IG Securities ซึ่งเป็นหน่วยงานในญี่ปุ่นของ IG Group เปิดเผยในวันที่ไม่ระบุว่าได้จัดการข้อมูลบันทึกลูกค้าประมาณ 190,000 รายการที่ถูกจัดประเภทเป็น “ข้อมูลส่วนบุคคลเฉพาะ” อย่างไม่เหมาะสม รวมถึงระบบเลขประจำตัวประชาชนของญี่ปุ่นที่รู้จักกันในชื่อ My Number เหตุการณ์ดังกล่าวมีสาเหตุมาจากแนวปฏิบัติและการดำเนินการด้านการจัดการข้อมูลภายในโดย IG Markets Limited ซึ่งเป็นนิติบุคคลที่เกี่ยวข้องซึ่งทำหน้าที่เป็นผู้รับจ้างภายนอก โดยไม่ใช่การยืนยันว่ามีการละเมิดจากภายนอก
ขนาดของขอบเขตที่ได้รับผลกระทบ
IG Securities ระบุสถานการณ์การได้รับข้อมูลที่แยกกัน 2 กรณี ในกรณีแรก มีการเข้าถึงบันทึกลูกค้า 162,879 รายการภายในระบบบางอย่างที่ใช้งานร่วมกันทั่วทั้งกลุ่ม IG บริษัทระบุว่ายังคงเป็นการเข้าถึงภายใน แต่ขนาดของเหตุการณ์ทำให้เกิดความกังวลเกี่ยวกับว่าข้อมูลที่อ่อนไหวถูกมองเห็นอย่างกว้างขวางเพียงใดนอกเหนือขอบเขตที่ตั้งใจไว้หรือไม่
ในกรณีที่สอง มีบันทึก 29,734 รายการถูกจัดเก็บบนเซิร์ฟเวอร์ที่ผู้ให้บริการคลาวด์เป็นผู้ดูแล IG Securities ระบุว่าการจัดเก็บดังกล่าวเกิดขึ้นโดยไม่ได้รับความยินยอมล่วงหน้าจากทางบริษัท แสดงถึงความล้มเหลวในการกำกับดูแลระหว่างหน่วยงานในญี่ปุ่นและผู้รับจ้างที่จัดการข้อมูล
ประเภทข้อมูลและบริบทด้านกฎระเบียบ
ข้อมูลที่ได้รับผลกระทบประกอบด้วยชื่อ-นามสกุลเต็ม วันเดือนปีเกิด เพศ ที่อยู่ตามที่อยู่อาศัย หมายเลขโทรศัพท์ ที่อยู่อีเมล และตัวระบุ My Number ข้อมูล My Number อยู่ภายใต้กฎการจัดการที่เข้มงวดในญี่ปุ่น เนื่องจากถูกใช้ในระบบภาษีและประกันสังคม
ญี่ปุ่นใช้การควบคุมอย่างเข้มงวดกับ “ข้อมูลส่วนบุคคลเฉพาะ” โดยเฉพาะตัวระบุ My Number บริษัทที่จัดการข้อมูลนี้คาดว่าจะจำกัดการเข้าถึง ใช้กระบวนการจัดเก็บที่ได้รับอนุมัติ และป้องกันการประมวลผลหรือการเปิดเผยโดยไม่ได้รับอนุญาต
IG Securities ระบุว่าจากการตรวจสอบของบริษัท ไม่พบหลักฐานว่าข้อมูลลูกค้าถูกปล่อยรั่วไหลออกนอกบริษัทหรือถูกเข้าถึงโดยบุคคลภายนอกที่ไม่ได้รับอนุญาต อย่างไรก็ตาม การจัดการข้อมูลภายในที่ไม่เหมาะสมยังอาจนำไปสู่การถูกตรวจสอบด้านกฎระเบียบ คำสั่งแก้ไข และความเสียหายด้านภาพลักษณ์ได้ โดยเฉพาะเมื่อเกี่ยวข้องกับข้อมูลตัวระบุระดับชาติที่อ่อนไหว
ธรรมาภิบาลข้อมูลและการตอบสนองของบริษัท
การเปิดเผยครั้งนี้ชี้ให้เห็นความเสี่ยงเชิงปฏิบัติการที่เกิดจากโครงสร้างโบรกเกอร์ระดับโลก ซึ่งข้อมูลลูกค้าอาจถูกโอนย้ายข้ามหน่วยงาน แพลตฟอร์ม และเขตอำนาจศาล ในกรณีนี้ การมีส่วนเกี่ยวข้องของ IG Markets Limited แสดงให้เห็นว่าเมื่อมีการมอบหมายงานภายในกลุ่มอาจก่อให้เกิดช่องว่างระหว่างการควบคุมที่เขียนไว้กับการจัดการข้อมูลที่เกิดขึ้นจริง
IG Securities ออกแถลงการณ์ขอโทษอย่างเป็นทางการ และประกาศแผนการที่จะเข้มงวดขึ้นในกรอบธรรมาภิบาลข้อมูล ขั้นตอนที่วางแผนไว้ ได้แก่ การกำหนดมาตรการควบคุมที่เข้มงวดขึ้นเกี่ยวกับวิธีที่นิติบุคคลที่เกี่ยวข้องเข้าถึงและจัดเก็บข้อมูลส่วนบุคคล รวมถึงกระบวนการอนุมัติที่ชัดเจนยิ่งขึ้นสำหรับโครงสร้างพื้นฐานภายนอก เช่น เซิร์ฟเวอร์คลาวด์
บริษัทไม่ได้เปิดเผยว่ามีการแจ้งหน่วยงานกำกับดูแลอย่างเป็นทางการแล้วหรือไม่ หรือกำลังพิจารณาค่าปรับอยู่หรือไม่ ด้วยจำนวนข้อมูลมากกว่า 190,000 รายการที่เกี่ยวข้องในทั้งสองสถานการณ์ กรณีนี้อาจดึงความสนใจจากหน่วยงานด้านการคุ้มครองข้อมูลของญี่ปุ่น
