23andMeが1800万ドルのデータ侵害和解で新たなセキュリティ義務を負う

米国42州の司法長官連合と遺伝子検査大手23andMeとの間で、2023年のデータ侵害を巡り1800万ドルの和解が成立しました。

ニューヨーク州司法長官のレティシア・ジェームズ氏と超党派の連合は、23andMeの顧客データを保護するための新たなデータ保護要件も確保しています。23andMeはニューヨーク州に対しても70万5000ドル以上を支払う予定です。

2023年10月、この遺伝子検査企業は、クレデンシャルスタッフィング攻撃により顧客のプロフィール情報にサイバー犯罪者がアクセスしたことを認めていました。

事件発生当時、同社はこのハッキングが自社ネットワークへの侵入によるものではなく、多要素認証(MFA)の未設定を含む顧客側のずさんなパスワード管理が原因だと説明していました。

このデータ侵害では、家系情報を含む600万人以上の個人情報にアクセスされました。

2025年3月、23andMeは破産保護を申請しました。ジェームズ司法長官が発表した声明によると、同氏と連合はこのデータ侵害に関する調査に関連して請求を申し立てたとしています。

2025年6月、ジェームズ司法長官と他の27州の司法長官による超党派連合は、23andMeの破産手続き中に米国民の個人遺伝情報を保護するため、同社を提訴していました。

破産手続きの結果、23andMeの顧客データは売却され、23andMeの創業者で元CEOのアン・ウォジスキ氏が設立した非営利団体TTAM Researchの手に渡りました。

ジェームズ司法長官と連合は、顧客データを保護し将来の侵害を防ぐため、TTAMにおける新たな情報・データセキュリティ要件を確保しました。

  • 適切なリスク分析の実施
  • データセキュリティに関する諮問委員会の設置
  • 消費者による情報削除権の継続的な提供

「企業には、ハッカーから顧客の個人情報を守る義務があります。しかし23andMeは、脆弱なセキュリティ対策によって数百万人もの顧客を危険にさらしました」とジェームズ司法長官は述べています。「ニューヨーク州民は自らの機密性の高い遺伝情報を23andMeに託しましたが、そのデータは盗まれ、インターネットの闇の片隅で売りに出される結果となりました。私たちの連合による今回の措置により、23andMeは法律違反の代償を支払うことになり、今後は顧客を守るための厳格なルールが導入されます」

『Infosecurity』誌は、この1800万ドルの和解およびセキュリティ要件について23andMeにコメントを求めています。

これは、7月7日に米国破産裁判所の判事が承認した4675万ドルの和解とは別のもので、こちらはデータ侵害の被害者への補償に充てられる予定です。

一方、ロイターの報道によると、7月10日には別の破産裁判所判事が、23andMeの連邦破産法第11章に基づく再建計画を理由に、カリフォルニア州は同社に対して損害賠償を求めることができないとの判断を示しました。ただし同判事は、カリフォルニア州司法長官ロブ・ボンタ氏が提起した5月28日の訴訟について、州側が14日以内に取り下げるか、金銭的救済を求める請求部分を削除する形で訴状を修正するよう猶予を与えています。

同社はまた、スペイン居住の顧客2642人が影響を受けたことを受け、スペインの個人情報保護監督機関から2026年7月に240万ユーロ(275万ドル)の制裁金を科されています。

2025年6月には、英国の情報コミッショナー事務局(ICO)が、顧客の特別カテゴリーデータの保護を怠ったとして23andMeに230万ポンド(310万ドル)の制裁金を科していました。

翻訳元: https://www.infosecurity-magazine.com/news/23andme-18m-data-breach-settlement/

ソース: infosecurity-magazine.com