23andMeの遺伝子データ流出、米42州と1800万ドルで和解合意も「消せないDNA」の深刻なリスク

2026年7月18日 07:10

印刷

記事提供元:Tech Times

Photo by Warren Umoh on Unsplash

Photo by Warren Umoh on Unsplash[写真拡大]

米遺伝子検査大手23andMeから690万人の遺伝子データが流出した問題を巡り、米42州の司法長官連合と、同社の資産を継承した非営利団体との間で1800万ドル(約29億1600万円)の和解が成立した。これは消費者向け企業に対する複数州合同のプライバシー執行アクションとしては米国史上最大規模となる。しかし、クレジットカード番号やパスワードとは異なり、一度流出したDNAデータは変更も取り消しもできないため、被害の根本的な救済には至っていない。

■1万4000件のログインから690万人の被害へ拡大した経緯

事の発端はシンプルだった。2023年4月29日以降、攻撃者は他の無関係な情報漏洩で盗まれたユーザー名とパスワードの組み合わせを、23andMeのログインページに入力する「クレデンシャルスタッフィング(パスワードリスト攻撃)」を実行した。当時、23andMeは多要素認証(MFA)を義務付けておらず、漏洩済みパスワードのブロックリスト照合や、ログイン試行の回数制限(レートリミット)も導入していなかったため、この攻撃が成功してしまった。23andMeが2023年12月に米国証券取引委員会(SEC)に開示した情報によると、これにより約1万4000のアカウントが乗っ取られた。

問題はその後に起きた。同社の「DNA Relatives(DNA親戚探し)」機能は、認証されたセッションはすべて正当なユーザーによるものと想定して設計されていた。攻撃者は乗っ取った1万4000のアカウントを起点に、遺伝子上のマッチングネットワークをたどり、マッチしたすべてのユーザーのプロフィールデータをダウンロードした。わずか1万4000の侵入経路から、690万人のデータへと被害が拡大したのである。その増幅率は493倍に達した。

これは単にパスワードが推測されたという話ではない。親戚同士を繋ぐための機能が、大規模なアカウント乗っ取りによって、大量のデータ抽出パイプラインへと変貌してしまった設計上の問題である。いとこや遠い親戚を探すためにこの機能を利用していたユーザーは、自分のマッチングネットワーク内の誰かのアカウントが乗っ取られた場合に、ネットワーク全体のデータをスクレイピングされることに同意していたわけではない。英国情報コミッショナーオフィス(ICO)の調査でも、この同意アーキテクチャの不備は設計レベルの欠陥であると結論付けられている。

司法長官連合は、23andMeがクレデンシャルスタッフィング攻撃に対する防御策(漏洩パスワードのブロックリスト照合や多要素認証の義務化など)を怠っていたと指摘した。さらに、適切なレートリミットや侵入防止策の不備、不正アクセスを検知できるログ監視の欠如、ログイン試行の急増といった異常パターンの調査怠慢、既知の脆弱性の放置なども挙げられている。

■警告を無視し、顧客に責任を転嫁した企業姿勢

攻撃は2023年4月から9月まで続いた。23andMeの内部システムは2023年7月にログイン試行の急増を検知していたが、単発の事象として片付けていた。ICOが公表したタイムラインによると、同年8月にはダークウェブのプラットフォーム「Hydra Market」に「1000万人のDNAレコードにアクセスした」というハッカーの投稿があり、同社は内部チケットを起票したものの、虚偽情報と判断してクローズしていた。その後、9月に第2波の攻撃が行われた。

同社が本格的な調査を開始したのは、従業員がReddit上で盗まれたデータが販売されているのを発見した2023年10月になってからだった。攻撃開始から約5ヶ月が経過していた。

2023年10月6日に情報漏洩を公表した際、23andMeは自社のセキュリティ設計ではなく、顧客のパスワード管理に原因があると主張した。ペンシルベニア州のデイブ・サンデー司法長官は、同社が「情報漏洩の把握が遅れただけでなく、自らの顧客に指を指して責任を転嫁した」として、この対応を容認できないと批判している。

流出したデータは、一般的な情報漏洩とは一線を画す極めて機微なものだった。遺伝的祖先情報、民族性の推定値、健康リスクのレポート、家系図のつながり、自己申告の位置データ、プロフィール写真などが含まれていた。さらに深刻なことに、ハッカー「Golem」はアシュケナージ系ユダヤ人のルーツを持つユーザーのプロフィールをまとめ、闇フォーラム「BreachForums」で販売した。この事態は米上院の調査でも問題視され、ビル・キャシディ上院議員はアン・ウォジスキCEO(当時)に対し、世界的に反ユダヤ主義や反アジア感情が高まる中で、このような標的型データベースが共有されたことへの懸念を伝える書簡を送付した。また、別のリストでは、ダークウェブユーザーの要望により、中国系ユーザー約35万人分のプロフィールもまとめられていた。

■調査結果と和解条件、そして補償の限界

42州の合同調査を主導したニューヨーク州のレティシア・ジェームズ司法長官は、同社が「脆弱なセキュリティ対策によって数百万人の顧客を危険にさらした」と非難した。また、カナダプライバシーコミッショナーオフィスと共同調査を行った英国のICOは、2025年6月に231万ポンドの制裁金を科した際、情報コミッショナーのジョン・エドワーズ氏を通じて「極めて深刻な被害」と表現し、同社が何度も警告を受けながら対策を怠ったと指摘した。

合意された1800万ドルの和解金は、破産財団の資金から直ちに支払われる。各州への配分は被害を受けた住民の数に応じて決定され、ニューヨーク州(被害者30万5245人)に約70万5000ドル、ペンシルベニア州(約20万人)に49万1902ドルなどが割り当てられる。また、現在データを管理している「23andMe Research Institute(旧TTAM Research Institute)」に対し、データセキュリティ諮問委員会の設置、継続的なリスク評価の実施、包括的なプライバシー法の遵守、そして顧客が遺伝子サンプルや個人データを削除できる権利の継続的な提供が義務付けられる。

しかし、和解金の額と被害の規模との間には大きな乖離がある。司法長官連合は当初、破産財団に対して総額約1億5000万ドルの請求を行っていたが、最終的な1800万ドルという額は、破産した企業の財団が支払える限界を反映したものに過ぎない。かけがえのないデータを保有する企業が破産した場合、法制度が適切な補償を提供する能力は、その企業の財務破綻によって制限されてしまう。

なお、これとは別に、破産裁判所は2026年1月30日に集団訴訟の和解金を当初の3000万ドルから4675万ドル(約75億7350万円)に増額することを承認した。被害を受けた消費者の請求期限は2026年2月17日に終了している。

■遺伝子プライバシー法がカバーしない構造的欠陥

今回の事件は、米国のプライバシー法における構造的な隙間を浮き彫りにした。

医療保険の相互運用性と説明責任に関する法(HIPAA)は、医療保険プランや医療提供者が保有する遺伝情報を保護するが、消費者向けに直接サービスを提供する遺伝子検査企業には適用されない。23andMeのような企業は、以前からHIPAAの適用対象外として運営されてきた。また、遺伝情報差別禁止法(GINA)は、医療保険会社や雇用主が遺伝データに基づいて差別することを禁じているが、消費者向け検査企業のセキュリティ基準を規定するものではない。

この構造的な法欠陥があったからこそ、連邦法ではなく42州の司法長官連合による消費者保護法に基づく執行が主要な対抗手段となった。米議会では、2025年に「ゲノムデータ保護法(Genomic Data Protection Act)」や「Don't Sell My DNA Act」などの法案が提出されたが、2026年7月時点でも成立には至っていない。

今回の和解が示したのは、代替不可能な遺伝データを扱う企業は、消費者保護法の下でより高度な注意義務を負うべきであり、基本的なセキュリティ対策を怠った場合は複数州による共同執行の対象になるという前例である。

■経営破綻、買収、そして新たなデータ管理者

2023年のデータ流出が直接の破産原因ではないものの、2021年にSPAC(特別買収目的会社)を通じて上場した後に株価が低迷していた同社の崩壊を加速させることとなった。

2025年3月、23andMeは連邦破産法第11条(チャプター11)の適用を申請し、共同創業者であるアン・ウォジスキCEOは辞任した。製薬大手リジェネロン・ファーマシューティカルズが2億5600万ドルでの買収を提案したが、ウォジスキ氏は自身が創業した企業が製薬会社に渡ることを阻止するため、非営利団体「TTAM Research Institute」を設立。再入札で3億500万ドル(約494億1000万円)の対抗馬を提示し、2025年6月30日に裁判所から買収承認を得て、同年7月14日に買収を完了した。

TTAM(現23andMe Research Institute)は、既存のプライバシーポリシー(データ削除権を含む)を遵守すること、将来的な所有権変更の際も同等のプライバシー規則下にある米国企業以外には遺伝データを売却・共有しないこと、消費者プライバシー諮問委員会を設置することに同意した。2026年7月14日に発表された司法長官連合との和解により、これらの約束は法的拘束力を持つ義務となった。

■影響を受けたユーザーが今できること

2026年2月の期限までに集団訴訟の請求を行った顧客は、4675万ドルの基金から直接補償を受け取ることができるが、その申請受付はすでに終了している。

しかし、請求状況にかかわらず、すべての23andMe顧客はアカウントを削除し、保管されているDNAサンプルの廃棄を要求する権利を保持している。この権利は「23andme.org」から行使可能であり、現在は企業の自主的なポリシーではなく、法的な義務となっている。

なお、「DNA Relatives」機能に参加していなかったユーザーであっても、自身の遺伝的マッチングネットワーク内の誰かが参加していた場合、ソーシャルグラフを通じてプロフィールデータが攻撃者にアクセス可能な状態になっていた。データ削除権は将来的な利用を防ぐためのものであり、すでにダークウェブ上に流出してしまったデータを取り戻すことはできない。

今回の事件は、消費者向け遺伝子検査サービスを利用するすべての人に対し、以下のチェックリストを提示している。①サービスが多要素認証(MFA)を義務付けているか確認すること、②他サービスと同じパスワードを使い回さないこと、③自分の遺伝情報は自分自身の選択に関わらず親族をも特定し得ることを理解すること、④現行の連邦法にはこれらの企業のセキュリティ対策を直接義務付ける強力な法規制が存在しないことを認識すること、である。

■注目ポイントQ&A

●自分の23andMeデータが流出した場合、今からでも補償を請求できますか?

集団訴訟の補償請求期限(2026年2月17日)はすでに過ぎているため、新たな金銭的補償の請求はできません。ただし、23andme.orgを通じてアカウントの削除やDNAサンプルの廃棄を要求することは現在も可能です。この削除権は、現在のデータ管理者である23andMe Research Instituteに対して法的な義務となっています。

●乗っ取られたアカウントは1万4000件なのに、なぜ690万人ものデータが流出したのですか?

「DNA Relatives(DNA親戚探し)」という機能の設計に原因があります。この機能は、ログインしたユーザーがプラットフォーム上の遺伝的マッチング相手のプロフィールデータを閲覧・ダウンロードできるようにしていました。攻撃者は乗っ取った1万4000のアカウントを足がかりに、その親戚関係のネットワークをたどることで、最終的にマッチングしていた690万人分のデータを一括で抽出しました。

●遺伝子検査企業のデータは、医療情報のプライバシー法(HIPAA)で保護されていないのですか?

保護されていません。米国のHIPAAは、病院や医療保険会社などの「対象事業者」にのみ適用されます。23andMeのような消費者向けに直接サービスを提供する遺伝子検査企業はこれに該当しないため、HIPAAの適用外となっています。そのため、今回は連邦法ではなく、各州の消費者保護法に基づいて司法長官連合が法的措置を執る形となりました。

●現在、私の遺伝子データは誰が管理しているのですか?

23andMeの経営破綻に伴い、2025年7月14日以降は、共同創業者のアン・ウォジスキ氏が設立した非営利団体「23andMe Research Institute(旧TTAM Research Institute)」がすべての顧客データを管理しています。同団体は既存のプライバシーポリシーを遵守し、適切な保護規則を持たない第三者へのデータ売却を行わないことを約束しており、今回の和解によってその約束に法的な義務が課されています。

元記事: No Fix for Stolen DNA: 42 States Win $18M From 23andMe Over Feature Flaw

※この記事はTech Timesから提供を受けた記事を日本向けに翻訳・編集したものです。

関連キーワード

関連記事