Last Updated on 2025-06-19 18:31 by admin
英国の情報コミッショナー事務所(ICO)は2025年6月17日、DNA検査企業23andMeに対して2023年のデータ侵害について231万ポンドの罰金を科すと発表した。
この侵害は2023年4月から9月にかけて発生し、攻撃者はクレデンシャルスタッフィング技術を使用して約14,000のアカウントに直接アクセスした。しかし23andMeのDNA Relatives機能により、実際には690万人のユーザーデータが流出した。このうち英国居住者155,592人が影響を受け、名前、生年、位置情報、人種、民族、家系図、健康レポートなどの情報が漏洩した。
攻撃は2023年4月に開始されたが、23andMeが公に認めたのは同年10月で、5か月間の対応遅れがあった。
ICOは当初459万ポンドの罰金を検討していたが、最終的に231万ポンドに減額された。23andMeは2025年初めにチャプター11破産保護を申請しており、創設者アン・ウォジツキ氏が非営利団体TTAM Research Instituteを通じて3億500万ドルで買収する予定である。
From:
23andMe hit with £2.3M fine after exposing genetic data of millions
【編集部解説】
今回の23andMe事案は、遺伝子データという極めてセンシティブな情報を扱う企業のセキュリティ対策の甘さが露呈した事例として、テクノロジー業界に大きな波紋を広げています。この事案を深く理解するためには、攻撃手法の特殊性と、遺伝子データビジネスが抱える構造的な脆弱性について詳しく見ていく必要があります。
クレデンシャルスタッフィング攻撃の巧妙さ
攻撃者が用いた「クレデンシャルスタッフィング」は、他のサービスで流出したユーザー名とパスワードの組み合わせを自動的に試行する手法です。23andMeのシステム自体がハッキングされたわけではなく、ユーザーが他のサービスと同じパスワードを使い回していたことが攻撃の成功要因となりました。
この攻撃の恐ろしさは、わずか14,000アカウント(全体の0.1%)への侵入が、最終的に690万人という膨大な数のユーザーデータ流出につながった点にあります。これは23andMeの「DNA Relatives」機能が、ユーザー間で大規模なデータ共有を可能にする設計になっていたためです。
DNA Relatives機能の構造的リスク
DNA Relatives機能は、遺伝子検査サービスの主要な付加価値として多くのユーザーに利用されていました。しかし、この機能は本質的に「一人のアカウントが侵害されると、その人とつながりのある親族のデータまで芋づる式に流出する」という構造的脆弱性を内包していたのです。
この機能により、攻撃者は比較的少数のアカウントへの侵入で、膨大な数のユーザーデータにアクセスすることが可能になりました。遺伝子情報の特性上、一度流出すると変更や無効化ができないという深刻な問題も浮き彫りになっています。
企業の対応遅れが被害を拡大
ICOの調査によると、23andMeは2023年4月から攻撃の兆候を把握していたにもかかわらず、公式な発表を行ったのは同年10月でした。この5か月間の対応遅れは、盗まれたデータがRedditで販売されるまで本格的な調査を開始しなかったという企業姿勢の問題を浮き彫りにしています。
さらに深刻なのは、23andMeが多要素認証を必須化していなかった点です。遺伝子データという変更不可能な個人情報を扱う企業としては、明らかに不適切なセキュリティレベルだったと言わざるを得ません。
規制当局の国際連携と罰金の意味
今回の事案では、英国ICOとカナダのプライバシーコミッショナーが共同調査を実施しました。これは、グローバル企業のデータ保護違反に対する国際的な規制連携の新しいモデルケースとなっています。
罰金額231万ポンドは、当初検討されていた459万ポンドから大幅に減額されました。これは23andMeの破産申請という財務状況が考慮された結果ですが、遺伝子データ流出の深刻性を考えると、決して軽い処分とは言えないでしょう。
遺伝子データビジネスの将来への影響
この事案は、遺伝子検査業界全体にセキュリティ強化を促す契機となりました。23andMe以外の同業他社も、多要素認証の導入や監視体制の強化を進めており、業界標準のセキュリティレベル向上につながっています。
一方で、消費者の遺伝子検査サービスに対する信頼は大きく揺らいでいます。報道によると、23andMeは関連する集団訴訟について3000万ドルでの和解に合意したとされていますが、「一度流出した遺伝子情報は取り戻せない」という被害者の声が示すように、金銭的補償だけでは解決できない問題の深刻さを物語っています。
テクノロジー進化と個人情報保護のバランス
遺伝子検査技術の進歩により、個人の健康リスク予測や祖先探索といった新たな価値が生まれています。しかし、今回の事案は、こうした技術的便益と個人情報保護のバランスをいかに取るかという根本的な課題を突きつけました。
特に、遺伝子情報は個人だけでなく血縁者の情報も含むため、一人の同意だけでは完結しない複雑な倫理的問題を抱えています。今後の遺伝子データビジネスは、技術革新と同時に、より厳格なプライバシー保護体制の構築が不可欠となるでしょう。
【用語解説】
クレデンシャルスタッフィング
他のサービスで流出したユーザー名とパスワードの組み合わせを自動的に試行する攻撃手法。ユーザーが複数のサービスで同じパスワードを使い回していることを悪用する。
多要素認証(MFA)
パスワードに加えて、SMSコード、認証アプリ、生体認証など複数の認証要素を組み合わせるセキュリティ手法。アカウントの安全性を大幅に向上させる。
DNA Relatives機能
23andMeが提供する機能で、DNA情報に基づいて遺伝的に近い他のユーザーとつながることができる。名前、DNA一致割合、住所、プロフィール写真、家系図データなどを共有可能。
チャプター11
米国連邦破産法第11章のことで、企業が事業を継続しながら債務を整理し、再建を図る破産手続き。日本の民事再生法に相当する。
英国GDPR
EU離脱後も英国で適用されている一般データ保護規則。個人データの処理に関する厳格な規制を定め、違反企業には高額な罰金を科す。
【参考リンク】
23andMe公式サイト(外部)
唾液を用いた遺伝子検査サービスを提供する米国企業。祖先情報や健康リスクの分析、DNA Relatives機能による親族探索などのサービスを展開。
Information Commissioner’s Office(ICO)公式サイト(外部)
英国の独立したデータ保護監督機関。データ保護法やGDPRの執行、情報の自由に関する法律の監督を行い、個人のプライバシー権利を保護。
【参考動画】
【参考記事】
23andMe will have court-appointed overseer for genetic data in bankruptcy(外部)
23andMeの破産手続きにおいて、顧客の遺伝子データ保護を監督する裁判所指定の監視人が設置されることが決定。25州以上が顧客データの安全性について懸念を表明。
Regeneron to buy bankrupt 23andMe, vows ethical use of DNA data(外部)
製薬会社Regeneronが23andMeを2億5600万ドルで買収することを発表。1500万人以上の顧客DNAサンプルデータベースを活用して創薬研究を強化する計画。
23andMe Just Filed for Bankruptcy. You Should Delete Your Data Now(外部)
23andMeの破産申請を受けて、顧客が自身のデータを削除すべき理由を解説。遺伝子情報は変更不可能で、家族の情報も含むため、売却により第三者に渡るリスクがある。
米遺伝子検査企業「23andMe」が破産、経営難と非公開化プロセス – Forbes Japan(外部)
23andMeの破産申請の背景と、2023年のデータ漏洩事件の詳細を日本語で解説。アシュケナージ系ユダヤ人のデータが標的にされた経緯も含む。
The 2 Best DNA Testing Kits of 2025 – The New York Times Wirecutter(外部)
DNA検査サービスの比較記事。2023年の23andMeデータ侵害事件や、遺伝子検査業界全体のプライバシー問題について詳しく分析している。
【編集部後記】
今回の23andMe事案を通じて、私たち一人ひとりが考えてみたいことがあります。遺伝子検査サービスを利用されたことはありますか?もしくは、将来的に利用を検討されているでしょうか?この事案は、便利なテクノロジーサービスの裏側にある「見えないリスク」について改めて考える機会を与えてくれました。みなさんは、新しいテクノロジーサービスを利用する際、どのような点を重視して判断されていますか?便利さと安全性のバランスをどう取るか、ぜひ一緒に考えていければと思います。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
