米国上場のDTC遺伝子検査企業がセキュリティインシデント情報を開示 ブックマークが追加されました
最新動向/市場予測
米国上場のDTC遺伝子検査企業がセキュリティインシデント情報を開示
【第194号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2023年12月1日、米国カリフォルニア州の消費者直接取引型(DTC)遺伝子検査企業でNASDAQに上場する23andMeは、米国証券取引員会(SEC)に、「Form 8-K臨時報告書: 過去に提出した8-Kの訂正」を提出しました。この報告書は、同社が2023年10月10日、SECに提出した「Form 8-K臨時報告書: 予定外の重大事象または企業の事象の報告書」で開示したサイバーセキュリティインシデント情報の一部を訂正したものだとしています。
第194号 2023.12.20公開
23andMeは、同年10月10日、SECに提出したForm 8-K臨時報告書の中で、最近、DNA親戚関係機能において、顧客が遺伝学的な親戚関係を生成して共有することを選択した、特定のプロファイル情報が、アカウントユーザーの認可なしに個々の23andMe.comアカウントからアクセスされたことを確認したと公表しました。この時点では、23andMeのシステム内でデータセキュリティインシデントがあったことや、同社がこれらの攻撃で使用されたアカウント資格情報のソースだったことを示すものはないと説明していました。また、23andMe.comのWebサイト上で使用されたユーザー名やパスワードが、過去に侵害されたもしくは利用可能だった他のサイトで使用されたものと同じである場合、同社は、攻撃者がユーザーアカウントにアクセスできたと信じているとしていました。
そして同社は、本事案の調査を継続する一方、インシデント対応計画に従い、積極的なサイバーセキュリティ対策をとってインシデントの潜在的な影響を低減すること、アクセスされたデータがWebサイトからの適正なデータであったか否かを検証するために尽力すること、不正な個人によりアクセスされたデータの全体像を判断することなど、直ちに対策を講じたとしていました。同社は、第三者のフォレンジック専門家を確保して、インシデントの原因やスコープに関する調査や、インシデントの影響の低減・救済策を支援していると説明した上で、調査期間中、新たにこのForm 8-K臨時報告書の内容とは異なる情報を認識する可能性があり、これらの結果による費用や影響度を予測できないとしていました。
その後23andMeは、12月1日に提出したForm 8-K訂正報告書の中で、2023年10月1日、脅威アクターが23andMeユーザーのプロファイル情報を持っているというオンラインサイト上の投稿からインシデント発生を知った23andMeが、直ちに調査を開始し、不正行為の範囲を判断する際に支援するために第三者のインシデント対応専門家を関与させたことを公表しています。調査に基づいて同社は、23andMeのWebサイト上で使用されたユーザー名やパスワードが、過去に侵害されたもしくは利用可能だった他のサイトで使用されたもの(クレデンシャルスタッフィング攻撃を受けたアカウント)と同じである場合、攻撃者がユーザーアカウントのごく一部(0.1%)にアクセスできたと判断したとしています。
また、クレデンシャルスタッフィング攻撃を受けたアカウントで脅威アクターによりアクセスされた情報は、ユーザーアカウントにより異なるが、一般的には祖先の情報が含まれており、アカウントの一部については、ユーザーの遺伝学に基づく健康関連情報が含まれていたことを公表しています。また脅威アクターは、クレデンシャルスタッフィング攻撃を受けたアカウントのアクセスを利用して、23andMeのDNA親戚関係機能にオプトインした際、共有を選択した他ユーザーの祖先に関するプロファイル情報を含む大量のファイルにアクセスしたとしています。23andMeは、パブリックドメインからこれらの情報を削除するために取り組んでいるとしています。
加えて23andMeは、Form 8-K訂正報告書をSECに提出した時点で、このインシデントに関連する一時的支出(技術コンサルティングサービス、弁護士費用およびその他の第三者のアドバイザー向け費用)として、第三四半期(2023年10月1日~12月31日)中に100万~200万米ドルが発生する見通しであること、これらの費用および直接的・間接的なビジネス面の影響が、2023会計年度(2023年4月1日~2024年3月31日)の決算にマイナスの影響をもたらす可能性があることを公表しています。
なお23andMeは、カリフォルニア州内で消費者直接取引型(DTC)遺伝子検査を展開する企業であり、カリフォルニア州消費者プライバシー法(CCPA)、カリフォルニア州遺伝情報プライバシー保護法(GIPA)など、州独自のプライバシー保護規制の影響について注視する必要があります。また連邦政府レベルでは、米国大統領行政府の「持続可能な安全でセキュアな米国のバイオエコノミーのために進化するバイオ技術・バイオ製造に関する大統領令」や「対米外国投資委員会による国家安全保障リスクの進展に対する堅牢性の考慮の確保に関する大統領令」において、遺伝子情報を取り扱うバイオテクノロジーが重点領域となっているため、経済安全保障規制の影響についても注視する必要があります。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・米国では、保健福祉省(HHS)/医薬食品局(FDA)の所管外にある民間の遺伝子検査サービス企業のプライバシーやデータセキュリティに対して、 証券取引委員会(SEC)、連邦取引委員会(FTC)、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、各州政府機関などが規制を強化する動きが顕在化している。特に、サイバーインシデント報告義務については、医療分野に先行して厳格化されている。日本国内で民間遺伝子検査企業とデータ連携する可能性がある医療機関も、このような世界的背景を踏まえた上で、インシデント対応計画やリスクコミュニケーション体制について再検討していく必要がある。
医療機器メーカー/医療品メーカー
・23andMeのような民間遺伝子検査企業が収集した遺伝子データの2次利用については、スタートアップのみならず大規模ライフサイエンス企業も様々な契約形態で関わっているケースが多い。特にメーカー側の新規製品開発向けに遺伝子データを2次利用する場合、1次利用する遺伝子検査企業側のサイバーインシデント対応が直接的・間接的に及ぶ可能性があるので、注意する必要がある。また、米国市民の遺伝子データは、米国連邦政府の国家安全保障上保護対象になっているので、経済安全保障対策も考慮する必要がある。
サプライヤー
・民間遺伝子検査企業向けに製品・サービスを提供するサプライヤーは、遺伝子データが高度なサイバー攻撃の標的であり、経済安全保障上の保護も要求されつつある点を踏まえて、インシデント対応計画、サプライチェーンリスクマネジメントなどの要求事項を再確認し、自社製品・サービスのライフサイクルに及ぼす影響度を事前に評価しておく必要がある。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
執筆者
笹原 英司/Eiji Sasahara
デロイト トーマツ サイバー合同会社 シニアマネジャー
宮崎県出身、千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
NPO法人ヘルスケアクラウド研究会・理事