23andMeのデータ流出事件。遺伝子情報リークに潜む危機

盗まれた遺伝子情報、どう悪用される？

10月にハッキングに遭った23andMeが、流出してしまった顧客データは1万4000人分だった報告していましたが、先週、実際には690万人分だったことを認めました。

その後、23andMeはユーザーに対して、集団訴訟ではなく集団仲裁をするように促す利用規約の更新をささっと行なっています。

今回盗まれたデータには名前や遺伝子情報などが含まれていて、かなりセンシティブな情報のはずなのですが、あるTikTokユーザーは23andMeのハッキングニュース動画に｢私のクローンでも作るってこと？｣とコメント投稿しています。

そうなんです。実際はDNA情報が盗まれて、それが一体どう悪用されるのかわからないっていう気持ちの人が多いようです。

専門家は大惨事だというこの流出

ハッカーがDNA情報を使って、研究室でクローン人間や勝手に兄弟を作る...なんてことは、ほとんど可能性としてはないとしても、やはり専門家はこのハッキングは｢大惨事｣だという見解を示しています。

Surveillance Technology Oversight Project（監視技術監視プロジェクト）のAlbert Fox Cahn氏は、

私たちの誰も、今このリークの完全な被害や影響がわかりません。でもそれが時間と共に悪化するというのは確実なことです。コンピュータがもっと強力になるにつれて、DNA情報を武器にする力も上がってくるのです。このハッキングは私たちの健康情報から家系図、そして生物学的な詳細な情報までいろんな情報を漏らす可能性があるのです。

と述べています。

23andMeの広報担当者によると、ハッカーは名前、生まれ年、関係性、家族名、所在地などのデータを盗んでいます。さらに、DNAデータで親戚と繋がる機能｢DNA Relatives｣に同意した140万人の家系図プロファイル情報にもハッカーはアクセスしています。

しかし、一番最悪なのは遺伝子情報です。ユーザーが親戚と共有しているDNAの割合に関する情報だけでなく、23andMeは祖先の報告書や一致するDNAセグメント（具体的にはどの染色体上で親戚と一致するか）も漏洩してしまっています。

すでに販売されていた遺伝子データ

流出したデータは、既に売りに出されているようです。Wiredが10月に、データハッキングのタイミングと同じ頃に、あるユーザーが有名なハッキングフォーラム上で、23andMeから盗まれたデータを広告していたと報じています。

ユダヤ系アシュケナジ派の約100万人分、中国系23andMeユーザーの約10万人分のデータを証拠として公開していて、データセットごとに1ドルから10ドルで売り出していました。

個別の補償や訴訟ができない条項

一般的に、企業はデータ侵害から顧客を保護する法的な義務があるので、今回のハッキング事件は訴訟の対象になる可能性がありますが、23andMeはその対策として｢仲裁条項｣が利用規約に組み込まれています。

この条項でユーザーは訴訟権を放棄せざるを得なくなっているのです。23andMeは先週、（偶然にもハッキングされたことを証券取引委員会に通知したのと同じ時期に…）23andMeのユーザーは個別に補償を求めることができないという｢集団仲裁｣プロセスの利用規約の更新を公開しているんです。個々に訴えられないように先手を打った形ですね。

23andMeの広報担当者は米Gizmodoに対して、

新しい利用規約には、より効率的な紛争解決を可能にする集団仲裁条項が含まれています。

と返答がありました。ユーザーは1月4日までにarbitrationoptout@23andme.comにメールをすれば、この新しい仲裁規定から除外を申請できるようになっています。

インターネット上にこのようなデータが漂っていることが具体的にどういう意味があるのかを理解するのは難しいかもしれません。ハッキングやデータ侵害は日常茶飯事で、Google（グーグル）やMetaなどの企業が｢合法的な｣手段を使って吸い上げてる数兆ものデータポイントもありますしね。

一方専門家は、一般の人たちがあまり直接的に影響を感じないことが問題だと言います。私たちの個人情報は、裏でさまざまな目的で、複雑そして不透明な方法で使用されています。それは私たちの生活に劇的な影響を与えているはずなのですが、でもどのデータが何を起こしているのかわからないですよね。

すでにデータで日々見るものが選ばれている

電子プライバシー情報センターのSuzanne Bernstein氏は

商業プロファイリングの大きなシステムにズームアウトしていくと、機会の損失に本当に影響を与えることがあります。あなたから収集されたデータによって、あなたが提供されたり、されなかったりするものが決まるのです。

それはたとえば、あなたが見る広告や受け取るメールのような日常のちょっとしたことですが、すでにそれは情報によって選ばれているということなのです。

と米Gizmodoにメールで説明してくれました。

インターネット上に飛び交う個人情報は、仕事の採用審査やクレジットカードやローン申請に利用されたり、保険会社は保険料の設定に使用したりもします。そしてもちろん、犯罪者が詳細な情報を掘り出したら、わたしたちも個人情報盗難の被害者になってしまうのです。

遺伝情報はこういった問題とは無関係のように思えるかもしれませんが、実際にはそうではありません。遺伝情報は変更することはできない情報なのでかなり繊細なものです。

Bernstein氏は

そして遺伝子情報はまた、診断や家族の病歴などの他の健康情報を推論するために使用される可能性があります。それが広範なエコシステムで行なわれるプロファイリングの一部になるリスクがあります。

と述べています。

そして、これは今現在の私たちが遺伝子情報を悪用されたらどうなるか、ということだけです。遺伝子科学は急速に進化しているので、将来この情報がいったいどうやって何に使われてしまうのかは、今はわかりません。

変化する未来に合わせた使い方がされる遺伝子情報

デューク大学サンフォード公共政策学部のustin Sherman氏は

プライバシーと監視はコンテキストに重く依存しているものです。新しい遺伝子解析、ターゲティング、監視技術が開発されるにつれて、現在多くの人が予測できない方法で遺伝子情報のプライバシーと監視のコンテキストは大きく変化するでしょう。

と述べています。

23andMeは完全に責任を放棄しているというわけではありませんが、今回のハッキングに関する発表では、自分たちも被害者だというような空気感がありました。

広報担当者は今回のデータ侵害は、他のアカウントで使用されていて、しかも漏洩していたパスワードをユーザーが再利用したことで起きたと説明しています。

ハッカーは他で漏洩したパスワードを使用して1万4000人分のアカウントに侵入したというわけですが、でもこれっとても単純なセキュリティ違反なんです。

23andMeはデータ収集の監視塔として設計されており、ユーザーに対して他のユーザーや製薬産業のパートナーなど、さまざまな相手とデータを共有するようにプレッシャーをかけています。この共有設定によって、ハッカーは1万4000件の侵害されたアカウントから、さらに何百万人もの他の人たちの情報を盗むことができたのです。

甘すぎた23andMeのセキュリティ

パスワードの再利用はリスキーなことですが、セキュリティ専門家は悪いパスワードを使ってしまうのはよくあることだとしています。専門家によると、23andMeのハックは実は容易に防げるものだったそうです。

デジタルセキュリティ企業Disconnectの最高技術責任者Patrick Jackson氏は

23andMeがアカウントアクセスに二要素認証を採用していなかったことは許容できません。ハッカーは23andMeのような繊細な​​データを持つサイトを標的にしていて、二要素認証がない場合は資格情報の詰め込み攻撃ができるため、脆弱になってしまうのです。

と述べています。

ほとんどの人が遺伝子情報が今の私たちの生活において、どう悪用されるかピンとこないのはしょうがないってことですね。使われるための技術が今ははっきりとしていないからです。

でも今の生活で考えられる身近なことで、たとえば遺伝子情報を使ってお金を引き出せるようになる、家に入れるようになる、なんてことがデータの流出で他人にされるって大変な犯罪だ！ってピンときますよね。

遺伝子情報を使った技術が発展すると、その使い道も増えてくるので、今流出してしまっている情報が将来使われてしまうってことです...逆に何が起こるかわからないので、かなり怖いものです。