IG 日本承认近19万客户记录处置不当

本周一，IG Securities（即IG Japan）发布道歉声明，承认在客户“特定个人信息”（含My Number身份资料）的处理上存在不当行为。

公司披露了两起问题：

第一，IG集团内部部分员工通过内部系统，未经授权访问了客户数据。被访问的信息包括客户姓名、出生日期、住址、联系方式以及My Number号码。目前尚不清楚这一违规访问行为始于何时。

第二，在未经IG Securities事先批准的情况下，客户数据被存储在了由IG Markets Limited管理的外部服务器上。该事件发生在2026年1月下旬左右。公司强调，云服务商本身无法访问这些存储数据。

外包方监管缺失是事件主因

此次事件中，共有162,879名客户受到内部访问问题的影响，即其数据可能在集团内部被查看。另有29,734名客户的数据被存储到了外部服务器上。

IG Securities表示，目前没有证据表明数据遭到外部访问或泄露至集团之外。

公司将事件归因于对外包方IG Markets Limited的监管失责，具体包括对My Number数据敏感性的“误解”、访问控制措施不足，以及系统开发过程中的配置错误。

外部数据已删除，敏感信息已迁回日本境内

内部访问问题已于2026年2月24日得到解决。外部服务器上的数据于2026年3月5日被删除。截至2026年3月27日，所有与My Number相关的数据均已迁移至位于日本境内的系统中。

作为整改措施，IG Securities表示将把数据访问权限限制在必要人员范围内，敏感数据仅在日本境内存储，加强对外包方的监管，并从共享内部系统中移除My Number数据。

公司坦言，这是一起数据治理和管控上的失职事件，由于防护措施不足，客户数据在内部被不当暴露。