IG 日本承認近19萬客戶記錄處置不當

本周一，IG Securities（即IG Japan）發布道歉聲明，承認在客戶“特定個人信息”（含My Number身份資料）的處理上存在不當行為。

公司披露了兩起問題：

第一，IG集團內部部分員工通過內部系統，未經授權訪問了客戶數據。被訪問的信息包括客戶姓名、出生日期、住址、聯系方式以及My Number號碼。目前尚不清楚這一違規訪問行為始于何時。

第二，在未經IG Securities事先批準的情況下，客戶數據被存儲在了由IG Markets Limited管理的外部服務器上。該事件發生在2026年1月下旬左右。公司強調，云服務商本身無法訪問這些存儲數據。

外包方監管缺失是事件主因

此次事件中，共有162,879名客戶受到內部訪問問題的影響，即其數據可能在集團內部被查看。另有29,734名客戶的數據被存儲到了外部服務器上。

IG Securities表示，目前沒有證據表明數據遭到外部訪問或泄露至集團之外。

公司將事件歸因于對外包方IG Markets Limited的監管失責，具體包括對My Number數據敏感性的“誤解”、訪問控制措施不足，以及系統開發過程中的配置錯誤。

外部數據已刪除，敏感信息已遷回日本境內

內部訪問問題已于2026年2月24日得到解決。外部服務器上的數據于2026年3月5日被刪除。截至2026年3月27日，所有與My Number相關的數據均已遷移至位于日本境內的系統中。

作為整改措施，IG Securities表示將把數據訪問權限限制在必要人員范圍內，敏感數據僅在日本境內存儲，加強對外包方的監管，并從共享內部系統中移除My Number數據。

公司坦言，這是一起數據治理和管控上的失職事件，由于防護措施不足，客戶數據在內部被不當暴露。