ヘッドフォンやイヤフォンを買うのに使っていたサウンドハウスが、クレジットカード流出事件をやらかしました。
2007年以降の新規ユーザが流出対象で、私は流出対象外で、かつ、
こういう中小企業のセキュリティは信用しておらず、もともとクレジットカードは保存していないので問題なさそうです。
一応、対策をしておきましたが。

あまり例がないですが、以下のように、詳細な経緯と釈明文が公開されています。
http://www.soundhouse.co.jp/news/20080418.pdf
詳細な経緯を公開したことは、非常に有意義ですが、釈明文は、中小企業ではわかる限りできる限りのことをした、政府やセキュリティベンダー会社、クレジット会社がいろいろ教えてくれないから悪いとなっており、ちょっといただけないですね。

投資とリスクが正しく見積もれないのであれば、わかる人に見積もって、判断してもらいたいです。
最近個人の保険などに関して、第三者であるファイナンシャルプランナーに適正な水準を見積もってもらう人が増えてきました。これは、一般人が自分必要となるお金を見積もれないため、保険外交員は、自分の業績が上がるようなプランを選びがちであり、適正なプランとなっていないことが多々あるからです。
これと同じように、セキュリティの専門知識がないなら、ベンダーの鵜呑みをするのではなく、高い金を払ってでも定期的に第三者にみてもらいたいものです。ベンダーは、この装置はいいですよと売るに決まっており、セキュリティなんぞ、いくらでもコストがかけられるものなので、どの程度が適当なのか見積もってもらうことが必要でしょう。

また、この事件のレポートを見ると、SQLインジェクションがこれほど流行っているにもかかわらず、SQLインジェクションの危険性を知らない企業が多いということがわかります。
SQLインジェクションは、2005年の価格.comのアタックにも使われた攻撃手法であり、少なくともセキュリティの知見があるWeb開発者には、よく知られた手法です。
このところSQLインジェクションで狙われるケースが多く、IT系のサイトウォッチしてればわかるはずです。
よって、Web開発者の平均セキュリティレベルは、高くないと思った方がいいです。
特に、中小企業とかは、セキュリティに詳しい要員に不足している思われます。中でも、サウンドハウスのように自社開発している会社のシステムは、信頼できないと考えた方がよいと思います。
このようなサイトでは、クレジットカード番号が流出してもいいように、少なくともクレジットカード番号をサイト保存するようなことをしないという対応策が必要です。
通常のシステムであれば、クレジットカードは入力されても、クレジット会社と照合したら持っていて危険な情報なので破棄されます。よって、保存するとしない限り、保存することがないと思われます。設計がタコなら保存されてしまうかもしれませんが。

セキュリティは、利便性とリスクが反比例するようになっているので、エンドユーザとしても、どこまで利便性を求めて、リスクを取るか考えないといけないですね。