ダメだこりゃ。 (リンクは Openmya の記事とかから。)

• http://www.itmedia.co.jp/news/articles/0505/25/news086.html
• http://www.asahi.com/national/update/0525/TKY200505250310.html
• http://internet.watch.impress.co.jp/cda/news/2005/05/25/7754.html
• http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20050525/161517/
• http://itpro.nikkeibp.co.jp/free/SI/NEWS/20050525/161513/
• http://itpro.nikkeibp.co.jp/free/NT/NEWS/20050525/3/
• http://www.chugoku-np.co.jp/NewsPack/CN2005052501003172_It.html

なんていうか全然ダメだ。0点だ。
「過失がなかった」なら、ウイルスもばらまくハメにならなかっただろうしメアドも漏洩しなかったんですよねぇ。何らか過失があったわけですよ。
一部で SQL インジェクションなんて言われてるけど、これを怠るのは「過失」の最たる物だと思いますけどねぇ。(いや、私はやってないですけど。社内イントラ限定のシステムで「やらなくていい」って契約だから。)
でも、別のトコロでは，「サーバーのOSにはパッチもあてていたし，アプリケーションの構造にも問題はないため，当社に過失はない。スパム対策のサポートサイトを立ち上げるなど，被害のサポートはするが，自社の内部理由による被害ではないので，個別の補償はしない」なんて言ってる。
まぁまとめると朝日の記事か。

会見した穐田誉輝社長は「最高だと思っていたセキュリティーに死角があった。ただ、重過失とは考えていない」と述べた。

重過失かどうかは自分で評価しちゃダメだよねぇ。主張するのは勝手だけど。
あー、メアド登録してなかったのが残念。漏洩しちゃった人、しっかり叩いてやってください。今後二度と同じ事を起こさないように。