IG Securities divulgue une mauvaise gestion de 190 000 dossiers clients au Japon

IG Securities, la branche basée au Japon du groupe IG, a révélé à une date non précisée qu’elle avait géré de manière inappropriée environ 190 000 dossiers clients classés comme « informations personnelles spécifiques », incluant le système japonais d’identification nationale connu sous le nom de My Number. L’incident découlerait de pratiques internes de traitement des données et d’actions menées par IG Markets Limited, une entité affiliée agissant comme entrepreneur externe, plutôt que d’une brèche externe confirmée.

Portée de l’exposition

IG Securities a identifié deux scénarios d’exposition distincts. Dans le premier, 162 879 dossiers clients étaient accessibles dans certains systèmes utilisés à travers le groupe IG. La société a déclaré que l’accès restait interne, mais l’ampleur a suscité des inquiétudes quant à la mesure dans laquelle des données sensibles pouvaient être consultées au-delà de ses limites prévues.

Dans le second cas, 29 734 dossiers ont été stockés sur un serveur géré par un fournisseur de services cloud. IG Securities a indiqué que ce stockage s’est produit sans son consentement préalable, ce qui signale une défaillance de la supervision entre l’entité japonaise et le contractant qui traitait les données.

Types de données et contexte réglementaire

L’information concernée comprenait les noms complets, les dates de naissance, le sexe, les adresses résidentielle, les numéros de téléphone, les adresses e-mail et les identifiants My Number. Les données My Number sont soumises à des règles de manipulation strictes au Japon en raison de leur utilisation dans les systèmes de taxation et de sécurité sociale.

Le Japon applique des contrôles stricts aux « informations personnelles spécifiques », en particulier les identifiants My Number. Les entreprises qui traitent ces données sont censées limiter l’accès, utiliser des processus de stockage approuvés et empêcher tout traitement ou divulgation non autorisé.

IG Securities a déclaré que son enquête n’a trouvé aucune preuve que les données clients aient été divulguées en dehors de l’entreprise ou consultées par des parties externes non autorisées. Cependant, une manipulation interne incorrecte peut toujours déclencher un examen réglementaire, des ordres correctifs et des dommages à la réputation, surtout lorsque des données d’identification nationale sensibles sont en jeu.

Gouvernance des données et réponse de l’entreprise

La divulgation met en évidence des risques opérationnels créés par des structures de courtage mondiales, où les données clients peuvent circuler entre des entités, des plateformes et des juridictions. Dans ce cas, l’implication d’IG Markets Limited montre comment la délégation au sein du groupe peut créer des lacunes entre les contrôles écrits et le traitement réel des données.

IG Securities a présenté une excuse formelle et a annoncé des plans pour renforcer son cadre de gouvernance des données. Les mesures prévues incluent des contrôles plus stricts sur la manière dont les entités affiliées accèdent et stockent les données personnelles, ainsi que des processus d’approbation plus clairs pour des infrastructures externes telles que les serveurs cloud.

La société n’a pas divulgué si les régulateurs ont été formellement informés ni si des pénalités sont à l’étude. Avec plus de 190 000 dossiers impliqués dans les deux scénarios, l’affaire pourrait attirer l’attention des autorités japonaises de protection des données.