なぜ27の州は23andMeを訴えているのですか？

経営破綻した同社が顧客の遺伝子データを売却するのを阻止しようとしており、23andMeがデータを適切に保護せず、2023年の侵害の重大性について消費者を誤認させたと主張しています。

2023年の侵害で何人の人が影響を受けましたか？

訴訟によると、この侵害により約700万人分の機密性の高い健康情報が流出しました。

23andMeの遺伝子データは新しい所有者に売却される可能性がありますか？

訴訟では、破産手続きの中で、元の同意条件に拘束されない買い手にデータが移転される可能性があると主張しています。フロリダ州のように明示的な同意なしの販売を禁じている州もありますが、すべての州にそうした保護があるわけではありません。

VPNなどのツールで遺伝子データをプライベートに保てないのはなぜですか？

VPNや暗号化は転送中のデータを保護しますが、遺伝子データは物理的な唾液サンプルから採取され、企業サーバーに保存されます。それ以降はネットワークレベルのツールは適用されず、プライバシーはもっぱら企業のセキュリティと法的保護に依存します。

23andMeは侵害後、どのように顧客を誤認させたとされていますか？

司法長官連合は、23andMeが事件の規模を過小評価し、顧客が事の重大さを理解して自衛手段を講じたりデータ削除を要求したりするのを妨げた可能性があると主張しています。

2023年のデータ侵害を受け、27州が23andMeを提訴、遺伝子データ売却の差し止めを求める

27の州とコロンビア特別区が、経営破綻したDNA検査会社23andMeに対し、顧客の遺伝子データを売却するのを阻止するための訴訟を起こした。この訴訟は破産裁判所に提起され、2023年に発生した約700万人分の機密性の高い健康情報をさらした侵害事件に焦点を当てている。原告側は、23andMeがその事件の重大性について消費者を誤認させたと主張している。問題となっているのは、推定1500万人の顧客の遺伝子データであり、彼らは自身の最もプライベートな生体情報が最高額の入札者に競り売られることに一度も同意していない。

この訴訟は、単なる企業の過失の物語ではない。プライバシー意識の高い消費者にとって、より困難で居心地の悪い問いを投げかけている。すなわち、プライバシーリスクがパスワードやIPアドレス、メールアドレスではなく、実際のあなたのDNAである場合、何が起きるのか、という問いだ。

訴訟で実際に主張されている内容

各州の司法長官連合は、主に二つの論点で争っている。第一に、23andMeが2023年の侵害の前後において、ユーザーデータを適切に保護できず、何百万人もの顧客を予期できない被害にさらしたこと。第二に、同社が事件の規模を過小評価し、本来なら自己防衛やデータ削除を求める措置を取ったはずの顧客をミスリードしたことである。

現在、23andMeは破産を申請しており、ある約束のもとで収集された遺伝子データが、まったく異なるポリシーを掲げる新たな所有者に移転される可能性が懸念されている。祖先調査や健康情報の提供を目的にDNAを共有することに当初同意した顧客が、元の利用規約を尊重する義務を負わない未知の第三者にそのデータを吸収されるかもしれない。

すでにいくつかの州では、このシナリオに特化した法律が存在する。例えばフロリダ州は、顧客の明示的な同意なしに遺伝子データを販売することを刑事罰や罰金付きで禁止している。しかし、すべての州にこうした保護策があるわけではなく、まさにそのために、複数の州が連携した訴訟が必要となったのである。

なぜプライバシーツールでは遺伝子データを守れないのか

ここが、多くのデジタルプライバシー報道が飛ばしてしまう部分だ。VPN、暗号化メッセージアプリ、プライベートブラウザといったツールは、ある種のデータ（デジタルで送受信・生成する情報）を保護するのに有効だ。IPアドレスやブラウジング履歴、通信内容を傍受から守ることはできる。

しかし、すでに物理的な形で自ら手渡してしまったデータに対しては、何の効果もない。唾液サンプルをDNA検査会社に郵送した時点で、ネットワークレベルのプライバシー保護は一切効力を発揮しない。データは収集され、処理され、企業のサーバーに保存される。その瞬間から、あなたのプライバシーはもっぱら、企業のセキュリティ対策、契約上の義務、そして居住地域で利用可能な法的保護に依存する。

この区別が重要なのは、リスクの性質が変わるからだ。ほとんどのデジタルプライバシー脅威において、ユーザーは継続的な主体性を持つ。サービスの利用をやめ、データを消去し、よりプライバシー性の高い代替サービスに乗り換えることができる。しかし遺伝子データは不変だ。DNAは変更もリセットも取り消しもできない。一度侵害されたり売却されたりすれば、その暴露は永久的なものとなる。

これはあなたにとって何を意味するか

もしあなたが23andMeの顧客なら、今回の訴訟は、あなたの同意なしにデータが売却されるのを防ぐための法的努力が現在積極的に行われていることを意味する。ただし、法的手続きには時間がかかり、債権者の利益がしばしば消費者保護と真っ向から対立する破産裁判では、結果は決して保証されない。

今すぐ取るべき具体的な手順がある。第一に、すでに23andMeにデータ削除リクエストを提出したかどうかを確認すること。同社はこれまでこの選択肢を提供してきた歴史があり、破産手続きで事が複雑になっているとはいえ、正式な削除リクエストを提出すれば、あなたの意思を示す記録が残る。第二に、アカウント作成時に署名した同意書を確認すること。これらの文書には、企業譲渡時のあなたの権利が記載されているかもしれない。

23andMeの件を超えて、この訴訟は遺伝子プライバシーについてより広く考える良いきっかけとなる。健康、フィットネス、祖先研究、調査目的のいずれであれ、生体情報やバイオデータを収集するサービスはすべて、従来のプライバシーツールの範囲外にある情報を保持している。そのデータを保護する法的枠組みは州によって大きく異なり、いまだ技術の進歩に追いついている最中だ。

米国でより広範なプライバシー法がどのように進化しているかに関心がある方には、Lofgren-Tillis Bill が、議員たちがデジタルデータの権利や既存の保護の限界についてどのように考えているかを知る有益な窓口となるだろう。

データブローカーリスクの全体像

23andMeの状況は、データブローカーエコシステムがどのように機能しているかを再認識させるものでもある。無害な目的で収集されたデータであっても、元の消費者には意図も慣行もまったく分からない当事者の手に最終的に渡る可能性がある。破産時の売却はその一つの経路だ。企業買収、データライセンス契約、セキュリティ侵害もまた、別の経路である。

遺伝子データは、存在する個人情報の中で最も機密性の高いカテゴリーの一つだ。病気の素因、家族関係、民族的遺産を明らかにしうる。悪意のある者の手に渡れば、保険会社や雇用主、法執行機関によって、消費者が予期せず、また同意したこともない方法で利用される可能性がある。

23andMeに対する多州訴訟は、米国における遺伝子プライバシー権にとって重要な瞬間である。売却を阻止できるかどうかはともかく、州司法長官たちが消費者データ問題に積極的に連携する意思があり、遺伝子データがより高度な法的保護に値するカテゴリーとして扱われるようになってきていることを、この訴訟はすでに示している。

いずれかの検査会社に遺伝子データを預けているなら、今がアカウント設定を見直し、自身の削除権を理解し、将来、どんなサービスにも生体データを提出する前によく考える時だ。あなたのDNAを守れるVPNは存在しないが、データを共有する前の十分な情報に基づく意思決定こそが、手に入る最も強力なプライバシーツールなのだ。