ハッキング被害を受けた遺伝子検査ツールの23andMeが利用規約を突然更新、顧客による集団訴訟の提起を禁止

遺伝子検査ツールの23andMeがハッキング被害に遭い、約690万人分の顧客の遺伝的データやプロフィール情報が漏えいした問題で、23andMeはハッキング被害を受けた顧客が23andMeに対して集団訴訟を起こすことができないように利用規約を変更しました。

Legal - Terms of Service - 23andMe International
https://www.23andme.com/en-int/legal/terms-of-service/

23andMe frantically changed its terms of service to prevent hacked customers from suing
https://www.engadget.com/23andme-frantically-changed-its-terms-of-service-to-prevent-hacked-customers-from-suing-152434306.html

2023年10月にクレデンシャルスタッフィング攻撃によるハッキング攻撃を受けた23andMeは当初、被害を受けた顧客の規模や詳細について明かしていませんでした。しかし、海外メディアからの問合せを受けた23andMeは、同じ遺伝子構成を持った顧客を照合する機能である「DNA Relatives」を有効にしている約550万人分の顧客データと、140万人分の家系図プロフィールに不正アクセスがあったことを認めました。

23andMeによると、ハッキング攻撃によって盗まれたデータには、顧客の氏名や誕生日、関係性を示すラベル、親戚と共有されているDNAの割合、祖先の報告、自己申告された所在地などの情報が含まれているとのこと。

遺伝子検査ツールの23andMeがハッキングにより690万人分の遺伝的データを盗まれる - GIGAZINE

合計690万人分の顧客データがハッキング被害を受けたことが発覚した数日後、23andMeは突如利用規約を更新。新しい利用規約では「お客様と当社は、各当事者が集団訴訟または集団仲裁としてではなく、個人の立場でのみ相手方の当事者に対して裁判を提起できることに同意します」との文言が加えられました。つまり、顧客が23andMeに対して集団訴訟を起こすことを全面的に禁止したわけです。

海外メディアのAxiosは「一般的に個人間での訴訟は非公開で行われることが多く、訴訟に関する情報が多くの顧客の目に触れることはありません。そのため、集団訴訟の提起を禁じることで、情報を一般の人々から隠すことが可能です」と指摘しています。

また、23andMeは顧客に対して、利用規約が変更されるという通知を受け取ってから30日以内に同意しない旨を23andMeにメールで送信しない限り、「新しい利用規約に同意した」と見なして自動的に新しい利用規約が適用されることを伝えています。

利用規約の変更について23andMeの広報担当者は「顧客が法廷で救済を求める権利を制限するためではなく、裁判の解決を迅速化するため」と述べていますが、新しい利用規約に対して多くの顧客が反発。

Xユーザーのダニエル・アロヨ氏は「23andMeは大きな失敗をしたにもかかわらず、陰険な態度で顧客をだまそうとしています」と指摘しています。

またポール・デューク氏は「23andMeは自分たちの失敗を覆い隠して顧客からの集団訴訟を回避しようとしています。恥ずべきことです」と批判しています。

これまでに23andMeには、カリフォルニア州の連邦裁判所や州裁判所、イリノイ州の州裁判所、カナダの裁判所で複数の集団訴訟が(PDFファイル)提起されています。

海外メディアのEngadgetはこの件について23andMeにコメントを求めていますが、記事作成時点で回答は得られていません。