アメリカン・ライフ・インシュアランス・カンパニーがクレジットカード情報を流出させた件に関して、未だに流出経路の確定がされていませんが、漸く金融庁が行政処分を出しました。
これ以上、時間があってもアリコが流出経路の確定をすることがないだろうと判断したのではないかと思います。
この件に関しては、去年の７月から見てきて、以下のようにいろいろ書いてきました。
「アリコのクレジットカード情報流出」(2009.7.23)
「アリコのクレジットカード情報流出 第２報」(2009.7.27)
「アリコのデータ管理に関する推測」(2009.7.28)
「アリコのクレジットカード情報流出 中間公表」(2009.9.23)
「アリコの情報流出の顛末は？」(2009.10.7)
「アリコの情報流出の顛末は？（其の弐）」(2009.10.17)
「アリコのクレジットカード情報再流出」(2009.10.30)
ここで書いたことの中には外したものもありますが、全体としてアリコの対応は不手際があると思っています。
　
「アリコジャパンに対する行政処分について」
http://www.fsa.go.jp/news/21/hoken/20100224-1.html
（金融庁　報道発表資料　2010.2.24）
　
「弊社に対する行政処分等について」
http://www.alico.co.jp/about/press/10_0224.htm
（アメリカン・ライフ・インシュアランス・カンパニー　プレスリリース　2010.2.24）
　
通常の保険業法に基づく業務改善命令の他に、個人情報の保護に関する法律に基づく勧告が同時に出ている点がちょっと珍しいです。
ちなみに、業務停止命令は出ませんでした。これはクレジットカード会社によるファインプレーで、契約者に金銭的な実害が出なかったことが大きく寄与しているのではないかと思います。
業務改善命令に関しては、以下のとおりです。

１．保険業法第204 条第1項に基づく業務改善命令
（１）個人顧客情報の管理態勢を強化し、現在構築中の再発防止策を含め個人顧客情報の安全管理を徹底するための施策を速やかに実行するとともに、その実効性を検証すること。
（２）個人顧客情報の安全管理を徹底するための措置が委託先において十分確保されるよう、必要かつ適切な監督を行うこと。
（３）引き続きクレジット業界と連携し、顧客保護の取組みを進め、信頼の回復に努めること。
（４）引き続き本事案の漏えい原因の究明に努めること。
（５）クレジットカード情報が漏えいし、多数のクレジットカードの不正使用の試みを生じさせたという事案の重大性を踏まえ、経営陣を含む責任の所在の明確化を図ること。
（６）上記（１）〜（５）への対応状況について、平成22年3月24日（水）まで（及び必要に応じて随時）に、書面で報告すること。併せて、これらの対応状況について、顧客等への周知を図る観点から、その概要を公表すること。

これは、甘い！と思います。というのは（４）は、本来であれば「漏えい原因の究明すること」とすべきです。一番肝心な原因究明が単なる努力目標に止まっているのは裏を感じさせます。
情報漏洩を起こさないようにするには、情報処理・システムの面と内部統制・モラルの面が高いレベルでかみ合っている必要がありますが、「個人顧客情報の漏えいを生じさせた要因」を読む限りではアリコは後者が脆弱だったような印象を受けます。
また、かねてから私が気にしている以下の３点について、未だにアリコから公式発表がなされていませんが、これが出なければ終わりにはならないと思っています。

誰がどのような手段で情報を流出したのか？
どこに脆弱性があって、流出の原因は何だったのか？
それに対する再発防止はどのようなものにする／したのか？

　
これは憶測でしかありませんが、アリコの身売りの話が進んでいるから、この時期に行政処分がなされたのではないかという見方もできます。
逆に、もしも身売りの話が出ていなかったら、まだまだ行政処分は先延ばしになっていたかもしれません。
そして、身売りされてしまえば、経営トップはどうせ交代させられるでしょうから、経営陣の責任も辞任という体裁ではっきりさせやすいという打算の存在も考えられます。
　
他にも、この行政処分とアリコの認識のずれについて思うところがあるのですが、それはまた別に書くことにします。