http://japan.cnet.com/news/sec/story/0,2000050480,20069446,00.htm
珍しいケースですか。

本事件は、脆弱性を利用して個人情報を入手した者が自ら被害者側に通知してきたという珍しいケースで、また同協会の迅速な対応により容疑者逮捕から訴訟までがスピーディーに実行されたという特徴がある。久保田氏は、「実際に事件が起きてみて、個人情報流出についての刑事罰は現在存在しないことを改めて認識した」と語る。続いて、「今回の事件では、当協会はハッカーの被害者であるとともに、実際に流出した個人情報を持つ方々にとっては『加害者』になってしまった。これを反省し、二度と同じことが起こらないように社内体制を整えるほか、何が必要な情報かを取捨選択し、過剰な情報収集に走らないようにしたい」と締めくくった。

元京都大学研究員氏は、個人情報を入手した悪いクラッカーで、ACCSはまるっきり被害者かつ、それ以来、ネットワークセキュリティに前向きに取り組む団体という立ち位置になりました。
研究員氏がセキュリティのイベントで暴走した事と、ACCSが、自分達がきちんと管理すべきものを外に放り出していた事は別。理系と体育会系で、ゴロの現場でウマが合わなかったのも別のハナシ。
ソフトウェアの不正使用に追い込みかけて絞り上げるのが仕事とはいえ、

何が必要な情報かを取捨選択し、過剰な情報収集に走らないようにしたい

っていうのは、どういう事なんだろう。過剰な情報収集って何？
元クラッカーの監視員を、365日24時間PC前に据え置いて監視させるというのは、過剰？Webサイト開設するにあたって、Apacheはもとより、Linuxカーネルのソースコードを行間まで読み込み、諳んじるに至るまで音読するとか？
Win使うにしても、ソースコードを行間まで読み込んで、何処押したら何処が引っ込むかを隅々まで……（笑）。
サーバの運用任せている会社が、まともかどうかきちんと把握するのは、あ、そういうのは過剰です。人を信用する所から始めないと、世の中闇だわね。そういうのは、スポーツマンじゃなくて、ただのゴロです。