IG Securities 在日本披露其不當處理 190,000 筆客戶記錄
IG Securities(IG Group 於日本的子公司)在未指明日期透露,它先前不當處理了約 190,000 份客戶資料,這些資料被歸類為「特定個人資訊」,其中包含日本的國民身分識別號系統(My Number)。該事件源自內部的資料處理作業以及 IG Markets Limited(其所屬關聯實體,作為外部承包商)採取的行動,而非已被證實的外部入侵。
暴露規模
IG Securities 識別出兩種分別的暴露情境。第一種情境中,在 IG Group 內部使用的特定系統內可存取 162,879 份客戶資料。公司表示存取仍維持在內部進行,但規模引發了對敏感資料可能在超出預定邊界之外被檢視程度的疑慮。
在第二種情況下,有 29,734 份資料存放在由雲端服務供應商管理的伺服器上。IG Securities 表示,該項儲存是在未獲其事前同意的情況下進行,顯示日本實體與負責處理資料的承包商之間的監督出現了落差。
賰料類型與監管脈絡
受影響的資訊包含全名、出生日期、性別、住址、電話號碼、電子郵件地址,以及 My Number 識別碼。由於 My Number 被用於課稅與社會保障系統,因此在日本受到嚴格的處理規則約束。
日本對「特定個人資訊」施加嚴格管控,特別是 My Number 識別碼。處理此類資料的企業預期必須限制存取、使用核准的儲存流程,並防止未經授權的處理或揭露。
IG Securities 表示,其調查未發現客戶資料外洩至公司外部,或遭未經授權的外部方存取的證據。然而,不當的內部處理仍可能引發監管審查、矯正命令與聲譽損害,特別是當涉及敏感的國家識別碼資料時。
資料治理與公司回應
上述揭露凸顯了由全球券商架構所帶來的營運風險:客戶資料可能在不同實體、平台與司法管轄區之間流動。在本案中,IG Markets Limited 的參與說明了集團內部的授權委派,如何在書面管控與實際資料處理之間造成落差。
IG Securities 發布正式道歉,並宣布計劃強化其資料治理架構。預定採取的措施包括對關聯實體如何存取與儲存個人資料設置更嚴格的管控,並建立更清晰的核准流程,以用於雲端伺服器等外部基礎設施。
公司未披露監管機關是否已被正式通知,或是否正在
