どうしても自分は被害者だと言い張りたいんですかね。

コストとの兼ね合いから、どこまでセキュリティをかければいいのかということを検証するには時間がかかる。

はぁ？
セキュリティを保証できないなら情報の管理なんてするべきじゃないでしょう。それでも情報を収集したいならユーザに通知するべき。「ここで入力された情報は当方のシステムで保存されますがセキュリティ面での検証は行っておりませんので、情報が漏洩しないという保証はできかねます。」とか。ｗ

しかも、A.D.200Xからは当初、「資料のファイルをダウンロードしている人はほとんどいない。いても身内だけであり、全部削除させた」という報告を受けたが、本当はそんな確認作業などやっていなかったのではないか？

「A.D.200X」を「ACCS」に置き換えても違和感が無いのは何故だ。ｗ