23andMeが大規模データ侵害を巡り州司法当局と1800万ドルの和解に合意

42州の司法長官連合は火曜日、23andMeが690万人分の情報――遺伝的祖先データを含む――が流出した大規模なデータ侵害を招いたサイバーセキュリティ上の不備について、同社と1800万ドルの和解に合意したと発表しました。

この合意には、23andMe CEOのAnne Wojcicki氏が2025年5月に設立した非営利団体「23andMe Research Institute」に対する新たなデータ保護策の導入も盛り込まれています。同研究所は遺伝子データを含む23andMeの資産を引き継いでいます。

新たに求められる措置には、リスク評価の実施やデータセキュリティを監督する特別委員会の設置が含まれます。また今回の和解では、23andMeの顧客が自らの遺伝子サンプルを破棄する権利や、個人データを無期限に削除する権利を維持できることも定められています。

23andMeは2023年10月に発生した侵害について、発生から数カ月経つまで把握していませんでした。流出したデータの一部はダークウェブに投稿されていました。

ニューヨーク州司法長官Letitia James氏の事務所によるプレスリリースによれば、「同社は当初、侵害の発生自体を否定し、それを認めた後も、アカウントの設定方法やパスワードの使用方法について消費者の責任であるかのように主張した」ということです。

42州の司法長官らは侵害発生から数日後に多州合同調査に着手し、23andMeのサイバーセキュリティ上の複数の不備を特定しました。

James氏の事務所によると、同社には盗まれた認証情報を悪用した攻撃に対する防御策がなく、侵入防止対策も不十分で、侵害に関するログ記録や監視も行っておらず、既知の脆弱性の修正も怠っていたということです。

同社はまた、通常とは異なるログインパターンの調査や、新しい設計機能のテストも行っていませんでした。

23andMeは2025年3月に破産保護を申請しました。

6月には、ミズーリ州の破産裁判所が、侵害の被害者の多くに4700万ドルの基金から分配金を支払う和解案を承認しました。

2025年7月には、当時TTAM Research Instituteという名称だった、Wojcicki氏率いる23andMe Research Instituteが、23andMeの資産取得のために3億500万ドルを支払いました。2023年の23andMeのプレスリリースによると、この売却には、情報の破棄を求めていない顧客の遺伝子データも含まれていました。

同研究所は、裁判所命令、召喚状、捜索令状がない限り、雇用主、保険会社、公開データベース、法執行機関へのデータ提供を禁じる23andMeのプライバシーポリシーを引き続き遵守すると表明しています。

また、生物医学研究に利用するため、匿名化された顧客データを提供・販売するという23andMeの従来の慣行も継続しています。

翻訳元: https://therecord.media/genetic-testing-settlement-data-breach

ソース: therecord.media