カリフォルニア州司法長官 **Rob Bonta** は、**General Motors (GM)** との1275万ドルの和解合意を発表しました。これは、同社が**カリフォルニア消費者プライバシー法 (CCPA)** に違反したとの疑惑によるものです。 ### データ収集と販売 今回の違反は、同自動車メーカーが2020年から2024年の間に、カリフォルニア州居住者の運転データおよび位置情報を、データブローカーである **Verisk Analytics** および **LexisNexis Risk Solutions** に違法に収集・販売したという告発に端を発しています。 この調査は2024年に開始され、**GM** を含む自動車メーカーが運転者行動データを保険会社と共有しているというメディア報道がきっかけとなりました。 データは、**GM** の子会社である **OnStar** およびその「Smart Driver」システムを通じて収集されたと報告されており、保険に関連するドライバー・スコアリング製品を目的としていました。 ### 過去のFTCによる調査 GMC、Cadillac、Chevrolet、Buick などのブランドを所有する **GM** は、以前にも同様のデータ収集慣行について**米国連邦取引委員会 (FTC)** から批判を受けていました。**FTC** は **GM** に対して、ドライバーの位置データの販売を5年間禁止していました。 カリフォルニア当局は、**GM** がこれらのデータ収集について消費者に適切に通知せず、同意を得ていなかったと述べています。さらに、同社はデータを必要以上に長く保持し、販売のために再利用して全米で2000万ドルを生成したとされています。 ### 公式声明 「**General Motors** は、カリフォルニア州のドライバーにそのようにしないと保証する多数の声明にもかかわらず、ドライバーのデータを彼らの知識や同意なしに販売しました」と司法長官 **Rob Bonta** は述べています。 「この情報の宝庫には、カリフォルニア住民の日常的な習慣や移動を特定できる、正確で個人的な位置情報が含まれていました。」 ### 記録的な罰金とデータ最小化 1275万ドルの民事罰金は、カリフォルニア州の歴史における記録的なものであり、データ最小化規則に焦点を当てた初の執行措置となります。 ### 和解条件 罰金に加えて、**GM** は以下の義務を負います。 * 消費者報告機関およびブローカーへの運転データの販売を5年間停止する。 * 消費者が保持に明示的に同意しない限り、保持している運転データを180日以内に削除する。 * **LexisNexis** および **Verisk** に、以前受け取ったデータの削除を要求する。 * より堅牢なプライバシーコンプライアンスプログラムを実装し、規制当局に定期的な評価を提出する。 当局は、州法により保険会社が運転データを使用して保険料を設定することを禁止しているため、カリフォルニア州のドライバーが **GM** のデータ販売によって保険料が高くなる可能性は低いと説明しました。 BleepingComputer は **GM** にコメントを求めましたが、掲載時点では回答を得られていません。 ### GMの回答 更新 5/12 - **GM** の広報担当者は BleepingComputer に以下のコメントを送りました。 「この合意は、当社が2024年に廃止した製品である Smart Driver に関連するものであり、プライバシー慣行を強化するために当社が講じた措置を裏付けるものです。車両の接続性は、現代的で安全な運転体験の中心であるため、当社は顧客に対して当社の慣行、および情報に対する選択肢と管理について、明確かつ透明性をもって伝えることにコミットしています。」  ## [Mythos が発見したものの 99% は未修正のままです。](https://hubs.li/Q04crVgD0) AI は 4 つの zero-day を 1 つのエクスプロイトにチェーンし、レンダラーと OS のサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が押し寄せます。 Autonomous Validation Summit (5月12日および14日) で、自律的でコンテキストリッチな検証が、悪用可能なものをどのように発見し、管理が機能していることを証明し、修正ループを閉じるかをご覧ください。 [参加登録はこちら](https://hubs.li/Q04crVgD0)