正直なところ、あんな状態でシステムが運用されていた、という事実そのものが金融システム屋としては衝撃なんですが、昔先輩から聞いた武勇伝ではこんな感じだったんですよね。
「昔、証券会社のシステム作っててリリースしたのはいいんだけど不具合が出たんだよね。で、億単位の取引上の問題が出た。で、ユーザーの人と話をしたら「その程度の損害は俺らがディールで取り戻すからとにかくその機能早く使えるようにして！」って言われてしびれたんだよねー」

まあ、そういうマインドだってことはわかる。他の会社でも思うことはあるけど業務の人たちって「機能に対してはいくらでも金を出すがランニングとかセキュリティとかリグレッションテストみたいな意味のがわからないものには金出したくない」っていうのがどうしてもついて回るんですよね。

そういう一般論の延長線上に今回の事件もあると思うんだけど、特にお金を扱うシステム（現金に直結する、金融系の取引をするシステム）においては適格性に欠ける、といわざるを得ませんよね。まず、本番環境のデータを委託先が自由に持ち出せる、という時点で完全にアウトですよ。委託先なんてもんじゃない。丸投げ先。監査もしてないってことでしょ。本番データの取扱なんて牽制機能をきっちり用意していて、複数人がグルになった組織的犯罪ならともかく、関わっている一個人だけでなんとか出来ちゃうのって、前世紀並みですかね（前世紀のシステムは金融でもまあ怪しいところはある…）。

とはいえ、流石にデータを平文で持っているかとかそういうことはないとは思うんですよね。ハッシュがわかってロジック（Saltとか何回やってるかとか）もわかっているのであれば辞書攻撃的なものでパスワードが実質復号可能ですからね。まあ、恐ろしい話です。

僕が普段関わっている銀行のシステムだったら、少なくともデータの持ち出し自体がほぼできないし、本番環境に触る場合に運用の人だけが一人で触ることはありえないし、監査のログも出るし、こんなことは絶対に成立しないですよ。やらかした奴らとか、そのような現場運用を許した委託先の会社の体制（現場任せすぎだろ）にも大きな問題があると思いますが、松井証券自体のシステムに対する姿勢がダメすぎて金融庁銀行ばっかイジメてないで仕事しろって気持ちになっちゃいますよねえ。