取引先から言われた、世間的に作らないとまずそうだ...等、セキュリティポリシーを作ることが目的になって、その運用まで考えていないと、
そういう結果になるんでしょうか。
    

        米国では情報システム部の部長など特権ユーザーを中心に監査され、
一般ユーザーのセキュリティ状況についてはログ分析などのツールを使って担保している。
日本では逆に一般ユーザーたる従業員のセキュリティ教育などがメインであり、体制作りを主として行っているとのことである。
    
よくある話で、システム管理者や管理職のほうが、通常持っている権限も大きく、また社内システムに精通しているのだから、
一番疑うべきところでしょ？っという話。米国では『特権ユーザーを中心に監査』と言うあたり。
日本だと、記事にもあるとおり、一般ユーザが社内規定を犯していないか？ということを中心に調べることが多いと思います。
常に、社内で「一番疑われるべきは情報システムなんですよ」って社長相手にも言っているのですが、「またまたー」って返される。
ぅーん。上層部方面から色々考えを改める必要が多いんじゃないかなぁ。

同様の記事：重要データの社外持ち出しが日常化〜ガートナー調査(Internet Watch)