General Motors(GM)が自社のコネクテッドサービス「OnStar」を通じて収集した顧客の走行データを、ユーザーの同意なくデータブローカーへ販売していた問題で、カリフォルニア州との間で1,275万ドル(約19億円)の民事制裁金支払いに合意したことをEngadgetが報じた。同州司法長官ロブ・ボンタ氏が主導した訴訟の決着であり、2024年にThe New York Timesが暴いた一連のスキャンダルに区切りがついた形だ。
何が問題だったのか——OnStarデータの知られざる流れ
OnStarはGMが提供するコネクテッドカーサービスで、緊急通報・車両診断・盗難追跡などの機能を持つ。問題となったのは、このサービスを通じてGMが収集していた顧客データだ。
Engadgetの報道によれば、GMが収集・販売したデータには以下が含まれる:
- 氏名・連絡先情報
- 位置情報(ジオロケーション)
- 運転行動データ(急加速・急ブレーキ・速度超過などのパターン)
このデータはVerisk AnalyticsとLexisNexis Risk Solutionsという2社のデータブローカーへ販売され、さらに自動車保険会社へ転売された。保険会社はこの走行スコアをもとに保険料を引き上げることができる構造だった。
和解の主な内容
カリフォルニア州との和解で定められた条件は以下の通り:
- 1,275万ドルの民事制裁金支払い
- 5年間、消費者情報機関(Consumer Reporting Agency)への走行データ販売を禁止
- 180日以内に保有する走行データを削除(顧客の明示的な同意がある場合を除く)
- OnStar経由のデータ収集リスクを評価するプライバシープログラムの策定および司法省等への報告義務
なお、カリフォルニア州では保険会社が走行データを保険料算定に使用することを法律で禁じているため、同州の消費者は直接的な保険料引き上げ被害を免れていた可能性が高い。それでも、無断でのデータ販売自体がプライバシー侵害に当たるとして訴訟が提起された。今回のカリフォルニア州との和解に先立ち、GMはすでにFTCとの和解も成立させており、複数の法的決着が相次いでいる。
日本市場での注目点
日本ではGM車の販売台数は限定的だが、コネクテッドカー全般のデータ取り扱いという観点では日本市場も無縁ではない。
トヨタ・ホンダ・日産をはじめとする国内メーカーも、コネクティッドサービスを通じて膨大な走行データを収集している。日本では改正個人情報保護法が適用されるが、「第三者提供への同意」の取り方や、サービス利用規約の奥深くに埋め込まれた同意条項の問題は日本も例外ではない。2022年施行の改正個人情報保護法では「個人関連情報」の第三者提供規制が強化されており、今回のGMのケースは、コネクテッドカーのデータガバナンスがいかに重要かを示す教科書的な事例となりそうだ。
筆者の見解
今回のGM事件が示すのは、「データを集められるからといって、集めた全てを好き放題に活用してよい時代は終わった」という現実だ。
車の走行データは、どこへ行ったか・いつ行ったか・どんな運転をするかという、生活様式そのものを映し出す。このデータが保険料や信用評価に直結するとなれば、ユーザーが「知らないうちに評価されていた」という状況は看過できない。
問いたいのは、データの最小化原則(Data Minimization)を最初から設計に組み込んでいたかという点だ。カリフォルニア州司法長官ボンタ氏は和解声明で「データ最小化の重要性」を強調しているが、これはシステム設計段階からの根本的な問題でもある。「データは資産」という発想が優先されるあまり、ユーザーのプライバシーを後回しにしたビジネスモデルは、長期的には信頼を失い重大な法的リスクを抱えることになる。約19億円の制裁金は、そのコストの一端に過ぎない。
日本の自動車・IT業界も、コネクテッドカー時代の「データ倫理」を本格的に議論すべきタイミングに来ている。利用規約に同意させれば何でも許されるという発想から、「そもそも集める必要があるか」「集めた後どう守るか」を問い直す文化へのシフトが求められる。
出典: この記事は GM agrees to pay $12.75 million to settle California lawsuit over misuse of customers’ driving data の内容をもとに、筆者の見解を加えて独自に執筆したものです。