遺伝子検査製品を販売する企業は、消費者が医療機関を受診したり、食事や運動習慣をカスタマイズしたり、生き別れた親戚を見つけたり、自分の家族についてより深く理解できるように、DNA に基づいた洞察の利点(健康、家系、家系図について詳しく知ることができる)を宣伝しています。背景。しかし、消費者が DNA ベースの製品やサービスのメリットを実感するには、消費者がその正確性を信頼し、プライバシーの DNA に関連する企業の慣行 (データの最小化、目的の制限、保持の制限など) が守られることを信頼できる必要があります。 DNA のプライバシーを保護します。ここでは、遺伝子検査製品の販売業者である CRI Genetics、1Health/Vitagene、Genelink に関する 3 つの FTC 執行措置から得られた、プライバシー、データ セキュリティ、広告の真実、人工知能 (AI) に関する教訓をいくつか紹介します。
遺伝データを含む生体情報の保護は、FTC の最優先事項です。 発表以来 その 生体認証ポリシーステートメント 私2023年5月、FTCは消費者直販のDNA検査キット販売者2社に対する訴訟で和解した。これらの事例がなぜそれほど重要なのでしょうか?遺伝データは、消費者の健康、特徴、祖先に関する機密情報だけでなく、その家族に関する機密情報も明らかにします。他の一部のデータ型では識別特性を取り除くことができますが、遺伝情報に関しては必ずしもそうとは限りません。データの機密性が高い場合、特に生体認証監視が増加しているこの時代では、危害のリスクも高くなります。 FTCの行動 アマゾン/アレクサ そして 指輪 音声録音とビデオを保護することは、この点をさらに説明します。法の正しい側を守るために、これらの訴訟からの教訓に留意してください。
遺伝データを保護します。 1Health/Vitagene (消費者はこの会社を Vitagene として知っているかもしれません) と Genelink の両方で、FTC は遺伝子ベースの製品の販売者のデータ セキュリティが標準以下であると告発しました。 FTCのVitageneの訴状では、同社は遺伝子データの目録を作成しておらず、その一部が一般公開されているクラウドストレージの「バケット」に保存されていたことさえ認識していなかった、と主張している。さらに、同社はアクセス制御を使用せず、公的にアクセス可能なデータを暗号化せず、データへのアクセスを記録または監視せず、信頼できる警告を受けた後も問題を解決しなかったと言われています。 Genelink は Vitagene よりも約 9 年先行していますが、それでも不気味な類似点があります。 Genelinkの訴状によると、同社は機密データを平文で管理し、従業員と請負業者による機密データへのアクセスを制限せず、そのデータに対するリスクを評価できず、請負業者に安全対策の使用を義務付ける条項を契約に含めていなかったという。そしてGenelinkが彼らの実践を監督できるようにする。両方の訴状で説明されているデータ慣行は、どのデータにとっても粗末なものですが、特に機密性の高い遺伝情報については、そのデータの暴露によって消費者に危害が及ぶリスクが高くなります。遺伝データを収集または保存している場合、FTC がデータの機密性に応じたセキュリティを期待していることに気づくでしょう。
顧客アカウントを保護します。 遺伝データの保護は、ネットワーク セキュリティの向上を意味するだけではありません (これは必須ですが)。また、悪意のある者が遺伝データやその他の個人情報にアクセスできる顧客アカウントを保護することも意味します。データの機密性が高ければ高いほど、悪意のある者にとってそのデータはより価値のあるものになる可能性があり、これは顧客アカウントがハッカーの標的になる可能性が高いことを意味します。指輪の問題はその点を例示しています。訴状によると、ホームセキュリティカメラ会社は、クレデンシャルスタッフィング攻撃などの一般的なハッキング手法から顧客アカウントを保護するための合理的な措置を講じなかった。 (クレデンシャルスタッフィングには、消費者の他のアカウントにアクセスするために、侵害されたアカウントから取得したユーザー名やパスワードなどのクレデンシャルの使用が含まれます。)訴状では、Ring はこれらの攻撃を防ぐために中途半端な手段しか講じなかったと主張しています。たとえば、Ring は消費者が多要素認証を利用できるようにしましたが、消費者に多要素認証の使用を要求しませんでした。顧客アカウントは、自宅のプライベートな空間に保存されている消費者のビデオやライブ ストリームなどの非常に機密性の高い情報へのゲートウェイであったにもかかわらずです。顧客アカウントが機密データ (遺伝子検査の結果など) への同様のゲートウェイをデータ窃盗犯に提供している場合は、Ring の事例から学び、それらのアカウントを適切に保護してください。
過度に販売しないでください: 遺伝子検査に関する正確性の主張を支持できますか? 遺伝子検査製品についての主張を誇張しないように注意してください。傲慢と欺瞞の間には超えたくない一線があります。 CRI Geneticsの告訴状によると、同社はとりわけ、検査結果の正確性を誇張し(「99.9%以上の精度」)、レビューを偽造したという。祖先の DNA 検査に関する真実は次のとおりです。企業は、消費者の DNA を企業独自の DNA 参照データと比較することによって、消費者の祖先を推定します。彼らのアルゴリズムは、さまざまな誤差範囲で消費者の祖先を「予測」します。したがって、祖先に関する DNA 検査は、せいぜい、 推定 正確な科学ではなく、先祖の話です。 Genelinkの訴状によると、同社は遺伝子的にカスタマイズされた栄養補助食品が糖尿病、心臓病、関節炎、不眠症、その他の健康状態を治療できると主張したが、これらはすべて科学的裏付けがない。遺伝子検査の精度や DNA 関連製品の利点について主張する場合は、信頼できる科学に基づいてください。自分の主張を裏付ける合理的な根拠がない場合は、最初から主張しないでください。
FTC は、企業が人工知能をどのように使用するか、また使用すると主張するかを監視しています。 DNA アルゴリズムも例外ではありません。 FTC が消費者がバイアス、プライバシー侵害 (Amazon/Alexa および Ring)、または疑わしい精度 (WealthPress、DK Automation、Automators AI) などの重大な害を受けることなく AI の利点を確実に享受できるようにすることに重点を置いているのは周知の事実です。それは「DNAアルゴリズム」に関しても当てはまります。 CRI Geneticsの問題でFTCは、同社が広告で宣伝していた「特許取得済みのDNAアルゴリズム」は実際には特許を取得しておらず、同社が主張するような高精度の結果は得られなかったと主張した。この AI の時代において、一部の企業は、おそらく技術の洗練さを伝える手段として、AI とアルゴリズムについてゆるやかな話をしたがるかもしれません。気をつけて。 AI やアルゴリズムを宣伝する場合は、その主張が消費者を欺いたり、損害を与えたりしないようにしてください。
FTC には、遺伝データの使用と開示に対する「同意」の取得など、欺瞞的または不公平なダーク パターンに対抗してきた強力な実績があります。 Amazon/Prime、Publishers Clearinghouse、Vonage などの最近の執行措置は、FTC が違法とされるダークパターン、つまり消費者が故意に同意しない決定を強要する操作的なデザインに対抗することを高い優先順位で示していることを示しています。 CRI遺伝学の件はこの点を補強するものである。訴状によると、同社は消費者にさらなる購入を促すために、紛らわしいポップアップや案内、偽の「報酬」、緊急性の主張など、暗いパターンを利用したという。違法なダーク パターンとの継続的な戦いにおいて、CRI ジェネティクスとヴィタジーンの両方の命令は、遺伝子データの将来の使用または開示について、「積極的な明示的同意」、つまりダーク パターンの使用を排除する同意 – を取得することを企業に要求しています。企業は、同意を得るためにダークパターンを使用すべきではないことを認識しています。
ゲームのルールを変更するときは、ファウルを犯さないでください。 Vitagene の命令には、同社が重要な問題に関して条件を変更したとされるため、「積極的な明示的同意」要件が含まれているが、同社はこの重要な遡及変更について消費者から実際の同意を得ていなかった。訴状によると、同社がまだ変更を実施していなかったにもかかわらず、プライバシーポリシーのゲームルールを変更することは不当だったという。肝心なのは、消費者はデータの実践から何を期待できるかを知っておくべきだということです。個人情報 (特に遺伝データ) を収集するためのおとり商法は、FTC 法の要件に適合しません。
真実以外の何ものでもありません。 Vitagene に掲載された FTC の訴状によると、同社は、たとえば、遺伝子データの保存方法や遺伝子サンプルの破棄方法などについて、プライバシーに関する詳細な約束をしていたが、それらの約束を履行しなかった。同社は、遺伝的プライバシーに特化したページなどで、これらの約束を目立つようにしました(これは良いことです!)。しかし、訴状によると、情報を特定せずに遺伝データを保存するのではなく、結果を名前やその他の個人情報とともに保存したという。遺伝子データを削除する時期が来たとき、同社は一部の遺伝子データがどこに保存されているかさえわからなかったために削除できなかった。つまり、その約束も破ったことになる。そして同社は、特に契約上の義務を通じて、第三者機関が検査後に遺伝子サンプルを確実に破棄するためのプロセスを整備していなかった。結論: 遺伝子検査製品 (またはその他の製品) を販売している場合、消費者には真実を伝える義務があります。
これらの警告を無視すると、重大な結果が生じる可能性があります。 最近の遺伝子検査問題の両方で、両社はカリフォルニア州法に基づく民事罰(CRI Genetics)か、消費者救済(Vitagene)として多額の金銭的和解金を支払うことになった。さらに、両方の場合の命令は、企業に対し、特定の貴重な生体認証データまたは資料を削除または破棄することを要求しました。これらの救済策は、虚偽表示の禁止、FTCの措置の消費者への通知の義務付け、遺伝データの将来の使用または開示に対する積極的な明示的な同意の取得の義務付け、独立した評価によるセキュリティプログラムの義務付けなど、他の命令条項の上に設けられたものであった。 FTC 法やその他の法律を遵守しない場合、重大な結果が生じる可能性があることは明らかです。最善の策は、これらの教訓に従って、法律の正しい側にとどまることです。
