セキュリティを仕事にしているものです。情報漏えいが起きた時にまず責任を問われるのは、サイト運営者です。それは「常識」の範疇ではないかと思います。

しかし、アプリケーションに問題がある場合は、サイト運営者が開発会社に損害賠償訴訟を起こすことがあります。今まで知られている判決は以下に示す2例ですが、弁護士の先生に伺ったところ、大企業の場合は信用に傷がつくので、裁判にはせずに、「開発会社がサイト運営者の言い値で損害賠償を支払っている」とのことです。こちら、有名な先生の言ですし、いかにもありそうなので私は「そういうものなのだな」と思っています。
問題は開発会社が小さいところですと、「サイト運営者の言い値で損害賠償を支払」うわけにはいかないので、そういうケースでは裁判になる場合があります。

判例1: SQLインジェクションでカード情報が漏洩した
こちら、情報漏えいの被害を開発会社に損害賠償を命じた有名な判決です。

SQLインジェクション対策もれの責任を開発会社に問う判決 | 徳丸浩の日記

判例2: SQLインジェクションの改修費用を支払わされた
こちらは、攻撃はうけていないのですが、中国のサイトに脆弱性情報が掲示されたのに対して、サイト運営者が、元々の開発会社とは別の会社に調査・改修を依頼して、その費用を元の開発会社に請求したものです。

SQLインジェクション対策不備の責任　東京地判平30.10.26（平29ワ40110） - IT・システム判例メモ

いずれの判決も、開発会社の敗訴となっています。
ご参考までに。

お客様がおられますが

商用を前提としている時点で「赤の他人から無責任なアドバイスがつく可能性のある無償の質問サイト」で解決できる範疇を超えています。特に今回は法律の観点も絡んでくるのでは？
QAで済む話にはなりません。

「専門家の意見を聞きたい」のであれば、きちんととそれなりのお金をかけて専門家に対応を御願いされたほうが良いかと思います（専門家の方々はそれで生計立てています）

welcartはアップデートをすれば、セキュリティ的には問題ないのでしょうか？

情婦漏洩等の問題が起きたの場合に責任を問われるのは開発者、事業者のどちらでしょうか？

残念な事に、主張が正しいどうかよりも頭の弱い側が責任を負わされる可能性が高いのが現実です。
上記加味してそのような状況になった場合を考えて、質問者自身はどのような立場になる（される）と思いますか？

情婦漏洩等の問題が起きたの場合に責任を問われるのは誰なのでしょうか？

前述の通りです。なぜなら頭の良い人は自分の身を守りながら仕事をするからです。
全ての立場の人が等しく頭の良さと条件で折れずに済むだけの力（つまり金）がある場合には本来責任を負うべき立場の人が責任を負う事になります。

他に良い方法はご存知でしょうか？

1. 潔くお金を支払ってそういった対応に慣れている人に依頼する
2. 質問者が不足していると感じる箇所を補ってくれる人（法律の面に不安があるなら提示の案件に強い弁護士）を雇うなどをする
3. 意地でも金を払いたくないなら質問者自身の時間を割いてせめて**「責任を問われるのは誰なのでしょうか？」**という無知な部分（質問者が不足している範囲の知識）だけでも補強する

welcartはアップデートをすれば、セキュリティ的には問題ないのでしょうか？

情婦漏洩等の問題が起きたの場合に責任を問われるのは開発者、事業者のどちらでしょうか？

事業者です。

base等のASPの場合は、セキュリティ的には問題ないのでしょうか？

情婦漏洩等の問題が起きたの場合に責任を問われるのは誰なのでしょうか？

事業者です。

セキュリティ面に関しまして、EC-CUBEとwelcartですとどちらが良いのでしょうか？

ご自身で判断なさっては？外からではどちらのセキュリティが良いかはわからないことが多いです。
大多数が採用している方が安全で、少数が採用しているものが危険だった事例もあれば、
少数が採用している方が安全で、大多数が採用しているものが危険だった事例もあります。

他に良い方法はご存知でしょうか？

金もらっているならそれくらい調べた方がいいのでは？

責任の所在は事業者と書きましたが、事業者から開発者に責任を問われる可能性は十二分にあります。