アメリカン・ライフ・インシュアランス・カンパニーはクレジットカード情報流出の件で、継続的に以下のページで公表してきました。10月6日にまた更新されており、それはまるで終結宣言のように思えます。
「弊社のお客様のカード情報流出に関しまして」
http://www.alico.co.jp/about/09_0723.htm

この度のお客様情報の流出に関する件につきましては、皆様には多大なご迷惑、ご心配をおかけしましたことを謹んで深くお詫び申し上げます。
皆様の安心を支え、信頼にお応えしていくべき保険会社の責任者として、社員一人一人とともに今回の事態を厳粛に受け止め、二度とこのようなことが起きないよう万全を尽くして参ります。
弊社におきましては、今回の件以降、従前からの強化策に加え、組織・システム面での整備等を含め、重要情報保護のための様々な強化策を講じております。
今後は、弊社における情報セキュリティ確保のための基本方針に沿い、管理態勢の実効性を高め、より強固なものとするべく、全社をあげて取り組んで参ります。
弊社は、このような事態が生じたことを深く反省し、お客様に経済的なご負担が生じることのないよう対処させていただく所存です。
ご迷惑をおかけいたしておりますことを重ねてお詫び申し上げます。

7月に最初の公表をしてから、情報流出に関するきちんとした報告はされておらず、9月中には行うと宣言されていました。しかし、その報告も結局はなさそうです。9月11日に記者会見を開きましたが、「アリコのクレジットカード情報流出 中間公表」に書いたとおり、あれは大した意味はないものでした。
少なくとも、以下の３点くらいはきちんと報告すべきですし、それができていないうちは結論を出したとは言えません。
もともとアリコは当初情報流出はありえないと主張していました。しかし、事実は違いました。つまり、流出経路が具体的に判明していない限り、効果的な再発防止策をうつことができないはずです。
分かっていないのに、再発防止策がうてたのなら、もともとが穴だらけでセキュリティが不備だらけだったということに他なりません。

• 誰がどのような手段で情報を流出したのか？
• どこに脆弱性があって、流出の原因は何だったのか？
• それに対する再発防止はどのようなものにする／したのか？

なお、１点目の誰？というのは、個人名を求めているわけではなく、どの会社またはどの部門のどのような立場の人物なのかが問題です。
結局有耶無耶のうちに事実を公表しない(できない？)まま闇に葬り去ろうという意図が見え隠れします。