日本には古き良き「QC活動」というものがあります。
情報漏洩対策にもQCの考え方が使えるとオレは思ってたりします。

ちなみに、クラッキングが原因で情報漏洩した場合は、「漏洩の原因となったシステムの脆弱性をチェックして、そこを修正して漏洩ルートを絶つ」ということが普通は行われます。
内部の人がテキトーぶっこいて情報漏洩した場合は、綱紀粛正よろしく通達を行い、情報漏洩ツールの使用を徹底的に禁止する、ということが行われます。

前者についてはよーわかりませんが、後者については「そもそも情報をなぜ持ち出すのか」という点をきちんと洗い出して、「情報を持ち出させない」ではなく「情報を持ち出す気にさせない」というようにしないと、おそらく根本的な対策にならんでしょう。

もちろん、最小限のデータ持ち出しは許可しないと仕事にならない職種の方々もいらっしゃるので（例：営業）、そこは考えどころだったりするんですが…。大きく分けて、以下の職種があると思うです。

• 営業
• 開発
• 研究
• スタッフ

それぞれの職種によって、最適解があるような気が。