報告書によれば、GMO-PGでは社内規定でセキュリティインシデントへの対応手順が定められ、脆弱性が発見されれば、情報セキュリティ委員会事務局への報告と対応が指示されることになっていた。
しかし、脆弱性情報の収集には外部の配信サービスなどしか利用しておらず、対応手順を具体化するためのチェックリストやフロー、連絡先一覧といった実務担当者が利用できる詳細かつ具体的なマニュアルも存在しなかった。
同社がA pache Struts 2を採用したのは2010年頃で、ある自治体の自動車税支払いサイトに初めて使用され、同様の手法で開発された都税支払いサイトにも用いられた。保険特約料クレジットカード支払いサイトは、これらのサイトとは仕様などが異なっていたものの、Struts 2が使われていた。
また2013~2014年頃には、Struts 2の脆弱性を悪用する攻撃が多発したが、同社では都度対応しており、Struts 2の使用中止には消極的であったという。2014年秋頃から使用中止に関する検討を始めたが、既存システムではStruts 2を代替ソフトに変更する影響を懸念し、Struts 2を継続利用するリスクが経営レベルに取り上げられることはなかった。
その後、脆弱性攻撃などの脅威の高まりから、2016年4月に「脱Struts宣言」して新規システムでのStruts 2の採用を取りやめた。しかし、既存システムの改修などは行わなかった。
この他にも報告書では、通常は担当者以外のメンバーが実施すべきシステムのコードレビューが担当者によって実施されており、検証が不十分であるなど、セキュリティを意識したシステム開発への取り組みが十分ではなかったと指摘された。
全社的なリスク管理についても、同社では本部が行ったリスク評価を管理委員会が追認するようになっていた。本部の評価を管理委員会が再評価するといった本来あるべき手順や、平時におけるリスクの監視や評価に基づく対応が守られていなかったと指摘している。
報告書を受けてGMO-PGは、技術的な再発防止策や情報セキュリティ管理体制の整備、従業員への教育・啓発などに取り組むと表明した。
都税支払いサイトについては、都主税局が再発防止策による安全性を確認したとして、4月24日にサービスを再開。再開時にURLが事案発生前の「https://zei.tokyo/」から「https://zei.metro.tokyo.lg.jp/」に変更されたが、同サイトの運営体制は変更されていない。「lg.jp」は地方公共団体だけで使用できるドメインのため、インターネット上ではこのドメインを実質的に民間企業が運用することに対して疑問を呈する声が挙がっている。
再開された都税支払いサイトでは、URLの利用をめぐる新たな問題が指摘されている
