IG Securities gibt unsachgemäßen Umgang mit 190.000 Kundendatensätzen in Japan bekannt

IG Securities, der in Japan ansässige Geschäftsbereich der IG Group, gab an einem nicht näher bezeichneten Datum bekannt, dass es etwa 190.000 Kundendatensätze, die als „spezielle personenbezogene Informationen“ eingestuft sind, unsachgemäß behandelt habe. Dazu gehörten auch das in Japan bekannte nationale Identifikationsnummern-System namens My Number. Der Vorfall ging auf interne Praktiken der Datenverarbeitung und Handlungen von IG Markets Limited zurück, einer verbundenen Einheit, die als externer Auftragnehmer fungierte, statt auf einen bestätigten externen Sicherheitsvorfall.

Umfang der Betroffenheit

IG Securities identifizierte zwei getrennte Szenarien der Exponierung. Im ersten Fall waren 162.879 Kundendatensätze in bestimmten Systemen zugänglich, die in der IG Group genutzt werden. Das Unternehmen erklärte, dass der Zugriff intern blieb, doch das Ausmaß ließ Bedenken aufkommen, wie breit sensible Daten außerhalb der vorgesehenen Grenzen einsehbar waren.

Im zweiten Fall wurden 29.734 Datensätze auf einem Server gespeichert, der von einem Cloud-Service-Provider verwaltet wird. IG Securities sagte, dass diese Speicherung ohne seine vorherige Zustimmung erfolgte, was auf einen Kontrollverlust zwischen der japanischen Einheit und dem Auftragnehmer hindeutet, der mit der Datenverarbeitung beauftragt war.

Datentypen und regulatorischer Kontext

Die betroffenen Informationen umfassten vollständige Namen, Geburtsdaten, Geschlecht, Wohnadressen, Telefonnummern, E-Mail-Adressen und My-Number-Identifikatoren. My-Number-Daten unterliegen in Japan strengen Handhabungsregeln, weil sie in Steuer- und Sozialversicherungssystemen verwendet werden.

Japan wendet strikte Kontrollen auf „spezielle personenbezogene Informationen“ an, insbesondere auf My-Number-Identifikatoren. Unternehmen, die mit diesen Daten umgehen, werden erwartet, den Zugriff einzuschränken, genehmigte Speicherprozesse zu nutzen und eine nicht autorisierte Verarbeitung oder Offenlegung zu verhindern.

IG Securities sagte, dass seine Untersuchung keine Hinweise darauf gefunden habe, dass Kundendaten außerhalb des Unternehmens geleakt wurden oder von nicht autorisierten externen Parteien abgerufen wurden. Eine unsachgemäße interne Handhabung kann jedoch weiterhin eine behördliche Prüfung, Korrekturanordnungen und einen Reputationsschaden auslösen, insbesondere wenn es um sensible Daten nationaler Identifikatoren geht.

Datenverwaltung und Reaktion des Unternehmens

Die Offenlegung verdeutlicht die operativen Risiken, die durch globale Broker-Strukturen entstehen, in denen Kundendaten zwischen Einheiten, Plattformen und Rechtsräumen verschoben werden können. In diesem Fall zeigt die Einbindung von IG Markets Limited, wie die Delegation innerhalb der Unternehmensgruppe Lücken zwischen schriftlichen Kontrollen und tatsächlicher Datenhandhabung schaffen kann.

IG Securities veröffentlichte eine formelle Entschuldigung und kündigte Pläne an, seinen Rahmen zur Datenverwaltung zu verschärfen. Geplante Schritte umfassen strengere Kontrollen darüber, wie verbundene Einheiten auf personenbezogene Daten zugreifen und sie speichern, sowie klarere Genehmigungsprozesse für externe Infrastruktur wie Cloud-Server.

Das Unternehmen legte nicht offen, ob die Regulierungsbehörden formell benachrichtigt wurden oder ob Strafen derzeit geprüft werden. Da in beiden Szenarien mehr als 190.000 Datensätze betroffen sind, könnte der Fall die Aufmerksamkeit der japanischen Datenschutzbehörden auf sich ziehen.