カリフォルニア州が、DNAテスト企業23andMeの残存法人に対し、2023年のデータ侵害をめぐるセキュリティ上の過失および誤解を招く発言があったとして訴訟を提起しました。
2026年5月27日、ロブ・ボンタ司法長官はサンフランシスコ上級裁判所に対し、23andMeの破産後に残余資産を管理するChrome Holding Co.を被告とする訴状を提出しました。
カリフォルニア州の訴状は、23andMeが機密データを保護するための合理的なセキュリティ対策を講じなかったと非難し、複数の州プライバシー法および消費者保護法に違反したと主張しています。また、同社がセキュリティ対策について誤解を招く発言を行ったとも訴えています。
2023年の侵害では、23andMeのログインページに対して昔ながらのクレデンシャルスタッフィング手法が使われました。攻撃者は誰にも気づかれることなく、約5か月間にわたってシステム内部で活動を続けました。直接侵害されたアカウントは約1万4,000件と比較的少数でしたが、攻撃者はそれだけで約700万人の顧客データを盗み出すことができました。
侵入者はそれらのアカウントを足がかりに、「DNA Relatives」と呼ばれるプラットフォームの目玉機能を悪用しました。この機能はDNAの類似性によってつながりのある人物を特定できるものです。訴状によれば、この機能に重大なコーディングエラーが存在し、それにより生物学的な血縁関係でつながる数百万人ものユーザーのデータがスクレイピングされたと主張しています。
「被害者責任論」が証拠に
侵害が公になった後、23andMeは被害者の法定代理人に対して書簡を送り、過去に流出した他サイトのパスワードを使い回したユーザー側に責任があると主張しました。同社はまた、流出したデータはユーザーが自らの意思で共有したものであり、「金銭的損害」は生じないと示唆しました。
しかし、遺伝データの盗難から生じる被害は金銭的損失をはるかに超えます。盗まれた遺伝情報により、窃盗犯は個人の遺伝的出自を特定できるようになりました。
このデータはダークウェブで販売されたとも報告されており、アジア系アメリカ人・太平洋諸島系(AAPI)やユダヤ系顧客のデータを指定して購入できることがセールスポイントとされていました。ボンタ司法長官の事務所は、当時反ユダヤ主義的暴力が増加していたことを指摘しています。
ユーザーに責任を転嫁しようとするこの書簡にもかかわらず、パスワードの使い回しによって直接侵害されたのは約1万4,000アカウントに過ぎませんでした。残りのデータは23andMe自身の製品の欠陥によって流出したと主張されています。訴状によれば、DNA Relativesのコーディングエラーはサービスにオプトインしたすべてのユーザーのデータを露出させたものであり、侵害された1万4,000アカウントとつながりのある人物に限らないとされています。
州は損害賠償を回収できるか
カリフォルニア州は、違反1件あたり1,000ドルから7,500ドルの法定罰則を求めています。影響を受けたユーザーのうちカリフォルニア州民は85万5,541人にのぼるため、総額は急速に膨らむ可能性があります。
問題は、州が勝訴した場合にどれだけの金額を回収できるかという点です。23andMeは2025年3月に第11章(チャプター11)の連邦破産法申請を行い、1,500万人以上の顧客のゲノムデータを含む大半の資産を、元CEO アン・ウォジツキー氏が設立した非営利団体TTAM Research Instituteに売却しました。カリフォルニア州をはじめとする複数の州が遺伝情報プライバシー法を根拠にこの売却に異議を唱えましたが、連邦破産裁判所の判事がこれを承認しました。各州は現在、この判断を不服として上訴しています。
23andMeの残存法人であるChrome Holding Co.はこの売却により3億500万ドルを受け取りましたが、残りの資産にはすでに他の関係者が群がっています。
他の規制当局もすでに動いています。英国の情報コミッショナー事務局(ICO)はカナダのプライバシーコミッショナーとの共同調査を経て、昨年6月に23andMeに対して231万ポンドの制裁金を科しました。米国では、連邦裁判所が大半の米国顧客を対象とする3,000万ドルの集団訴訟和解を当初承認しましたが、その後5,000万ドルに増額され、2026年1月に最終承認されました。
顧客が取るべき対策
23andMeを利用したことがある方は、標準的なセキュリティ対策を今すぐ見直してください。他のサイトで使い回しているパスワードはリセットし、利用可能なすべてのサービスで多要素認証を有効にしましょう。クレデンシャルスタッフィングは、他の場所ですでに流出しているユーザー名とパスワードの組み合わせを利用する手法です。また、23andMeや今回の侵害を名乗るフィッシング攻撃にも注意が必要です。DNAテストサービスを利用する際は、その利便性とセキュリティリスクを慎重に比較検討することも大切です。
なぜなら、どんな罰則も和解金も解決できない問題が一つあるからです。ダークウェブで売られた遺伝データは、取り戻すことができません。パスワードは変更できます。でも、DNAは変えられないのです。
誰にも見られていないかのようにブラウズしましょう。
Malwarebytes Privacy VPNは通信を暗号化し、利用状況を一切記録しません。次に読む記事が個人情報と結びつくような心配は無用です。 無料でお試しください →
