遺伝情報のプライバシーとセキュリティ: DNA 企業の試練

秘密の中には、あまりにも秘密すぎて誰も知りません。最近まで、それは私たちの DNA に閉じ込められた秘密を説明していました。しかし、急成長する遺伝子検査市場における消費者の信頼の鍵は、「あなたの秘密は当社に保管されます」という企業の約束を人々がどの程度信頼できるかです。遺伝情報のプライバシーとセキュリティに焦点を当てた最初の訴訟で、FTCは、サンフランシスコに拠点を置くVitagene, Inc.（現在は1Health.ioとして知られている）が約束を果たせず、顧客の同意なしに重大なプライバシー条件を不当に変更したと主張した。同意。提案された和解案とその他の最近の行動は、FTC が消費者の健康情報の保護に全力で取り組んでいるという明確なメッセージを送っています。

消費者が29〜259ドルを支払い、唾液サンプルをVitageneに送り、健康歴、家族歴、ライフスタイルに関するオンラインアンケートに回答すると、同社はパーソナライズされた健康レポートを提供した。報告書には顧客のフルネームと、多くの健康上の問題を引き起こすリスクの評価が含まれていた。

同社の Web サイトには、錠、鍵、安全なクラウドの画像を使用して、消費者の遺伝情報を慎重に扱うことを約束するという主張があふれていました。ここでは会社の誓約のほんの一部をご紹介します。

• 「当社では、業界標準のセキュリティ慣行を使用して、お客様の DNA サンプル、検査結果、およびお客様から提供されたその他の個人データを保管します。」
• 「ロック–強固なセキュリティ。 私たちは最新のテクノロジーを使用し、業界標準のセキュリティ慣行を超えてお客様のプライバシーを保護します。」
• 「Vitagene は、お客様の信頼を育む、責任ある透明性のある安全な環境でお客様の個人情報を収集、処理、保管します。」
• 「データはあなたが管理します。 データはいつでも削除できます。これにより、あなたの情報はすべてのサーバーから削除されます。」
• 「お客様のプライバシーを保護する 3 つの方法: 1. 結果と DNA サンプルは、名前やその他の一般的な識別情報なしで保存されます。 2. Vitagene は、分析後に物理的な DNA 唾液サンプルを破壊します。 3. お客様の明示的な同意がない限り、当社はお客様の情報を第三者と共有することはありません。」

プライバシーとセキュリティに関する素晴らしい話だが、FTC によれば、Vitagene は行動よりも話のほうが多かったという。詳細については訴状を読んでいただきたいと思いますが、物語の一部はクラウドから始まりました。 Vitagene は、IT インフラストラクチャのコンポーネントとして、消費者の健康レポートや DNA データなどの機密情報を保存するために有名なクラウド サービス プロバイダーを利用しました。 Vitagene は情報を保護するための組み込みの手段を使用せず、代わりに情報を「バケット」に保存し、インターネットにアクセスできる誰でも、約 2,400 人の Vitagene 顧客の詳細なレポートを閲覧できるようにしたとされています。また、アクセス可能: 少なくとも 227 人の他の顧客の生の遺伝データ (場合によっては名で特定される)。一方、ヴィタジェン 約束した 「超える 業界–標準的なセキュリティ慣行に従っている」とFTCは述べ、同社はそのデータを暗号化せず、アクセスを制限せず、アクセスを監視せず、セキュリティを確保するための在庫管理も行っていないとしている。 訴状はまた、Vitagene が次のことを確実にするための措置を講じなかったとも非難している。 アル分析するab多くの DNA サンプルには、それらを破棄するためのポリシーが導入されていました。

さらに、訴状では、ビタジェン社が顧客の健康情報や遺伝情報を公的にアクセスできる方法で保存しているとして、2年間にわたって3回に分けて警告を受けたと主張している。警告 #1: クラウド サービス プロバイダーからの 2017 年 7 月のメッセージでは、Vitagene が「インターネット上の誰からでも読み取りアクセスを許可する」ようにデータを設定したという内容でした。メールに含まれていたのは リンク アカウント コンソールとアクセスを制限する方法に関する情報。 Vitagene からの返答: コオロギ。

警告 #2 は、2018 年 11 月に Web アプリ侵入テストを実施したセキュリティ会社からのもので、「アップロードされた DNA データが保存されていることが判明しました。 。 。アクセス制御なしで。」告訴状では、Vitagene が再び 状況を改善できなかった。

警告 #3 は、2019 年 6 月に Vitagene のサポート受信箱に送信されたセキュリティ研究者からの電子メールでした。研究者がメディアに連絡した後、FTCは次のように述べている。 会社は最終的に調査した 顧客の健康情報が公にさらされること。しかし、Vitagene は誰がデータにアクセスしたりダウンロードしたのかを監視していなかったため、他の誰がその情報を閲覧したのかを特定できませんでした。。

Vitagene 社の失策疑惑はこれで終わりではなかった。同社は2020年にプライバシーポリシーを変更し、消費者のデータを共有できる第三者の種類を遡及的に拡大し、食料品店チェーンや栄養補助食品メーカーなどを含めた。そしてそれは通知せずにそれを行いました 以前のより制限的なプライバシー ポリシーに基づいてデータを提供した顧客 そして彼らの同意を得ること。

訴状では、業界のセキュリティ基準を超え、情報を特定せずにDNA結果を保存し、消費者の要求に応じてデータを削除し、物理的なDNAサンプルを破壊するよう配慮したという同社の約束は虚偽または誤解を招くものであったと主張している。さらに、FTCは、第三者との機密個人情報の共有に関する同社のプライバシーポリシーの事後変更は、FTC法に違反する不当な行為であったと主張している。 Vitagene の当初のプライバシー ポリシーでは、同社が改訂されたプライバシー ポリシーを掲載した後に顧客が同社のサービスにアクセスまたは使用することは、消費者が改訂された規約に同意したことを意味すると述べていましたが、その文言はそうではありませんでした。't Vitagene は、プライバシー慣行に重大な遡及的な変更を加える前に、通知を行って消費者の同意を得る義務を免除します。さらに、訴状では、同社が改定されたプライバシーポリシーに定められた広範な情報共有慣行をまだ実施していないにもかかわらず、同社の行為は不当であると主張している。

この訴訟を解決するために、1health.io は、隔年ごとの第三者評価を含む包括的な情報セキュリティ プログラムを実施することに同意しました。さらに、上級幹部は、会社が和解条件を遵守していることを毎年証明する必要があります。 提案された和解案 また 75,000ドルの経済的救済が含まれます。和解案が連邦公報に掲載されると、30 日以内にパブリックコメントを提出することができます。

FTC の行動から他の企業は何を得ることができますか?

遺伝データを含む機密の健康情報には集中治療が必要です。 あなたの会社が消費者の健康情報を収集または維持している場合、実装する必要があるプライバシーとセキュリティの基準の基準を引き上げることになります。データの取り扱いに関する約束を実証するために特に注意してください。 (ちなみに、FTC の生体認証情報に関する 2023 年 5 月の政策声明をまだ読んでいない場合は、今すぐ時間を確保してください。)

データが所有されているからといって、それがあなたのものであるとは限りません。 消費者のデータを収集しても、それを自由に好きなように扱えるわけではありません。消費者には、お客様が自分の情報をどのように使用する予定であるかを事前に知る権利があり、お客様にはその表明に従う法的義務があります。つまり、将来的に自分のやり方を変えたい場合、プライバシー ポリシーをおとりで変更するだけでは十分ではないということです。データを新たに使用する場合は、消費者の積極的な明示的な同意が必要になります。

セキュリティに関して言えば、データをクラウドに保存しても、頭をクラウドに置いておくことができるという意味ではありません。 FTCは長年、データをクラウドに保存しても企業にセキュリティへのフリーパスが与えられるわけではないと主張してきた。クラウド セキュリティ設定を適切に構成したり、クラウド ストレージのインベントリを作成して監査したりするなど、データを保護するための適切な措置を講じるのは依然としてお客様の責任です。 FTC のクラウド コンピューティングに関する情報要求が明らかにしているように、クラウド テクノロジーの販売者とそのサービスを利用する企業は、消費者の個人情報を保護する責任を共有しています。

潜在的なセキュリティ失効に関する信頼できる警告に対応します。 Vitagene に対する訴状では、同社が他の警告に注意を払わなかった複数の事例が主張されている。s – クラウドストレージのプロバイダーを含む – はクラウドベースの情報のセキュリティについて打診していた。これらのアラートが適切な人に確実に届けられ、適切な対応が即座に受けられるようにするシステムは導入されていますか?