先ほど、「アリコ情報流出に対する行政処分」でhttp://www.alico.co.jp/ アメリカン・ライフ・インシュアランス・カンパニーに対する行政処分について書きましたが、この行政処分とアリコがこれまでに公表してきた内容について認識に隔たりがあります。
アリコは最初から一貫して、クレジットカード情報流出は個人情報漏洩ではないというスタンスをとっているように感じられます。
　
まず、アリコが公表した「調査内容及び調査結果」において、以下のように書かれています。

①個人を特定できる情報は含まれておりません
●含まれていた情報の内容は、クレジットカード番号、有効期限でした。
●お客様個人の特定につながるような、お名前、ご住所、お電話番号、ご契約の内容、健康情報等は含まれておりませんでした。また、保険契約の証券番号も含まれておりませんでした。

個人情報の保護に関する法律の第２条第１項にて「個人情報」は「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」と定義されています。
つまり、ここではアリコは、流出したクレジットカード情報は個人情報ではないことを暗に主張しています。
　
また、金融庁の行政処分の文書中においても、以下のように書かれています。

当社のシステム部門においては、本件業務委託先が個人顧客情報を扱っていることについての認識が不十分であったため、本件業務委託先に対する立入検査においても、個人顧客情報保護の観点から、深度ある確認・検証を行っていなかった。そのため、上記（１）で述べたような、本件業務委託先における杜撰な個人顧客情報管理の実態を把握できず、また、牽制や是正も十分に行っていなかった。

システム部門においてはと書かれていますが、情報を扱うシステム部門の認識がこうだったということは、全社的にこの程度の認識であったということは想像に難くありません。
つまり、全社的にクレジットカード情報は個人情報ではないという認識で、その認識に基づいた管理レベルだったということです。
　
しかし、金融庁の行政処分では明らかに今回のクレジットカード情報流出事件を個人情報漏洩事案として取り扱っています。
世間一般の感覚からしても、仮に個人情報保護法上の個人情報の定義に当たらなかったとしても、クレジットカード情報は個人情報並みの扱いを望むのは至極当然のことです。私だって、「氏名・住所」と「クレジットカード番号・有効期限」のどちらがより漏洩されたくないか？と訊かれたら、後者と答えます。即座に実害に繋がりますから当たり前です。
　
このずれについて、アリコは認めてこなかったのではないかと思います。
法律や監督指針に定められていることだけを重視し、顧客の目線で考えることをしなかったことも遠因の１つではないかと考えられます。