カナダと英国の個人情報保護当局は、昨年の23andMeのデータ流出で流出した機密顧客情報の範囲を評価するため、合同調査を開始した。
カナダのプライバシー・コミッショナーと情報コミッショナー事務所(ICO)は、同社がシステムに保存された顧客データを保護するための適切な保護措置を講じていたかどうかも調査する。
共同調査はまた、23andMeがカナダと英国のプライバシー法とデータ保護法で義務付けられている通り、影響を受けた個人とプライバシー規制当局に警告を発したかどうかも調べる。
「悪用されれば、個人の遺伝情報が監視や差別に悪用される可能性がある。悪意ある行為者による攻撃から個人情報が適切に保護されるようにすることは、カナダおよび世界中のプライバシー当局にとって重要な焦点です」と、カナダのフィリップ・デュフレーヌ個人情報保護委員は述べた。
英国情報コミッショナーのジョン・エドワーズは、「人々は、最もセンシティブな個人情報を扱ういかなる組織も、適切なセキュリティと保護措置を講じていることを信頼する必要があります」と付け加えた。
「今回のデータ漏洩は国際的な影響を及ぼし、私たちは、英国の人々の個人情報が確実に保護されるよう、カナダの担当者と協力していくことを楽しみにしています」。
23andMeのアカウントがクレデンシャル・スタッフィング攻撃で流出
1月、遺伝子検査プロバイダーの23andMeは、攻撃者が4月29日から9月27日までの5ヶ月間、クレデンシャル・スタッフィング攻撃で、影響を受けた顧客の健康レポートと生の遺伝子型データを盗んだことを確認した。
攻撃者は23andMeのアカウントに侵入するために、他のデータ漏洩や侵害されたオンライン・プラットフォームから盗んだ認証情報を使用した。
10月10日に攻撃を検知すると、23andMeはすべての顧客にパスワードのリセットを要求し始めた。11月6日以降、すべての新規および既存顧客に対して2ファクタ認証がデフォルトで有効になっている。
同社は、影響を受けた個人に送られたデータ流出通知書の中で、一部の盗まれたデータがハッキングフォーラムBreachForumsと非公式23andMe subredditに投稿されたことを明らかにした。
流出した情報には、英国在住の410万人とアシュケナージ系ユダヤ人100万人のデータが含まれていた。
23andMeは12月、脅威行為者が約14,000人のユーザーアカウントを侵害し、1,400万人の顧客のうち690万人分のデータをダウンロードしたと発表した。
約550万人がDNA Relatives機能で、140万人がFamily Tree機能でデータをスクレイピングされた。
この事件により、23andMe社に対して複数の訴訟が提起され、同社は11月30日に利用規約を更新し、顧客が集団訴訟に参加することを困難にした。
しかし23andMeは、この変更は仲裁プロセスをより効率的にし、顧客がより理解しやすくするために行われたと述べている。
Comments