クレジットカード情報もかなりの人数分漏れてるみたいですね。
ごっそりともっていかれたようなので、個人情報が外に直接漏れた可能性が高そうでしょうか。
不正アクセスを行った者を罰するのはもちろんのことですが、個人情報保護の観点から脆弱なシステムを設置した業者も罰するべきでしょう。
わたしが知らないだけで実際は処罰があるのかもしれませんけど。
専門家からみても死角から攻撃を受けたと言えるのであれば仕方ないと思いますが、この構造は危ないだろうといえるシステムを設置した業者には大きな処罰を。