遺伝子検査サービス大手「23andMe」(現Chrome Holding Co.)が、2023年に発生した大規模なデータ漏洩事件を巡り、カリフォルニア州から提訴されました。この事件では、約700万人ものユーザーの機密性の高い遺伝子情報や個人データが危険に晒され、企業が顧客の情報を適切に保護する責任が改めて問われています。
カリフォルニア州のロブ・ボンタ司法長官は、同社がサイバー攻撃に対する十分な対策を怠り、さらに情報漏洩の事実を顧客に適切に伝えなかったと指摘しています。遺伝子情報という極めてデリケートなデータを扱う企業にとって、今回の訴訟は、セキュリティ対策の甘さがもたらす深刻な影響と、その企業責任の重さを浮き彫りにしています。
23andMeデータ漏洩事件の経緯と影響範囲
2023年、遺伝子検査サービスを提供する23andMeは、同社のシステムがサイバー攻撃を受け、大規模なデータ漏洩が発生したことを認めました。この事件により、約700万人のユーザーの個人情報が不正にアクセスされ、そのうち85万5,541人がカリフォルニア州の居住者であったと報じられています。
漏洩したデータには、ユーザーの氏名、生年月日、遺伝的健康リスク、遺伝的素因、生物学的親族、祖先や民族性に関する情報など、極めて機密性の高い遺伝子データが含まれていました。これらの情報は、個人のアイデンティティに深く関わるだけでなく、差別や悪用につながる可能性も孕んでいます。特に遺伝子データは、一度漏洩すれば変更が不可能であり、ユーザーだけでなくその家族にも影響を及ぼす可能性があるため、通常の個人情報以上に厳重な保護が求められます。
カリフォルニア州司法長官のロブ・ボンタ氏は、23andMeが顧客の「機密性の高い個人情報および健康、遺伝的素因、リスク因子、生物学的親族、祖先、民族性に関する遺伝子データ」を保護する義務を怠ったと強く非難しています。
カリフォルニア州の提訴理由とセキュリティ対策の不備
カリフォルニア州が23andMeを提訴した主な理由は、同社のセキュリティ対策の不備と、データ漏洩後の対応における不透明性にあるとされています。ボンタ司法長官は、特に以下の点を問題視しています。
クレデンシャルスタッフィングへの対策不足
攻撃者は、「クレデンシャルスタッフィング」と呼ばれる手法を用いてユーザーアカウントに不正アクセスしました。これは、他のウェブサイトから流出したIDとパスワードの組み合わせを試行し、同じパスワードを使い回しているユーザーのアカウントに侵入するサイバー攻撃の常套手段です。23andMeは、遺伝子データという機密情報を扱う企業であるにもかかわらず、このような一般的な攻撃手法に対する十分な防御策を講じていなかったと指摘されています。
さらに、23andMeはかつて提携していた別の系図ウェブサイト「MyHeritage」で過去に発生したデータ漏洩について認識していたにもかかわらず、ユーザーがパスワードを使い回すことを阻止する措置を講じなかったとされています。23andMeがユーザーにMyHeritageアカウントの作成を推奨していたこともあり、この対策の欠如は特に看過できない点として挙げられています。
DNA Relatives機能の脆弱性悪用
攻撃者は、クレデンシャルスタッフィングによって約14,000のアカウントに侵入した後、同社の「DNA Relatives」機能の脆弱性を悪用し、さらに多くの顧客データにアクセスしました。この機能は、ユーザーが遺伝的に関連のある人物を特定するためのものですが、その設計上の欠陥が大規模な情報流出を招いたとされています。
企業対応の遅れと情報の軽視
ボンタ司法長官は、23andMeのセキュリティ対策が非常に緩慢であったため、ハッカーがシステム内で5ヶ月間も undetected(未検出)のまま活動できたと指摘しています。さらに、同社が調査を開始したのは、攻撃者がすでに盗んだユーザーデータをダークウェブで販売し、身代金を要求し始めた後であったとされています。
また、23andMeはデータ漏洩を顧客に通知する際、漏洩したデータの機密性を過小評価し、DNA Relatives機能でアクセスされたデータは「本質的に公開されている」と主張したとされています。しかし、その裏では攻撃者と秘密裏に交渉し、販売データセットにアジア系アメリカ人、太平洋諸島系、ユダヤ系ユーザーの情報が含まれていることを強調していたと報じられており、この二重の姿勢が問題視されています。
社会的影響と特定のグループへのリスク
今回のデータ漏洩事件は、単なる個人情報の流出に留まらず、深刻な社会的影響を及ぼす可能性が指摘されています。攻撃者がダークウェブで販売したデータセットには、特にアジア系アメリカ人、太平洋諸島系、そしてユダヤ系ユーザーの情報が強調されて含まれていました。
ボンタ司法長官は、このデータ販売が「反アジア系アメリカ人、太平洋諸島系、反ユダヤ主義的なヘイトと暴力が増加する時期に行われた」と述べ、漏洩した情報が「深く個人的で識別的な性質を持つ」ことを強調しています。このような機密情報が、特定の民族的背景を持つ人々に対する差別や標的型攻撃に悪用される危険性があり、その影響は計り知れません。
遺伝子情報は、個人のルーツや健康状態を明らかにする一方で、悪意ある者にとっては差別や偏見の道具となり得る両面性を持っています。そのため、遺伝子データを取り扱う企業には、その情報の持つ意味合いを深く理解し、最大限の倫理的配慮とセキュリティ対策を講じることが求められます。
過去の法的措置と経営状況
今回のカリフォルニア州による提訴は、23andMeが直面する数々の法的・経営的課題の一つに過ぎません。同社は、2025年3月に破産を申請しており、すでに経営難に陥っていることが明らかになっています。
データ漏洩を巡っては、すでに集団訴訟も提起されており、同社が顧客の情報を保護する義務を怠ったと非難されていました。破産を監督する裁判官は、今年初めに5,000万ドルの和解金を承認したと報じられています。しかし、この和解金が、700万人もの被害者にとって十分な補償となるのか、また、漏洩した遺伝子情報がもたらす長期的なリスクに対して、どれほどの意味を持つのかは議論の余地があります。
一連の法的措置と経営破綻は、遺伝子検査サービスという新たな分野における企業責任のあり方、そしてサイバーセキュリティの重要性を改めて浮き彫りにしています。
遺伝子情報保護の特殊性と企業に求められる責任
23andMeのデータ漏洩事件は、遺伝子情報という極めて特殊な個人データを扱う上でのセキュリティ課題を明確に示しています。通常の個人情報と異なり、遺伝子データは一度流出すると変更が不可能であり、個人の生涯にわたって影響を及ぼし続ける可能性があります。また、本人だけでなく、血縁関係のある家族の個人情報も間接的に露呈するリスクを伴います。
この事件は、遺伝子検査サービスを提供する企業に対し、従来の個人情報保護の枠を超えた厳格なセキュリティ基準と倫理的責任を求める警鐘と言えるでしょう。企業は、顧客から預かる遺伝子データが持つ潜在的なリスクを十分に認識し、最新のサイバーセキュリティ技術を導入するだけでなく、万が一の事態に備えた迅速かつ透明性の高い対応計画を策定する必要があります。
また、ユーザー側も、自身の遺伝子情報を提供するサービスを選ぶ際には、企業のセキュリティ体制やプライバシーポリシーを慎重に確認し、パスワードの使い回しを避ける、二段階認証を設定するなど、自己防衛策を講じることが不可欠です。今回の事件は、デジタル時代における個人情報の価値と、それを守るための企業と個人の双方の責任を再認識させる重要な事例となりました。
まとめ
遺伝子検査サービス「23andMe」を巡るカリフォルニア州の訴訟は、2023年の大規模データ漏洩事件を背景に、企業のサイバーセキュリティ対策と顧客情報保護の責任の重さを浮き彫りにしました。約700万人ものユーザーの機密性の高い遺伝子情報が流出し、その後の企業対応の不備が指摘される中、遺伝子データという特殊な情報の取り扱いに対する社会的な監視と法的な要求は今後さらに厳しくなることが予想されます。
この事件は、遺伝子検査サービス業界全体に対し、より強固なセキュリティ体制の構築と、ユーザーへの透明性の高い情報提供を促す契機となるでしょう。同時に、私たちユーザー自身も、自身の個人情報、特に遺伝子情報のようなデリケートなデータの提供先を慎重に選び、自己防衛策を徹底することの重要性を改めて認識する必要があります。
情報元:engadget.com
