カリフォルニア州司法長官ロブ・ボンタ氏が、遺伝子検査サービス「23andMe」(現社名:Chrome Holding Co.)を提訴したと、Engadgetが2026年5月29日に報じた。2023年に発生した大規模なデータ漏洩事件で約700万人分の遺伝子・個人情報が流出した責任を問う内容だ。
なぜこの事件が注目されるのか
遺伝子データは「最もセンシティブな個人情報」の一つだ。一度漏洩すれば変更が不可能であり、本人だけでなく血縁者の情報まで含む点が通常のデータ漏洩とは一線を画す。今回の訴訟は、遺伝子データを預かる企業のセキュリティ責任について重要な先例となりうる。
事件の経緯と海外レビューのポイント
Engadgetの報道によると、2023年に不正アクセス者はクレデンシャル・スタッフィング(他のサービスで盗まれた認証情報を流用する攻撃)を使って14,000アカウントに侵入。さらに「DNA Relatives」機能の脆弱性を悪用し、最終的に700万人以上のデータにアクセスした。55万人以上に上るカリフォルニア州居住者も被害を受けた。
ボンタ司法長官が指摘する主な問題点は以下のとおりだ:
- MyHeritageの漏洩リスクを無視: 23andMeはユーザーにMyHeritageへの登録を促しながら、同サービスで過去に発生した漏洩事件を把握済みにもかかわらず、同一パスワード再利用対策を一切実施しなかった
- 5カ月間の無検知: セキュリティ監視体制が極めて不十分で、犯人がダークウェブでデータを販売・身代金要求を開始してから初めて事態を把握した
- 被害通知の不誠実さ: 漏洩通知でデータの機密性を過小評価し、「DNA Relativesは事実上公開情報」と主張する一方、内密に犯人と交渉を続けていた
- 人種・宗教的標的化: 犯人はアジア系アメリカ人・太平洋諸島系住民およびユダヤ系ユーザーのデータであることを明示して販売。ボンタ氏は「反アジア系・反ユダヤ主義的な憎悪と暴力が高まる時期に、こうした情報が流通したことは極めて危険だ」と強く批判している
23andMeの現状
23andMeは2025年3月に破産申請を行い、現在はChrome Holding Co.として事業継続中。別途クラスアクション訴訟も提起されており、今年5,000万ドルの和解が破産担当裁判官によって承認されている。
日本市場での注目点
23andMeは主に北米向けサービスのため日本への直接的影響は限定的だが、今回の事件は遺伝子データを扱うすべてのサービスへの警鐘となる。国内でも遺伝子検査サービスへの関心は高まっており、利用する際は以下の点を確認したい:
- パスワードの使い回しを絶対に避ける: 異なるサービスに同一認証情報を使用しないことが大前提
- 二要素認証(2FA)を必ず設定: 可能な限り有効化する
- データ保管場所の確認: データがどの国のサーバーに保存されているかを利用規約で確認する
- サービス廃業時のデータ扱い規約の確認: 企業が破産した場合にデータがどう処理されるかを事前に把握しておく
筆者の見解
クレデンシャル・スタッフィングは、IT業界では「対策して当然」の古典的な攻撃手法だ。にもかかわらず、最もセンシティブな遺伝子データを預かる企業が、連携先サービスの漏洩事実を把握しながら何も手を打たなかった。この事実は企業のセキュリティ意識の根本的な欠如を示している。
特に深刻なのは「5カ月間の無検知」だ。異常検知の仕組みがまともに機能していなければ、どれほど優れたデータを収集していても守れない。データを集める以上、守る仕組みも同等以上の水準でなければならない。
遺伝子データは本人の意思でも変更できない「究極の個人情報」だ。今後、遺伝子検査サービスを選ぶ際は「使いやすさ」だけでなく「セキュリティの厳格さ」を主要な評価軸に加えることが不可欠だろう。今回のカリフォルニア州の訴追が業界全体のセキュリティ基準を引き上げるきっかけとなることを期待したい。
出典: この記事は California sues 23andMe over 2023 data breach that affected 7 million users の内容をもとに、筆者の見解を加えて独自に執筆したものです。