その為にセキュリティポリシーなどを作って社員に守らせる。

会社としては、技術的なハッキング対策もお金をかけてやって、情報を守っている。

てのは実は建前だと思う。

本当のところは、どんなにポリシー作ったって、社員はまじめに読まないし、たとえポリシー守られたとしても、技術的には色々できちゃうから、結局会社の情報を100パーセント守るなんて不可能でしょう。

もちろん会社の偉い方達も充分承知上でしょう。

どちらかと言うと、会社の責任として、「完全な防御なんて出来ないけど、出来るだけの事はやってますよ」と言うアピールが出来るかということであって、有事の際に、どれだけ会社として言い訳が出来るかって事だと思う。

だから、内部犯行の対策として、社員にセキュリティポリシー守らせてるし(名目上でも)、社員の動きを監視してるよって言って、「そんな監視をすり抜けて悪い事をする人が居るなら、それはもう、悪意のある故意であって、どうやっても防げないでしょ」てところまで、とりあえずやるって事が重要なんだろう。

もちろん、故意でないうっかりミスを防げるに越した事ないから教育とかする。そういう、いわゆる悪意のないピュアなうっかりさん達に響く教育が重要ってなるってわけではないでしょうか。だから、ゴリゴリの技術者向け教育より、一般ユーザー向けで、かつ自分たちの立場になって考えられる教育が、必要なのではないでしょうか。