って、この観点書くの忘れてましたよ（汗）

情報漏洩の被害者の面々*1は被害者である、これはかわりません。ただ、漏洩元の企業は「どこから漏洩したか」とか「なぜ漏洩したか」というあたりについて「直接的な原因」については考えをめぐらせても、「どうすれば漏洩しなかったか」という点について考えてるのかがすごく謎。

「USBメモリなどの媒体を使わせない」「関係ないPCを接続させない」その他いろいろな細則はあるし、そういう対策を施すことが推奨されているような風潮でもあるし、それがある程度有効であることは認めるけど、それはあくまで「漏洩ルートを直接潰す」というのにすぎないというのがオレの考えです。
漏洩元となった誰かに、以下のようなことを聞いてみて、その事例を集めて層別し、「おおもとの原因を潰していく」というのは、本質的な対策を考える上で非常に役立つと思うですよ。

• なぜそれを持ち出したのか
• 絶対にそれがないといけなかったのか
• どうすればそれを持ち出さずに済んだのか

ちなみに「持ち出さない」と「持ち出せない」は、結果が同じでも意味が異なります。
「持ち出さない」のが一番よいので、そうならないようにするためにはどうしたらいいか、というあたりをきちんと考えていく必要がありますよね。