個人情報保護法施行にも関わらず、情報漏洩事件は減っていない、これはつまり、まだまだ個人の認識が足りないからだ、という論評は少なくない。これは正論だが、現場を知っている人はもう少し本質を捉えている。

インターネット セキュリティ システムズの高橋CTOもその一人かもしれない。同社のセミナーで、「会社のノートPCを全面禁止にしたことは問題」という見解を示しているようだ（IT Pro　11/24）。
PCの持ち出し禁止→仕事の要求水準は変わらない→データだけ持ち帰って自宅PCでこっそり作業、という負の連鎖が起こっているのではないか、というわけである。こういうケースでは、氏が指摘するように、ノートPCに暗号化ソフトやセキュリティソフトを導入して、持ち出しを許可する方がリスクが少ない、ということになる。

トップダウンで現場に則さない社内規則ばかりが先行する、というのはISOやコンプライアンス対策でも経験済み。守れないルールはルール自体に無理がある、ということだ。