- フロリダ在住のRomeo Chiccoは、Cadillac XT6購入後の運転データが同意なく収集・送信され、保険審査に使われたとして、GM、OnStar、LexisNexis Risk Solutionsを相手取り集団訴訟を提起
- 請求の核心は、LexisNexisによるFair Credit Reporting Act違反、GM・OnStarによるFlorida Deceptive and Unfair Trade Practices Act違反、フロリダ州コモンロー上のプライバシー侵害
- 原告は、購入契約書やOnStarの案内でデータ共有やOnStar Smart Driverへの別途加入を認識しておらず、同プログラムに同意したこともないと主張
- 2024年1月に受け取ったLexisNexisの消費者開示報告書には、Telematics項目として258件の運転イベントがあり、走行時間・加速・急ブレーキ・高速イベント・距離・VINなどが含まれていた
- 保険加入の拒否と保険料の急騰が本件の直接被害として示され、原告は、運転イベントの定義・算定方法・文脈がないまま否定的な情報が使われたと争っている
訴訟の基本構図
- Romeo Chiccoは、自身と同様の立場にある人々を代表して集団訴訟を提起
- 被告は3法人
- General Motors LLC
- OnStar LLC
- LexisNexis Risk Solutions Inc.
- 請求根拠は次の3つ
- Fair Credit Reporting Act, 15 U.S.C. § 1681以下
- Florida Deceptive and Unfair Trade Practices Act, Fla. Stat. § 501.201以下
- フロリダ州コモンロー上のプライバシー侵害
- 原告は、不正確または否定的な運転情報が自身の認識と同意なく報告され、データの移転と開示がプライバシー侵害に当たると主張
- 被告らの行為により損害と重大な精神的苦痛を被ったとの主張も含まれる
管轄と当事者
- 事件は米国フロリダ南部地区連邦地方裁判所に提起
- 連邦法違反を理由に連邦問題管轄が適用され、州法上の請求は補充的管轄に基づく
- 原告はフロリダ州Palm Beach County在住の自然人で、FCRA上のconsumerに当たると主張
- GMとOnStarはフロリダで事業を行う法人
- LexisNexisはフロリダで事業を行うグローバルなデータ・分析企業として示されている
- 訴状では、GMとOnStarは消費者報告機関に情報を提供するfurnisher、LexisNexisはFCRA上のconsumer reporting agencyと位置付けられている
Cadillac購入とOnStar案内
- 原告は2021年11月16日ごろ、フロリダ州Delray BeachのEd Morse Cadillacで2021年型Cadillac XT6を新車で購入
- 購入契約書には販売の詳細項目があったが、原告は次の項目はなかったと主張
- OnStar
- LexisNexis
- データ共有
- 個人情報関連項目
- ディーラーシップ関係者は、OnStar Smart Driverは「店舗で販売するもの」ではなく、OnStarはデータ共有プログラムに誰がいつ加入したかをディーラーに開示しないと述べたと、原告は主張
- 購入直後、原告はモバイル端末にMyCadillac Applicationをダウンロード
- 2021年11月18日には、Cadillac Connected Servicesの体験利用とSafety & Security保証が開始されたというメールを受信
- メールでは青いOnStarボタンを押してWelcome Callを開始するよう案内
- 含まれる項目はConnected Navigation、OnStar Safety & Security、Remote Access、In-Vehicle Dataだった
- 原告はOnStarサービスを望まず、青いボタンを押さず、メールにもOnStar Smart Driver Programへの言及はなかったと主張
- その後OnStarの診断メールを受け取ったが、原告はこれをMyCadillacアプリで提供される機能だと理解していたと主張
- 請求書にはOnStar関連サービスの購入や支払いは含まれていなかったと主張
Smart Driver同意の争点
- 2024年2月ごろ、ディーラーシップは原告にOnStar Smart Driver FAQを提供
- FAQの関連部分では、OnStarは顧客の同意なしに運転行動データを収集しないと説明
- FAQによれば、顧客は基本のOnStarサービスとは別にOnStar Smart Driverへ加入する必要があり、Smart Driverに対する別個の同意が必要
- 同意および加入後、車両性能に応じて収集され得るデータは次のとおり
- 急ブレーキイベント
- 急加速イベント
- 時速80マイル超の速度
- 平均速度
- 深夜運転
- 走行が発生した時点
- 走行距離
- 2024年3月12日時点で、GMのオンラインCadillac Owner Centerにある原告のVehicle Profileには、車両がアカウントに接続されていないと表示されていた
保険拒否とLexisNexis報告書
- 原告は2021年、2022年、2023年の大半の期間、同じ保険会社を利用しており、その保険会社は保険を繰り返し更新していた
- 2023年12月ごろ、既存の保険会社はフロリダ州居住者に対して今後は保険を提供しないと原告に通知
- 2023年12月18日ごろ、原告は複数の保険会社のオンラインサービスを通じて保険加入を試みたが、各社が申込みを拒否
- 原告がLiberty Mutualに電話して拒否理由を尋ねると、担当者は原告のLexisNexis報告書の情報が理由だと説明し、報告書へのアクセス方法を案内したと主張
- 原告はLexisNexis報告書を請求し、消費者開示資料を受け取るまで2〜3週間かかったと主張
- その間、地域の保険代理店と連絡を取り保険会社を探したが、保険料はほぼ2倍になったと主張
- 原告はこの過程で大きな挫折感と衝撃を受けたと述べている
Telematics記録の内容と限界
- 2024年1月ごろ、原告が受け取ったLexisNexisの消費者開示報告書には、2023年12月18日時点のTelematicsサブ項目として258件の運転イベントが記録されていた
- 各運転イベントには次の詳細情報が含まれる
- 走行開始日と終了日
- 開始時刻と終了時刻
- 加速イベント
- 急ブレーキイベント
- 高速イベント
- 距離
- VIN
- 原告は、報告書が運転イベントに関する文脈を提供していないと主張
- 例えば特定の記録には加速イベント2件と急ブレーキイベント1件が表示されていたが、それらの用語の定義や算定方法は報告書になかったと主張
- 報告書は、原告がなぜそのようなイベントを経験したのか、その時の走行条件や外的要因が何だったのかも説明していないと主張
LexisNexis・GM・OnStarとの通話
- 2024年1月11日、原告はLexisNexisに電話し、同意なく運転データが収集された理由を質問
- LexisNexisは原告にGMへ電話するよう案内したと主張
- 同日、原告がGMに電話すると、GMはテレマティクスデータがOnStar経由で送信されると説明したと主張
- 原告がOnStarに加入したことはないと述べると、GM担当者は原告の車両にOnStarプランが紐付いていると確認し、OnStar担当者へつないだと主張
- OnStar担当者は、テレマティクスデータが保険会社へ渡る唯一の方法は、原告が保険会社を通じて安全運転割引プログラムにオプトインした場合だと述べたと主張
- 原告は、そのような保険プログラムにオプトインしたことはないと主張
- その後、別のOnStar担当者とも通話したが、誰もOnStarがなぜ同意なくテレマティクス情報を配布したのか説明できなかったと主張
1件のコメント
Hacker Newsの意見
訴状によると、原告は OnStarサービスを望んでいなかったため、「開始するには」青いボタンを押しておらず、メールにもOnStarのSmart Driver Programへの言及はなかった。
ところが、2024年1月ごろに受け取ったLexisNexisの消費者開示レポートには、2023年12月18日時点で「Telematics」項目の下に 258件の運転イベントが記録されており、各イベントには開始/終了日時、急加速、急ブレーキ、高速走行、距離、VINが含まれていた。
原告は、自身の情報共有を許可するいかなる保険プログラムにも加入したことがなかった。
関連記事: “Automakers are sharing consumers' driving behavior with insurance companies” - https://news.ycombinator.com/item?id=39666976
最近約5年以内に製造された車を持っているなら、LexisNexisの「Consumer Disclosure Report」をここから請求できる: https://consumer.risk.lexisnexis.com/
NYTによると、LexisNexisはGM、Ford、Kia、Subaru、Mitsubishiから一部のデータを受け取っているという。
VeriskもGM、Hyundai、Hondaなどからデータを受け取っており、ここから請求できる: https://fcra.verisk.com/#/
そのスレッドはフロントページに3時間しか残らなかったので、今回のスレッドが再度上がってくる価値はある。
GMはすべての テレマティクスデータを、100Gbps規模で処理する大型データクラスタへ送っており、Ciscoが400Gbps対応を出せばデータ量も倍になる予定だった。
もともとの目的は中古車価格の算定を助けることで、それ自体は悪くない趣旨だと思って支持していたが、保険ブローカーに売られているとは知らなかったし、実際には予想すべきだった。
いまやパンドラの箱は開いており、この機能を元に戻すことはないだろう。罰金を払い、一部ユーザーにオプトアウトを提供するだろうが、実際に選ぶ人は5%程度で、10年後には保険会社が運転習慣を監視するのが当然視されるようになるだろう。
リアルタイム位置データ販売の騒動から10年が経ったが、昨夜も自宅のIPアドレスが私の位置を0.25マイルの精度で報告しているのを見た。Verizonから受け取った5ドルの小切手が、その罰金だったのだろう。
こういう業者は、影の中で忘れられたまま運営されることに慣れているはずなので、より多くの人がレポートを請求するだけでも、人々が見ているという小さなシグナルになり得る。
追加機能や月額サブスクを使っていないのに、自分の車から何か報告されているのか非常に気になる。
LexisNexisがこうしたデータを収集しているのが本当に嫌だったり、信用状況を継続的に確認したかったりするなら、毎日郵送レポートを請求するスクリプトを走らせてはいけない理由があるのだろうか。郵便1通あたりの費用がいくらかは知らないが、365通なら安くはないはずだ。
訴えの内容は大きく3つある。原告の運転データを同意なく不適切に共有・報告し、自動車保険への加入能力と保険料に影響を与えたという **公正信用報告法(FCRA)**違反、車の所有者が知らず同意もしていない状態で個人の運転データを共有したというFlorida Deceptive and Unfair Trade Practices Act違反、同意のない追跡・収集・共有がプライバシーを侵害し不快感を与えるというFlorida州コモンロー上の プライバシー侵害。
今後数年で、データブローカーたちが――実質的にはほぼすべての大企業まで含めて――どれほど不快なことをしていたのかが、たくさん明らかになるだろう。
どこかでミスがあって個人番号が渡って以来、スパム電話が来るたびに情報源を言えと求めている。最初は「当社のデータチーム」とごまかすが、問い続けると教えてくれる。
こうした データ取引会社は本当に吐き気がする。
セルラー経由の追跡は決して止まらないのに、緊急時にサブスク料金を払っていなければ、代わりに救急サービスを呼んではくれない。
結局、あなたのデータのほうがあなた自身より重要だということ。
何年も政府機関の標的にされたことがあり、技術知識もあるので、こうしたプライバシー侵害と統制が実際にどう使われるのかを見てきた。テクノロジーやインターネットがなければ不可能だったことも多い。
携帯電話を手放す程度より、はるかに大きな問題だ。文字どおり監視国家であり、都市がコンクリートの刑務所のように変わった場所を離れて郊外へ行っても、家々には玄関カメラがあり、法執行機関がアクセスできる。
こうしたものを悪用し、特定の人に対して武器化するのに、裁判所命令や令状が必ず必要というわけでもない。適切な人物とそれらしい筋書きさえあれば、企業は顧客に対してもありとあらゆることをする。
SIMカードを抜き、緊急サービスまで何とか無効化しても、携帯電話はなお信号を発し、複数のスキャナーがそれを収集する。
こうしたことが大規模に起きているという事実さえ受け入れる人はほとんどおらず、その含意をきちんと考えられる人はさらに少ない。一般の人々は、このすべての帰結をもっとよく知るべきだ。
かなり効く。
GMは今後、自分から金を受け取らないよう本当に一生懸命努力しているように見える。
新しいEVからCarPlayとAndroid Auto対応を外したと思ったら、今度はこれだ。ただただうんざり。
刺激のないプラスチックの箱を量産し、顧客から小銭を搾り取り続けようとしている。個人的には、海外メーカーのほうが完全に先を行っている。
自動車業界の家庭で育ち、Big 3への忠誠心は強かったが、今ではそれらの車を避けるようになった。長く走ることはできても、あちこち壊れ始める。
この小さな機能ひとつが、世界中の駐車場で数え切れない混乱を生んできた。
[https://www.reddit.com/r/cars/comments/rshlke/why_do_gm_vehi...](https://www.reddit.com/r/cars/comments/rshlke/why_do_gm_vehicles_have_their_reverse_lights_stay/)
ほとんどのブランドは昔の抜け殻だけが残っており、特にCadillacがそうだし、最後に気に入ったChevyを見たのがいつだったか思い出せない。
財布で投票すべきだ。許可なく自分のデータを持っていくなら、自分との取引も失うということ。
日本車、ドイツ車、ある程度は韓国車もずっと良いし、ピックアップトラックが欲しいならFordのほうがはるかに良い。
テレマティクスは無効化すべきで、可能ならモデムチップの電源入力を物理的に遮断するのがよい。
陰謀論者と呼んでもいいが、23andMeが保険会社に買収される時のことを考えると、明確なオプトインなしに一方のデータが他方へ渡る場合、保険加入の可否に関する問題が生じるという点で似たところが多い。
DCSというヒューズがある。GMから受け取ったメールによると、OnStar Smart Driverの加入者はデータ共有を拒否できないという。
これは少なくともCaliforniaのプライバシー規則、おそらく他州の法律にも違反していると思う。これらの規則はオプトアウトを義務づけている。本気で車からモデムを引き抜きたい。
特に「Do Not Sell or Share My Personal Information」リンクは義務だ。
https://oag.ca.gov/privacy/ccpa#sectionh
https://oag.ca.gov/contact/consumer-complaint-against-busine...
個人情報を収集して保存するコストは、途方もなく高くなるべきだ。
LexisNexisは自分たちが何をしているのかを正確に分かっていたし、おそらくすでに製品コストに訴訟費用まで織り込んでいたはずだ。
Experianは、あれほど多くのデータを流出させた時点で、会社が消えるほどの罰金を科されるべきだった。その葬送の炎が、同じ道を進む企業への警告になったはずだ。
一般データにもHIPAAのような法律があればいいのに。
最近トヨタを買った理由の一つは、購入直後に車内の 「SOS」ボタンを押して、テレマティクスをオフにしてほしいと依頼できたからです。
実際に位置情報の収集が止まったのか、あるいは後から勝手に再びオンにできるのかは分からなかったので、送信機に電源を供給するヒューズも抜きました。念のため、一部の部品をファラデーケージで覆うことも検討中です。
新車を選ぶとき、車が自分を監視できないようにできるかどうかは、欲しい機能リストのほぼ最上位にありました。これが電気自動車をまた買えない大きな理由の一つです。
私の住んでいる地域の市場には、常時監視しない、またはオフにできる選択肢のある車はないと理解しています。
Mozilla のこの記事も読む価値があります: https://foundation.mozilla.org/en/privacynotincluded/article...
ガソリンの代わりにバッテリーが入っただけの「スマートでない」車が欲しいだけです。
知人が Mitsubishi の電動ミニバンの日本モデルを持っていますが、これまで見た中では完璧な「スマートでない電気自動車」に最も近いです。走りも素晴らしいです。ただし、寒く雪の多い地域では重要な 4x4 モデルをまだ作っていません。
Massachusetts で販売される車両は、州の「修理する権利」法への抗議としてデフォルトで無効化されており、他の地域では自分でオフにできます。
トヨタが露骨に嘘をついているのでなければ、私は opt-out できていると比較的信じていました。確かめるには自分の情報を請求してみる必要がありそうです。
Mozilla の資料や自動車フォーラムで、プライバシー問題とテレマティクスのオン/オフ可否について読んでみましたが、実際に収集が止まるのかは結論が出ていません。
物理的にどのヒューズを抜いたのか、参考にしたリンクがあるのか気になります。
それを外せばテレマティクスをなくせます。それでも私は 24 年ものの Lexus に乗り続けるつもりです。
プライバシー権利章典が必要です。
実際、他のアプローチは通用しません。