店舗さんの都合は無視ですか・・・
いままで、CSVファイルとして一括してダウンロードできたなかにクレジット番号の情報まで本当に必要か？というところはあるんだけど。
なんか、CSVファイルで一括ダウンロードができること自体が性善説になりすぎているといって非難する方もいるみたい。その非難がCSVファイルの一括ダウンロードを指しているのか、そのCSVファイルにカード番号が入っていることを指しているのかは定かではないけど。
でもそこで、いっかい原点に戻ってみよう。

なんでIT化したの？

IT化の目的って

• 業務の効率化、スピードアップ
• ヒューマンエラーの低減
• 人件費の削減
• 業務の自動処理化
• TCO削減
• 情報の共有

などなど
似たような部分が多数あるとしても、観点はIT技術を使って、業務の効率化・改革を図り１つ１つの業務にかかるコスト（人手、時間、費用）を最適化するという目的であろう。
CSVファイルというものでの一括ダウンロードは、楽天のシステムと自社システムとの異なるシステムと情報交換、つまり連携して自動処理をさせるための１つの解。つまり異なるシステムをまたいでも、IT化した目的を生かすことができる。
こういった解ってCSVファイルのみではないと思うけど、その他解を用意して、セキュリティに関するリスクも下がり、その開発・維持費としても変わらない・または安いのであればみんな飛びつくとは思うけど。
しかし、業務効率を維持しセキュリティの向上がする手段、つまりCSVファイルの一括ダウンロードに変わる手段を考えもせずに、IT化の目的を忘れて非難するだけでは非常にまずい。CSVファイルの情報が本当に必要最小限の情報か？という考慮はあるけど。

経営者なり上の人が自社の業務の性質をよく考慮の上、セキュリティと業務の効率の優先度を判断することが必要。その結果から本当に必要な情報だけを収集・保持する。
リスクや業務効率を理解した上での判断がしっかりできた判断であれば、業務効率の低下やリスクを背負い込み、何かあったときも的確な説明ができるんじゃないかと思う。説明ができても責を逃れられるわけではないが、想定しているリスクに関してはそれなりの覚悟が、前もってできてるはずだし。

で、楽天の件、どちらが本当に正解かというのはわからないけど、今回の漏洩事件からできそうなことは、

CSVファイルをどうやって守るか

ということを中心に考えたほうが建設的のような気がする。

ところで、IT化ですが、セキュリティの技術を使う場合もIT化は必要ではある。
しかし、IT化の目的を「情報管理・セキュリティの向上」としているところが現実皆無なのは、会社として「情報管理・セキュリティの向上」のIT化は価値があまりない・小さいことを意味しているのかもしれない。

でも、上記のリンクや下記のリンク見ると
http://internet.watch.impress.co.jp/cda/news/2005/08/01/8633.html
http://japan.cnet.com/news/sec/story/0,2000050480,20086000,00.htm

楽天は必死に「自分たちは悪くない。自分たちは悪くない」って言ってるだけなんだよね。
ショッピングモールの主催サイトとしてのリスク認識がない。
そういったことを認識して立ち上げたんじゃないのか？
無責任すぎるぞ。
利用者から見た場合、カード番号を求めているのは、店舗じゃない。あくまで楽天なのだから。
店舗側は、代引きだって、コンビニとか銀行、郵便局からの振込みだってぜんぜんOKだぞ。