IG Securities Mengungkap Penanganan yang Tidak Semestinya atas 190.000 Catatan Pelanggan di Jepang

IG Securities, unit berbasis Jepang dari IG Group, mengungkapkan pada tanggal yang tidak disebutkan bahwa mereka telah menangani secara tidak semestinya sekitar 190.000 catatan pelanggan yang diklasifikasikan sebagai "informasi pribadi tertentu", termasuk sistem nomor identitas nasional Jepang yang dikenal sebagai My Number. Insiden ini berawal dari praktik penanganan data internal dan tindakan oleh IG Markets Limited, sebuah entitas afiliasi yang bertindak sebagai kontraktor eksternal, bukan dari pelanggaran eksternal yang telah terkonfirmasi.

Skala Paparan

IG Securities mengidentifikasi dua skenario paparan terpisah. Pada skenario pertama, 162.879 catatan pelanggan dapat diakses dalam sistem tertentu yang digunakan di seluruh IG Group. Perusahaan menyatakan akses tersebut tetap internal, tetapi skalanya menimbulkan kekhawatiran tentang seberapa luas data sensitif dapat dilihat di luar batas yang dimaksud.

Pada kasus kedua, 29.734 catatan disimpan di sebuah server yang dikelola oleh penyedia layanan cloud. IG Securities mengatakan penyimpanan tersebut terjadi tanpa persetujuan sebelumnya, yang menunjukkan adanya kegagalan pengawasan antara entitas Jepang dan kontraktor yang menangani data.

Jenis Data dan Konteks Regulasi

Informasi yang terdampak mencakup nama lengkap, tanggal lahir, jenis kelamin, alamat tempat tinggal, nomor telepon, alamat email, serta pengenal My Number. Data My Number tunduk pada aturan penanganan yang ketat di Jepang karena penggunaannya dalam sistem perpajakan dan jaminan sosial.

Jepang menerapkan kontrol ketat terhadap "informasi pribadi tertentu", khususnya pengenal My Number. Perusahaan yang menangani data ini diharapkan untuk membatasi akses, menggunakan proses penyimpanan yang disetujui, serta mencegah pemrosesan atau pengungkapan yang tidak sah.

IG Securities mengatakan penyelidikannya tidak menemukan bukti bahwa data pelanggan bocor keluar perusahaan atau diakses oleh pihak eksternal yang tidak berwenang. Namun, penanganan internal yang tidak semestinya tetap dapat memicu pemeriksaan regulatori, perintah perbaikan, dan kerusakan reputasi, terutama ketika data pengenal nasional yang sensitif terlibat.

Tata Kelola Data dan Respons Perusahaan

Pengungkapan ini menyoroti risiko operasional yang diciptakan oleh struktur pialang global, di mana data pelanggan dapat berpindah antar entitas, platform, dan yurisdiksi. Dalam kasus ini, keterlibatan IG Markets Limited menunjukkan bagaimana delegasi antar-grup dapat menciptakan celah antara kontrol yang tertulis dan penanganan data yang sebenarnya.

IG Securities mengeluarkan permintaan maaf resmi dan mengumumkan rencana untuk memperketat kerangka tata kelola datanya. Langkah yang direncanakan mencakup kontrol yang lebih ketat atas bagaimana entitas afiliasi mengakses dan menyimpan data pribadi, serta proses persetujuan yang lebih jelas untuk infrastruktur eksternal seperti server cloud.

Perusahaan tidak mengungkapkan apakah regulator telah diberitahu secara formal atau apakah sanksi sedang ditinjau. Dengan lebih dari 190.000 catatan yang terlibat di kedua skenario, kasus ini dapat menarik perhatian otoritas perlindungan data Jepang.