23andMeのデータ売却とプライバシーの危機――ユーザに何ができるのか

Electronic Frontier Foundation

系統DNA検査会社、23andMeのCEOが自社の売却を検討していると発言した。つまり、同社が1500万人ものユーザから収集し保管するセンシティブなDNAデータも売却されるおそれがある。ユーザやその親族たちが懸念を抱くのも当然だ。

研究によると、23andMeと同様のサービスであるGEDMatchのわずか130万人分のデータだけで、白人アメリカ人の過半数を遺伝的類似性から特定できるという。GEDMatchの遺伝子プロファイルのデータベースは、23andMeよりはるかに小規模だ。23andMeのユーザ数はGEDMatchの約10倍にのぼる。

このような極めてセンシティブな大量のデータを売却するなど、絶対に避けるべき愚行だ。幸い今のところ、同社は第三者への売却案を取り下げたようだ。だが23andMeが再び検討を始める前に、全ユーザに対して少なくとも以下のようなプライバシーに関する約束をすべきだ。

• 法執行機関とつながりのある企業やセキュリティ侵害の前科がある企業への売却は一切検討しない。
• 買収前に、全ユーザに対して情報の削除希望を積極的に確認し、事前にダウンロードできる選択肢も用意する。
• 買収前に、ユーザデータの移転について全ユーザから明確な同意を確認する。その際、ユーザが「ノー」と言える実質的な選択肢を提供する。また、プライバシーポリシーとは別に、買収企業名を明記し、ダークパターン（ユーザを誘導する巧妙なデザイン）を排除する。
• 買収前に、買収企業に強力なプライバシーとセキュリティの約束を求める。これには、法執行機関による無差別なデータベース検索の禁止や、個別の令状なしに個人の遺伝子データを法執行機関に開示しないことの保証が含まれる。
• 自社のデータ保持・共有ポリシーを根本から見直す。ユーザの大半は単に遺伝子検査を受けるためにこのサービスを利用している。2017年と2018年の調査では、40%以上のユーザが同社のビジネスモデルにデータ共有が含まれていることを知らなかったという事実がある。

23andMeは既に、一部の州のユーザにこれら権利の一部を法的に保証することが義務づけられている。しかし23andMe――そして、このようなセンシティブなデータの売却を検討するすべての企業――は、ユーザの切実なプライバシーへの懸念を和らげるために、現行法の枠を超えた対応をすべきだ。加えて、立法者は遺伝子プライバシーの保護をさらに強化していく必要がある。

23andMeのような企業が収集する個人の遺伝情報のプライバシーは、常にリスクと隣り合わせだ。だからこそ我々は、このようなサービスを利用する前に慎重に検討するよう消費者に呼びかけている。遺伝子データは不変であり、あなたや家族に関する極めてプライベートな情報を暴露するそおれがある。

センシティブなデータの保管は、常にデータ侵害の深刻な脅威にさらされ続ける。実際、昨年の23andMeの侵害事件では、顧客の半数近くの個人情報が流出した。このデータは、犯罪の証拠を無差別に探す目的で法執行機関に悪用される可能性もある。23andMeのポリシーでは警察への情報提供前に令状を要求しているが、そうでない企業も存在する。さらに、民間企業があなたの情報を使って差別的な扱いをする危険性もある。幸い、現行法では健康保険や雇用における遺伝子差別は禁止されている。

23andMeが売却された場合、あなたの遺伝子データはどうなる？

買収や破産による清算の場合でも、23andMeは約12の州のユーザの遺伝子データを買収企業に移転する前に、個別に同意を得なければならない。これらの州のユーザは拒否するだけでいい。さらに、米国の多くの人々は、買収の前後を問わず、法的に自分のデータにアクセスし、削除する権利を持っている。また、23andMeの買収者は、最低でも既存の遺伝子プライバシー法と23andMeの現行のプライバシーポリシーを遵守しなければならない。これらの保護の多くを執行するのは規制当局の役割だ。

現時点での法的状況を簡単にまとめると

• 23andMeは、買収時にデータを移転する前に、多くのユーザから同意を得る必要がある。これらのユーザは拒否する権利を持つ。少なくとも12の州が遺伝子プライバシーに特化した消費者データプライバシー法を制定している。例えば、モンタナ州の2023年法では、同意は他の文書とは別にし、買収者の名称を明記することを要求している。同意要件には多少の違いはあるが、アラバマ州、アリゾナ州、カリフォルニア州、ケンタッキー州、ネブラスカ州、メリーランド州、ミネソタ州、テネシー州、テキサス州、バージニア州、ユタ州、ワイオミング州にも同様の法律がある。特筆すべきは、ワイオミング州の法律に含まれる私訴権だ。これにより消費者は自らの権利を法廷で守ることができる。
• 多くのユーザは、買収の前後を問わず、23andMeに保存されているデータにアクセスし、削除する法的権利を持っている。約19の州が包括的なプライバシー法を持ち、ユーザに削除権とアクセス権を付与している。これらの法律の多くは、遺伝子データをセンシティブ情報として分類し、企業がそれを処理する際に同意を得ることを要求している。ただし残念なことに、これらの法律のほとんどが、23andMeのような企業が合併、買収、破産の一環としてユーザデータを自由に移転することを許している。
• 23andMeは自社のプライバシーポリシーを遵守しなければならない。違反すれば欺瞞的行為として制裁を受ける可能性がある。しかし、現行のプライバシーポリシーでは、合併、買収、破産の際のデータ移転を許可している点に注意が必要だ。
• 23andMeの買収者は、新たな同意を得ない限り、既存のユーザに対して現在提供されているものと同等かそれ以上のプライバシー権を提供しなければならない可能性が高い。連邦取引委員会（FTC）は、買収後にユーザデータのプライバシー保護を密かに低下させるような不公正な慣行を行わないよう企業に警告を発している。また、買収者は上述の包括的および遺伝子特有の州プライバシー法の網にも従わなければならない。
• 連邦の2008年遺伝情報差別禁止法により、健康保険会社や雇用主による遺伝子に基づく差別は禁止されている。

今すぐできる、あなたの遺伝子データを守る方法

既存のユーザには、23andMeにデータの削除を要求したり、過去の研究への同意を撤回したりする選択肢がある。

もし売却の可能性に不安を覚えるなら、まず情報をダウンロードしてアーカイブを作成し、その後23andMeのアカウント削除を検討しよう。そうすれば、23andMeからあなたのすべての情報が削除され、遺伝子サンプルも破棄される。アカウントを削除すると、将来の研究プロジェクトからも遺伝情報が削除されるが、既に共有されたものを遡って削除することはできない。アカウントのアーカイブと削除の具体的な方法はこちらを参考にしてほしい。

アーカイブされたアカウント情報を取得すると、データの一部はより読みやすい形式になっている。例えば、「レポートサマリー」は読みやすいPDFで届き、特徴や系統レポートに関する情報が含まれている。一方で、家系図のような情報はJSONファイルといった、あまり読みやすくない形式で届くことがある。

また、ユーザの約80%が医学研究のために遺伝子データを分析することに同意しているという事実がある。この同意はメールを送って撤回できる。このプログラムでは、第三者の研究者がこの情報や、追加のアンケート、その他提供した情報からのデータにアクセスできる。第三者の研究者には、非営利団体、GlaxoSmithKlineのような製薬会社、研究機関などが含まれる。23andMeはこのデータを使用してパーキンソン病などの研究を発表している。

同社の説明によると、このデータは非識別化されており、名前や連絡先情報などの明白な識別情報は削除されているという。しかし、遺伝子データの真の非識別化は不可能だ。名前のような明白な識別子から切り離されても、遺伝子データは世界でたった一人の人物に永遠に結びついている。実際、少なくとも一つの研究では、国立衛生研究所の遺伝子配列データベースであるGenBankのデータと組み合わせると、一部の系統データベースのデータから再識別の可能性が生じることが示されている。

23andMe、規制当局、立法者に求められる行動

上述のように、23andMeは現行法を遵守しなければならない。また、売却を再検討するのであれば、ユーザに追加的な約束をすべきだ。最も重要なのは、すべてのユーザにデータ移転を拒否する実質的な選択肢を与え、買収者が具体的なプライバシー保護の約束をすることを保証することである。他の消費者向け系統DNA企業も、これらの措置を先手を打って講じるべきだ。企業は情報の行き先と使用方法を明確にし、警察がデータベースを検索する前に個別の令状を要求すべきである。

政府の規制当局は、過去のFacebook WhatsApp買収の際のFTCの精査と同様に、同社の計画を注意深く監視し、所有権の移転の際にユーザデータをどのように保護するかを説明するよう同社に迫るべきだ。

立法者も、一般的な包括的プライバシー保護と特に遺伝子プライバシー保護の強化に取り組む必要がある。州ベースの遺伝子プライバシー法の多くは良いスタートではあるが、一般的に私的訴権が欠けており、米国の人口の一部しか保護していないのが現状だ。EFFは長年にわたり、私的訴権を含む強力な連邦プライバシー法の制定を提唱してきた。

我々のDNAは、文字通り私たちを人間たらしめているものだ。それは本質的に個人的で極めてプライベートなものであり、自分自身だけでなく遺伝的親族についても多くを語る。だからこそ、最大限のプライバシー保護に値する。センシティブなデータの巨大なデータベースを持つ企業の買収話は、立法者と規制当局に行動を促す警鐘となるべきだ。彼らが行動を起こす際には、EFFはそれを全力で支援する準備がある。

A Sale of 23andMe’s Data Would Be Bad for Privacy. Here’s What Customers Can Do. | Electronic Frontier Foundation