下記のHP上に掲載されていた最初の部分がどうも理解できません。

このたび、株式会社ワコールがインターネットショッピングシステムの運用業務を委託しているＮＥＣネクサソリューションズ株式会社が管理するサーバーに外部からの不正アクセスがあり、顧客データが流出したことが判明しました。お客様にご迷惑をおかけいたしましたことを深くお詫び申し上げます。

NECネクサソリューションズは運用業務を委託していただけであるように読み取れるから、業務APってワコール側が作ったんではないのかな？
それともNECグループ会社が業務APを作って運用も行っていた？
とにかく誰が悪いのかが判らないんだよねぇ、上の文からは。

SQLInjectionで情報漏洩したことに対する責任はホスティングサービスの提供側ではなくそのサービスを利用してAPを導入している側にあると思うのだけど、、、

仮にワコール側が作ったAPに問題があって今回の問題が発生したのなら、ホスティングサービス提供者に責任をなすりつけて自分は悪くないって言い張ってる様に見受けられる当たり新手の価格メソッドの様にも思えるなぁ。