「走る監視装置」化するコネクテッドカー——GM20億円罰金が露呈した、IoTデバイスにおける「データ主権」の構造的欠陥

2026年5月、カリフォルニア州司法長官事務所がゼネラルモーターズ(GM)に対し、1275万ドル(約20億円)の罰金支払いを命じる和解を発表した。問題となったのは、コネクテッドカーから収集された運転データが、ドライバーの明確な同意なくデータブローカーに販売されていた事実だ。

この事案が投げかけるのは、単なる企業倫理の問題ではない。常時インターネットに接続される「IoTデバイス」が社会インフラ化する時代において、「誰がデータを所有し、誰が利益を得るのか」というデータ主権の構造的欠陥が、ついに法的制裁という形で可視化されたのである。

コネクテッドカーが生み出す「第二の経済」

現代のコネクテッドカーは、単なる移動手段ではなく、高度なセンサーネットワークである。加速度、ブレーキ頻度、位置情報、速度変化、急ハンドルの頻度——これらのデータは1秒間に数百のデータポイントとして記録され、クラウドに送信される。

問題の本質は、この膨大なデータが「第二の経済」を生み出している点にある。自動車メーカーは車両販売による収益に加え、運転行動データを保険会社やデータブローカーに販売することで、継続的な収益源を確保していた。ある試算では、1台の車両から生成されるデータの市場価値は年間数万円に達するとされる。

GMのケースでは、このデータが保険会社に渡り、ドライバーの保険料算定に利用されていた可能性が指摘されている。つまり、ユーザーが知らない間に自分の運転データが収益化され、さらにはその情報が自身の不利益(保険料上昇)につながるという、二重の搾取構造が存在していたのだ。

「オプトイン」の幻想——同意取得プロセスの形骸化

GMは「ユーザーの同意を得ていた」と主張していたが、カリフォルニア州は「明確な同意(explicit consent)」が欠如していたと判断した。ここに、現代のIoTデバイスが抱える根本的な問題がある。

多くのコネクテッドデバイスでは、初期設定時に表示される数十ページに及ぶ利用規約の中に、データ収集と第三者提供に関する条項が埋め込まれている。ユーザーの大半は内容を精読せず「同意する」ボタンを押す。これは法的には「同意」だが、実質的には情報の非対称性を利用した一方的なデータ収奪に他ならない。

さらに問題なのは、多くの場合、データ収集を拒否すると車両の基本機能(ナビゲーション、緊急通報システムなど)が利用できなくなる設計になっている点だ。これは「同意の自由」を実質的に奪う、強制的オプトインといえる。

IoTデバイスの「データ主権」問題——所有と管理の分離

この問題は自動車に限らない。スマートホーム機器、ウェアラブルデバイス、医療IoT機器——私たちが「所有」するあらゆるデバイスが、実は継続的にデータを生成し、それを製造企業が管理・収益化している。

従来の製品経済では、購入した時点で所有権がユーザーに移転した。しかしIoT経済では、物理的なデバイスは購入できても、そこから生成されるデータの所有権は曖昧なままだ。「データは誰のものか」という問いに対し、明確な法的枠組みが存在しないのである。

欧州のGDPR(一般データ保護規則)は「データポータビリティの権利」を定め、ユーザーが自分のデータを管理・移転できる権利を保障している。しかし、データの「所有権」そのものについては、依然として議論が続いている。今回のGMの事案は、米国においてもこの問題に法的メスが入り始めたことを示す重要な転換点といえる。