IG证券在日本披露不当处理190,000名客户记录

IG Securities，IG Group 的日本子公司，披露称在一个未指明的日期，其不当处理了约 190,000 份被归类为“特定个人信息”的客户记录，其中包括日本的国家身份证号码系统，名为 My Number。此次事件源于内部数据处理做法以及 IG Markets Limited 的相关行为——该关联实体充当外部承包商的角色——而非已确认的外部入侵。

曝光规模

IG Securities 识别出两种独立的曝光情景。第一种情况下，在 IG Group 内部使用的某些系统中，可访问 162,879 份客户记录。公司表示访问仍然局限在内部，但规模引发了对敏感数据可能超出预期边界被更广泛查看的担忧。

第二种情况下，29,734 份记录被存储在由云服务提供商管理的服务器上。IG Securities 表示该存储发生在未经其事先同意的情况下，表明日本实体与处理数据的承包商之间的监督出现了失守。

数据类型与监管背景

受影响的信息包括全名、出生日期、性别、住址、电话号码、电子邮箱地址以及 My Number 标识符。由于 My Number 会用于纳税和社会保障系统，日本对其数据的处理适用严格规则。

日本对“特定个人信息”实施严格管控，尤其是 My Number 标识符。处理该类数据的机构应当限制访问，使用获批准的存储流程，并防止未经授权的处理或披露。

IG Securities 表示，其调查未发现客户数据泄露出公司，或被未授权的外部方访问的证据。然而，不当的内部处理仍可能引发监管审查、纠正令以及声誉损害，尤其是在涉及敏感的国家标识符数据时。

数据治理与公司回应

该披露凸显了由全球经纪业务架构所带来的运营风险：客户数据可能在不同实体、平台和司法辖区之间流转。在此案例中，IG Markets Limited 的参与体现了集团内部的委托如何在书面控制与实际数据处理之间制造差距。

IG Securities 发布了正式道歉，并宣布计划收紧其数据治理框架。计划中的举措包括对关联实体如何访问和存储个人数据实施更严格的控制，并为云服务器等外部基础设施建立更清晰的审批流程。

公司未披露监管机构是否已被正式通知，或处罚是否在审查中。鉴于两种情景下合计涉及 190,000 多份记录，该案可能会引起日本数据保护主管部门的关注。