侵害の通知と開示
23andMe はカリフォルニア州司法長官事務所に通知を提出し、同社が 2023 年 4 月下旬から 9 月にかけてハッキングされたことを確認しました。同社は最初に 10 月 6 日のブログ投稿で侵害を明らかにし、そこでは「脅威アクター」について言及していました。侵害された外部サイトから「リサイクルされたログイン資格情報」を使用して「特定のアカウント」へのアクセスを取得しました。ただし、ユーザーの個人遺伝情報の漏洩を含む侵害の全容は、サードパーティの法医学専門家による内部調査の後、12 月 5 日に更新されたブログ投稿でのみ明らかにされました。
影響と訴訟の重要性
原告側の弁護士の一人、ジェイ・エデルソン氏によると、この訴訟は消費者プライバシー法の転換を意味しているという。データの機密性の侵害は現在、そのような情報が物理的な嫌がらせや大規模な危害に使用されるかどうかが最初の懸念事項にまでエスカレートしていると彼は考えています。この侵害の複雑さは、顧客が DNA 親戚と呼ばれる機能を選択したという事実にあり、その結果、地理的位置、誕生年、家系図、アップロードされた写真など、550 万人の DNA 親戚のプロフィール情報が漏洩する可能性がありました。
ハッカーの行動
訴状では、ハッカーが「ゴーレム」という名前とゴラムの画像をアバターとして使用し、オンライン フォーラム BreachForums でユダヤ系の 23andMe ユーザー 100 万人以上の個人データを漏洩したと主張しています。流出したデータにはユーザーの氏名、自宅住所、生年月日が含まれていた。さらに、このハッカーは 10 万人の中国人顧客のプロフィール情報へのアクセスを提供し、さらに 35 万件の記録が販売可能になりました。この訴訟では、特にアメリカのユダヤ人がターゲットになる可能性に関して、現在の地政学的および社会情勢においてユーザーが直面するリスクが増幅されていることが強調されました。
広範な影響と今後の予防措置
カリフォルニア大学ロサンゼルス校のラメシュ・スリニバサン教授は、同様の侵害が今後も続く可能性が高いと示唆しています。同氏は、企業がどのように対応するかという問題を提起している。つまり、セキュリティを強化し、データ保持を制限するなどの真剣な予防措置を講じるか、根本的な問題に対処せず表面的な救済策を適用するだけである。この侵害は、人々の生活のデータ化の増加に関連して危険が増大していることを思い出させるものとなっています。