http://internet.watch.impress.co.jp/cda/special/2004/03/22/2500.html

まずはツッコミどころから、

しかも、A.D.200Xからは当初、「資料のファイルをダウンロードしている人はほとんどいない。いても身内だけであり、全部削除させた」という報告を受けたが、本当はそんな確認作業などやっていなかったのではないか？公式にメール等で文書を受け取っていることもあり、我々はその言葉を信用した。しかし、後に漏れていたことが発覚すると、コロっと変わったメッセージを出してくる。我々は、一緒に個人情報の流出をくい止めようと思っていたのに、結果としてことごとく裏切られた。

「調査の結果、他の人間によるアクセスの形跡は無い」と発表したけれど、
ほんとは調査などおざなりだったのではないか？調査委員会による発表であったため、我々はそれを信用した。
しかし「不正アクセスで3名を追加逮捕」と発覚するや、コロっと変わったメッセージを出してくる。
我々はACCSの真摯な対応を期待していたのに、結果としてことごとく裏切られた。

事故調査委員会の報告書については真摯に受け止めるが、実際にネットワークのセキュリティをどのように評価し、なおかつどの程度導入しなければならないかという点については、慎重に対応する必要がある。今後、我々のような規模の社団法人や中小零細企業が個人情報を扱う場合に、セキュリティに関する注意義務をどこまで果たさなければならないかという複雑な問題に絡んでくるだろう。コストとの兼ね合いから、どこまでセキュリティをかければいいのかということを検証するには時間がかかる。

「ぼくたち検証せずに密告情報提供者の情報を取り扱ってましたー」
「最終的なけつの拭き先はACCSで無くてアウトソーシング先か責任無しにしたいでーす」

まぁあれだ。中古ソフト判決後に「法律を改変すれば無問題」と裁判所に喧嘩を売っただけのことはあるなー。