### カリフォルニア州、23andMeに対する措置を発動 カリフォルニア州司法長官の**Rob Bonta**氏は、顧客データの保護を十分に怠り、2023年に大規模な侵害を引き起こしたとして、現在**Chrome Holding Co.**として事業を展開する**23andMe**に対して法的措置を開始しました。この侵害により、カリフォルニア州の住民855,541人を含む、約700万人のユーザーの機密情報が侵害されました。 ### 侵害の詳細と影響 この事件は、2023年10月に、攻撃者が盗まれた**23andMe**の記録を販売し、盗まれた情報の信憑性を証明するためにデータサンプルをリークし始めたことで明らかになりました。同社は、弱いパスワードで保護されたアカウントを悪用したクレデンシャルスタッフィング攻撃が原因であると説明し、侵害を認めました。 攻撃者は当初、より広範なアカウントへのアクセスを試みる前に、「DNA Relatives」機能のユーザーを標的にしました。合計で、この侵害により約690万人のユーザーの遺伝子データ、健康上の素因、祖先の詳細、生物学的な親族、DNAマッチが漏洩しました。 ### 過失および虚偽の説明の疑惑 訴訟では、**23andMe**がクレデンシャルスタッフィング攻撃を防ぐための合理的なセキュリティ対策を講じず、侵入を検知する機会を逃したと主張しています。また、同社は「DNA Relatives」機能における広範なデータ漏洩の一因となったコーディングエラーを特定できなかったとも主張しています。 さらに、司法長官は、**23andMe**が侵害前にセキュリティ基準に関して虚偽の説明を行い、その後事件の深刻さを軽視したと非難しています。同社は当初、漏洩したデータは大部分が公開されており、パスワードの使い回しをユーザーのせいにし、自社のシステム侵害を否定していました。 ### 法令違反と潜在的な罰則 司法長官は、**23andMe**の行為が、カリフォルニア遺伝子情報プライバシー法、カリフォルニア合理的なデータセキュリティ法、カリフォルニア消費者プライバシー法（**CCPA**）、虚偽広告法、および不公正競争法を含む、いくつかのカリフォルニア州法に違反したと主張しています。 訴訟では、さらなる違反を防ぐための差止命令と、違反1件あたり1,000ドルから7,500ドルの範囲の法定罰金が求められています。 ### 破産と進行中の調査 この訴訟は、以前の法的異議や調査に続いており、**23andMe**が破産を申請する一因となった数百万ドルの罰金も含まれています。司法長官室は、破産手続きとカリフォルニア住民の遺伝子データの売却提案は、この法的措置とは別のものであると明確にしています。