カリフォルニア州司法長官のロブ・ボンテ氏は、ゼネラル・モーターズ(GM)がカリフォルニア州プライバシー法(CCPA)に違反した疑いで同社と1275万ドルの和解金を支払うと発表した。
この違反は、自動車メーカーが2020年から2024年にかけてカリフォルニア州の運転および位置データを違法に収集し、データブローカーのベリスク・アナリティクスとレクシスネクシス・リスク・ソリューションズに販売したという申し立てに端を発している。
この行為に関する調査は、GMを含む自動車メーカーがドライバーの行動を保険会社と共有しているというメディアの報道を受けて、2024年に開始された。
このデータはGMの子会社であるオンスターと同社の「スマートドライバー」システムを通じて収集されたとされており、保険関連のドライバースコアリング製品を目的としていたと伝えられている。
GMC、キャデラック、シボレー、ビュイックのブランドを所有する米国の自動車メーカーは、以前にこの違法なデータ収集で米連邦取引委員会(FTC)から批判されており、政府機関はGMによるドライバーデータの販売を5年間禁止していた。
カリフォルニア州当局は、GMが消費者に適切に通知することも、このデータ収集について消費者から同意を得ることもせず、データを必要以上に長期間保持し、さらには販売目的で転用し、全米で2000万ドルの利益を得たと主張した。
ロブ・ボンタ司法長官は、「ゼネラル・モーターズはカリフォルニア州のドライバーのデータを本人の認識も同意もなく、またドライバーにそうしないと何度も保証したにもかかわらず、データを販売した」と述べた。
「この豊富な情報には、カリフォルニア人の日常的な習慣や動きを特定できる正確な個人的な位置データが含まれていました。」
1,275万ドルの民事罰金は州史上の記録であり、データ最小化規則に焦点を当てた執行措置の最初のケースである。
罰金に加えて、GM には次のことも求められます。
- 消費者報告機関やブローカーへの運転データの販売を5年間停止する。
- 消費者が保持に特に同意しない限り、保存された運転データは 180 日以内に削除してください。
- LexisNexis と Verisk に、以前に受け取ったデータを削除するよう依頼してください。
- より強力なプライバシー コンプライアンス プログラムを実施し、定期的な評価を規制当局に提出します。
当局者らは、保険会社が運転データを利用して料金を設定することを禁じている州法のおかげで、カリフォルニア州のドライバーはGMのデータ販売によって保険料の上昇に直面することはなかった可能性が高いと述べた。
BleepingComputerはカリフォルニア州の発表についてGMにコメントを求めたが、本記事の執筆時点までに返答は得られていない。
人工知能は、プロセッサとオペレーティング システムのサンドボックスの両方をバイパスする 4 つのゼロデイを 1 つのエクスプロイトに連鎖させました。新しいエクスプロイトの波が来ています。
Autonomous Verification Summit (5 月 12 日と 14 日) では、コンテキスト豊富な自律検証がどのようにエクスプロイトを発見し、制御が行われていることを証明し、修復ループを閉じるかをご覧ください。
自分の場所を主張しましょう
