IG Securities、 日本で190,000件の顧客データの不適切な取り扱いを開示

IG Groupの日本拠点であるIG Securitiesは、特定されていない日付に、 「特定個人情報」と分類された約190,000件の顧客記録を不適切に取り扱っていたことを開示した。これには、日本の国民識別番号制度として知られるMy Numberが含まれていた。この事案は、確定した外部侵害ではなく、IG Markets Limitedによるものとされている。IG Markets Limitedは関連会社で、外部の委託業者として行動していた。

影響範囲の規模

IG Securitiesは、2つの別々の曝露シナリオを特定した。1つ目では、162,879件の顧客記録が、IG Group内で使用されている一定のシステムでアクセス可能だった。会社はアクセスは社内にとどまっていたと述べたが、その規模は、意図した境界を越えてどれほど広く機微なデータが閲覧可能になっていたのかという懸念を高めた。

2つ目のケースでは、29,734件の記録がクラウドサービス提供者によって管理されるサーバーに保存されていた。IG Securitiesは、この保存は事前の同意なしに行われたと述べており、日本の事業体とデータを取り扱っていた委託業者の間で監督が機能していなかったことを示している。

データの種類と規制上の文脈

影響を受けた情報には、氏名、出生年月日、性別、居住住所、電話番号、メールアドレス、My Numberの識別子が含まれていた。My Numberデータは、課税や社会保障のシステムで使用されるため、日本では厳格な取り扱いルールの対象となる。

日本では「特定個人情報」、特にMy Number識別子に対して厳しい管理が適用される。このデータを取り扱う企業には、アクセスを制限し、承認された保管プロセスを使用し、不正な処理や開示を防ぐことが求められている。

IG Securitiesは、調査の結果、顧客データが会社の外部に漏えいした証拠や、不正な外部当事者によるアクセスの証拠は見つからなかったと述べた。しかし、不適切な社内での取り扱いは、それが機微な国の識別子データに関わる場合には、規制当局の精査、是正命令、そして風評被害を引き起こす可能性がある。

データガバナンスと会社の対応

今回の開示は、顧客データが事業体、プラットフォーム、管轄区域をまたいで移動し得る、グローバルなブローカレッジ構造によって生じる業務上のリスクを浮き彫りにしている。この件ではIG Markets Limitedの関与が、グループ内の委任が、文書上の統制と実際のデータ取り扱いとの間にギャップを生み得ることを示している。

IG Securitiesは正式な謝罪を行い、データガバナンスの枠組みを強化する計画を発表した。計画されている手順には、関連事業体が個人データにアクセスし保存する方法に関するより厳格な統制、ならびにクラウドサーバーのような外部インフラについての明確な承認プロセスが含まれる。

同社は、規制当局に対して正式に通知が行われたか、またペナルティが検討されているかどうかを開示していない。両方のシナリオを合わせて190,000件超の記録が関与していることから、この事例は日本のデータ保護当局の注目を集める可能性がある。