アメリカン・ライフ・インシュアランス・カンパニーのクレジットカード情報流出の件について、10月7日に「アリコの情報流出の顛末は？」で有意義な情報が公開されないままになっている旨を書きました。
その状況は現在も同じですが、日経コンピュータ2009年10月14日号(No.741)にアリコのサイトで公開されているよりも詳しい内容の記事があります。
「アリコジャパン　4400件超のカード不正使用　業務委託先から情報流出」
（日経コンピュータ　動かないコンピュータ　2009.10.14）
記事内の情報のうち、私が気に留めた部分を要約します。

流出したデータは２種類であり、それぞれについて以下のとおり。
2008.2.26作成　ファイル存在期間：2008.2.26〜3.26　情報流出：505人分
2008.3.6〜3.17作成　ファイル存在期間：2008.3.10〜4.10　情報流出：17,690人分
いずれも 200byteのレコードで、先頭100byte内に証券番号(10byte)，カード番号(16byte)，カード有効期限(4byte)が記録されている。
　
ホストコンピュータからデータを入手した手口は、上記のファイル毎に以下のとおり異なる。
2008.2.26作成のファイル…全データをファイルごとＰＣにダウンロード
2008.3.6〜3.17作成のファイル…プログラムを用いて一部のデータをＰＣにダウンロード
このことは、ホストコンピュータのアクセスログから判明した。アクセス元は外部の業務委託先ＰＣである。
上記の業務委託先ＰＣには、外部記録媒体にデータを保存したログも、ダウンロードしたデータも調査時点では存在しなかった。当該業務委託先の従業員も関与について否定している。

記事中にもありますが、アリコが契約者の氏名や住所は漏洩していないと言った件はおそらく真実であろうということが分かります。たかだか200byteのレコードにそのような情報は保持しないのが普通だからです。（アリコはこれまでの情報の出し方から推測すると、情報操作の疑いがあるので、アリコ直接の情報であってもそのままは信用できない部分があると思っています。）
　
この記事の内容は、アリコが公表した内容と整合のとれている内容…というよりもコチラの方が詳しく信頼がおけるのですが…であり、総合的に考えると民間企業であるアリコが現時点で犯人を特定できないということにつき理解できます。
ただ、理解できないのは、何故もっと大々的に警察を介入させて、犯人究明に尽力しないのかということです。既に不正にカード情報が悪用されているのですから、下流の方からも警察であれば辿ることができ、悪用した人物から入手経路を突き止めることで犯人が分かると思われます。
　
ところで、７月下旬にはテストデータから漏れたのではないかという推測がされましたが、今回の記事を読む限りでは、その線は明確に否定されていないものの、テスト環境に本番データを置きっ放しにしていたために漏洩したということではないようです。
その頃のニュースに基づいた話は、7月28日に「アリコのデータ管理に関する推測 」で書いているとおりです。
ちなみに、その７月下旬の時点で『国内で顧客情報を閲覧するためには、専用端末から専用線でアクセスする必要がある。顧客情報を閲覧できるのはシステム開発の関係者約40人』とまで分かっていました。そこから考えると、9月11日に記者会見で発表した内容は既にある程度分かっていた情報を小出しに公開したに過ぎないのではないかという印象を受けます。
　
金融庁がアリコに対していつどの程度の行政処分を下すのかという点についても気になります。
アリコがこのままずるずると事件の究明を遅らせ、そしてそれが完了するまで行政処分をしないということになれば、それは悪い前例を作ることになり、けして好ましいことではありません。ただ、たまたま政権交代があったせいか、金融庁はアリコをかまっているヒマがないようにも見受けられます。
そして、もっと気になるのは、アリコが米国を通じて行政処分が軽くなるように圧力をかけるのではないかということです。アリコが自社の保身のことを第一に考えるのなら、有力な選択肢の１つです。かつての保険自由化の背景を考えればありえない話ではないと思います。
もしも行政処分が不当に遅かったり軽かったりしたら、上記の疑いがありえます。その場合には、アリコは自社のことだけを第一に考える信用のおけない会社であると判断すべきと思います。