IG Securities Tiết lộ Xử lý Không đúng Cách đối với 190.000 Hồ sơ Khách hàng tại Nhật Bản

IG Securities, công ty con đặt tại Nhật của IG Group, đã tiết lộ vào một thời điểm không được xác định rằng họ đã xử lý không đúng cách khoảng 190.000 hồ sơ khách hàng được phân loại là “thông tin cá nhân cụ thể”, bao gồm hệ thống mã định danh quốc gia của Nhật Bản được biết đến với tên My Number. Sự cố xuất phát từ các thực hành và hành động xử lý dữ liệu nội bộ của IG Markets Limited, một pháp nhân có liên kết đóng vai trò là nhà thầu bên ngoài, chứ không phải từ một sự xâm nhập/mất mát dữ liệu bên ngoài đã được xác nhận.

Quy mô phơi nhiễm

IG Securities xác định hai kịch bản phơi nhiễm riêng biệt. Ở kịch bản thứ nhất, 162.879 hồ sơ khách hàng có thể truy cập được trong một số hệ thống nhất định được sử dụng trên toàn bộ IG Group. Công ty cho biết việc truy cập vẫn chỉ nằm trong nội bộ, nhưng quy mô này làm dấy lên lo ngại về mức độ dữ liệu nhạy cảm có thể được xem vượt ra ngoài ranh giới dự kiến.

Ở trường hợp thứ hai, 29.734 hồ sơ được lưu trữ trên một máy chủ do nhà cung cấp dịch vụ đám mây quản lý. IG Securities cho biết việc lưu trữ này diễn ra mà không có sự đồng ý trước của họ, cho thấy sự gián đoạn trong công tác giám sát giữa pháp nhân tại Nhật và đơn vị thầu đang xử lý dữ liệu.

Loại dữ liệu và bối cảnh quy định

Thông tin bị ảnh hưởng bao gồm họ và tên đầy đủ, ngày sinh, giới tính, địa chỉ cư trú, số điện thoại, địa chỉ email và các mã định danh My Number. Dữ liệu My Number chịu sự quản lý nghiêm ngặt tại Nhật Bản vì được dùng trong các hệ thống thuế và an sinh xã hội.

Nhật Bản áp dụng các kiểm soát chặt chẽ đối với “thông tin cá nhân cụ thể”, đặc biệt là các mã định danh My Number. Các công ty xử lý dữ liệu này được kỳ vọng sẽ giới hạn quyền truy cập, sử dụng các quy trình lưu trữ đã được phê duyệt và ngăn chặn việc xử lý hoặc tiết lộ trái phép.

IG Securities cho biết cuộc điều tra của họ không tìm thấy bằng chứng cho thấy dữ liệu khách hàng bị rò rỉ ra ngoài công ty hoặc bị truy cập bởi các bên bên ngoài trái phép. Tuy nhiên, việc xử lý không đúng cách trong nội bộ vẫn có thể kích hoạt sự giám sát của cơ quan quản lý, các lệnh khắc phục và thiệt hại về danh tiếng, đặc biệt khi liên quan đến dữ liệu định danh quốc gia nhạy cảm.

Quản trị dữ liệu và phản hồi của công ty

Thông tin công bố nhấn mạnh các rủi ro vận hành do cấu trúc môi giới toàn cầu tạo ra, nơi dữ liệu khách hàng có thể di chuyển giữa các pháp nhân, nền tảng và các khu vực pháp lý. Trong trường hợp này, sự tham gia của IG Markets Limited cho thấy việc ủy thác trong nội bộ có thể tạo ra khoảng trống giữa các kiểm soát được viết ra và cách dữ liệu thực sự được xử lý.

IG Securities đã đưa ra lời xin lỗi chính thức và công bố kế hoạch siết chặt khung quản trị dữ liệu. Các bước dự kiến bao gồm thiết lập các kiểm soát chặt chẽ hơn về cách các pháp nhân liên kết truy cập và lưu trữ dữ liệu cá nhân, cùng với quy trình phê duyệt rõ ràng hơn đối với hạ tầng bên ngoài như các máy chủ đám mây.

Công ty không tiết lộ liệu các cơ quan quản lý đã được thông báo chính thức hay liệu các hình phạt có đang được xem xét hay không. Với hơn 190.000 hồ sơ liên quan trong cả hai kịch bản, vụ việc có thể thu hút sự chú ý từ các cơ quan quản lý bảo vệ dữ liệu của Nhật Bản.