これは間違いではありません。「被害者」に行政処分が下りました。

経済産業省は、クレジットカード情報を扱うのに必要なセキュリティー対策をしていなかったとして、決済代行業のメタップスペイメント（東京都）に割賦販売法に基づく業務改善命令を出しました。同社は２０２２年１月にサイバー攻撃の被害が発覚し、約４６万件のカード情報が流出した可能性がある事案でした。

「被害事業者」への行政処分は異例です。

経産省は、同社のセキュリティー対策がカード情報を扱う事業者に求められる国際基準を満たしておらず、被害の要因であると断定し、担当役員は脆弱性を認識していたにもかかわらず、データを改ざんして経営陣に報告するなど対応も悪質だったという。

ここから学ぶことは、被害を受けた時に「被害を受けたあなたが悪い」と言われないように、世論に説明できる安全対策を講じていくべきだ、ということです。
御社は説明責任を果たせるだけの対策に手抜かりはありませんか？