端となり、ジャーナリスト、検察官、規制当局による調査につながったと述べている。同氏は「このケースは、一人の消費者が大きな違いを生み出せることを何よりも示している」と語った。ゼネラルモーターズの広報担当シャーロット・マッコイ氏は、「この合意は、2024年に中止した製品であるSmart Driverに関するものであり、当社がプライバシー慣行を強化するために講じた措置を補強するものです」との声明を発表した。カリフォルニア州民は、8月1日から、州に登録された500以上のデータブローカーに対して、オンラインツール「Delete Request and Opt-out Platform(DROP)」を使用してデータ削除や共有停止の要求ができる新たな保護措置が講じられる。
出典: calmatters.org: GM just paid a record penalty for breaking California privacy law
