まず，これを一連のインシデントレスポンスとして見た場合，かなりダメな部類に入る．
まず，時系列に並べられる事実のみを以下に抜き出してみよう．

1. 4/23 17:00 決済代行会社からカード情報の流出懸念に関する連絡
2. 4/23 22:00 DBサーバからクレジットカード情報削除
3. 4/23 23:00 クレジットカードを預からない運用に切り替え
4. 4/24 Payment Card Forensics株式会社（以下PCF）に調査依頼の連絡
5. 4/26 PCF株式会社による調査開始＆脆弱性調査
6. 5/21 最終報告書提出（PCFからXCOMGLOBALへ）
7. 5/27 おわび公表