IG Securities, японське підрозділення IG Group, повідомило в невизначену дату, що воно неналежним чином обробило приблизно 190,000 записів клієнтів, класифікованих як «специфічна персональна інформація», включно з національною ідентифікаційною системою Японії My Number. Інцидент виник через внутрішні практики обробки даних і дії IG Markets Limited, пов’язаного суб’єкта, який виступав як зовнішній підрядник, а не внаслідок підтвердженого зовнішнього витоку.
Масштаб ураження
IG Securities визначило два окремі сценарії впливу. У першому 162,879 записів клієнтів були доступні в межах певних систем, що використовуються в IG Group. Компанія заявила, що доступ залишався внутрішнім, але масштаб викликав занепокоєння щодо того, наскільки широко чутливі дані були видимі поза призначеними межами.
У другому випадку 29,734 записи зберігалися на сервері, який обслуговував постачальник хмарних послуг. IG Securities повідомила, що це зберігання відбувалося без її попередньої згоди, що вказує на збій нагляду між японською стороною та підрядником, який обробляв дані.
Типи даних і нормативний контекст
Постраждала інформація включала повні імена, дати народження, стать, адреси проживання, номера телефонів, адреси електронної пошти та ідентифікатори My Number. Дані My Number підпадають під суворі правила обробки в Японії через їх використання в системах оподаткування та соціального забезпечення.
Японія застосовує жорсткий контроль для «специфічної персональної інформації», зокрема ідентифікаторів My Number. Компанії, що працюють із цими даними, мають очікувано обмежувати доступ, використовувати погоджені процеси зберігання та запобігати несанкціонованій обробці або розголошенню.
IG Securities заявила, що під час розслідування не виявила доказів того, що дані клієнтів були витікнуті за межі компанії або доступні неуповноваженим зовнішнім сторонам. Однак неналежне внутрішнє поводження все ще може спричинити регуляторну увагу, коригувальні накази та репутаційну шкоду, особливо коли йдеться про чутливі дані національного ідентифікатора.
Керування даними та відповідь компанії
Повідомлення підкреслює операційні ризики, створені глобальними брокерськими структурами, де дані клієнтів можуть переходити між суб’єктами, платформами та юрисдикціями. У цьому випадку участь IG Markets Limited демонструє, як внутрішньогрупове делегування може створити прогалини між задокументованими контролями та фактичним поводженням із даними.
IG Securities опублікувала офіційні вибачення та оголосила плани посилити свою структуру керування даними. Заплановані кроки включають більш суворі контролі щодо того, як афілійовані суб’єкти отримують доступ і зберігають персональні дані, а також чіткіші процеси погодження для зовнішньої інфраструктури, такої як хмарні сервери.
Компанія не повідомила, чи регулятори були офіційно поінформовані, і чи переглядаються санкції. За наявності понад 190,000 записів, залучених у обох сценаріях, ця справа може привернути увагу з боку органів захисту даних Японії.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
