SMBCのソースコードの件が話題ですけど、まあ、実際に漏れたものの中身は大したものじゃないですね。でも、実は目に見えないいちばん大事なものが毀損されているんですよね。それは、信用。

かくして、流出物の価値に関係なく、毀損された信用の度合いを下げるためのアクションが行われることになります。
流出した物自体の価値には関係なくて、流出したという事実に対してアクションをしなければならないんですよね。だから、「実際に流出したもの以外のリソースを保有していないか」「保有している場合、それが流出していないか」を完璧とは言えないまでも説明可能なレベルで検証する必要があります。かくして、残酷な調査が行われることになります（まあ拒否したら失われた信用分の損害賠償を求められる可能性があるとなれば普通は調査を拒否できないでしょう）。

過去、Winnyとかで流出したって話もありしたが、その手の話で　僕の近所で起きた事例で行われた対応策は地獄のようなものでした（遠巻きに眺めるだけで済んでマジ良かった）。

• 被疑者の自宅パソコンが（合意のもと）押収される
• 結構大量なHDDの中身を数台のHDDにコピーして手分けしてファイルを一つ一つ開いて内容チェック
• 当然ながら、無修正なアレとかプライベートなメールとかが大量に開陳される
• 調査する側もされる側も心を病む

かつては特にオープン系の開発はまだ緩かった部分もあるし、ホストに比べると機密性の高い仕様は殆ど無かったのでそれほど大事にならなかった、というのでこの程度で済んだようですが。

他は大丈夫だよね、ということを証明する手段として、15年前ならいざしらず、現代であればこれでも十分ではないのできっとすべての利用サービスのアカウントを提出させられるでしょうね。
また、もはやオープンも基幹系の一部を形成しているので業務ロジックだって競争力のひとつなわけで、仕様がバレるというのは価値の毀損になります。セキュリティーの部分じゃないから大丈夫、なんていう評価での言い訳はビジネスサイドには一切通用しません。

そして、今回の件は事故じゃないから。

まあでも金融機関の仕事を受けている人の質は落ちてはいます。これ、人そのものの質が落ちているんじゃなくて、プロセスを大量に要求する割にそのコストを応分に上乗せして払わない発注元の問題でもあるんですよね。わかっている人たちは品質とリスクをバーターにかけて品質を取ることはあります。もっとも、それは必ずしも一人ひとりの単価アップには繋がらないんです。ようは、作業が増えるから低コストな要員もそれなりに必要、ってことになるんですよね。おかしいですね。

低コストな要員ってのを低コストというだけで調達すると、この手の話を引き起こすプロセスの欠落が起きがちです。だって会社として統制が取れている低コスト要員なんていないもん。そのへんを信頼できる会社と仕事するとどうしてもそれなりのコストはかかるので、客を選ばざるを得ません。そうすると単価の安い客筋は「既存でそれなりの規模で入っているから多少単価低くてもカバーできる」会社で埋め尽くされることになって、それでできてるんだから新規の会社もそんなもんでいいだろうってなりますよね。間違いですからねそれ。
ベンダーだってその状態だと二次受けはそのベンダー配下でそれなりの規模で…の繰り返しなんですよね。そうすると体制は硬直化するし、ギリギリの工数で回しているから日々改善なんてできていかないし。で、最終的にこういう話に繋がるんですよね（アナザールートとしてはエンドユーザー自らクソベンチャーに発注ルート。これは単価関係なくて業界ルールの知らない奴らが好き放題やった結果だったりするけど）。

関係者は頑張ってください。