内部漏洩防止のための決定的な手段は残念ながら無いと言っていいでしょう。現状において可能な複数の手段を組み合わせて実施し、漏洩の危険性を少しでも減らしていくことが重要です。具体的には、まず各ベンダーが提供しているセキュリティシステムを導入して、社内のシステムから情報を引き出しにくい体勢を作ることが考えられます。次に従業員の法的な義務を強化するために、就業規則、労働契約を整備する必要があります。これらが変更できないのであれば、別途誓約書を提出させるのも有効でしょう。そしてよく言われることですが、社員教育を頻繁に実施して、社員の情報に対する意識を啓発することが重要です。

個人情報保護法の施行に合わせて、各企業では従業員から個人情報の取扱に関する同意書や誓約書（以下単に「誓約書」といいます）を取得することが積極的に行われています。しかし個人情報保護法が要求しているのは、あくまでも「従業者に対する必要かつ適切な監督を行」うことです（同法２１条）。そのため個人情報の取扱方法を教育したり、従業員の個人情報の取扱方法を定期的に確認していなければ、誓約書を取得していたとしても、法律を遵守していることにはなりません。逆に誓約書が無くても、実効性のある監督手段を実施しているのであれば、法令を遵守していることになります。結局、誓約書の取得は必須というわけではありません。
もっとも誓約書を書かせるという行為は、従業員の個人情報保護への意識を高める効果があります。監督の実効性を挙げるための一手段として位置づけるのがよいのではないでしょうか。
また他の企業から業務を受託する際には、従業員から誓約書を取得していることが条件とされることが多くなってきています。そのため契約を遵守するために誓約書の取得が必要となる場合があり注意が必要です。

個人情報について要求される安全管理の度合いは個人情報のセンシティブ性に応じて様々です。廃棄に際しても、個人情報の重要性に応じた処理が必要になります。購入可能な名簿にしても、個人情報保護法施行後に、本人の同意の下で編纂されて一般に発売されている名簿であれば、シュレッダーや溶解処理までは不要でしょう。一方、個人情報保護法施行前に編纂された名簿や、本人の知らないところで発売されてしまっている名簿（多くの紳士録・公務員名簿等が該当します）については、念のため安全な廃棄方法をとった方が望ましいでしょう。
ちなみに悩ましいのがＮＴＴのタウンページやハローページ（現在は配布停止）です。これらをシュレッダー処理や溶解処理していたらキリがありませんが、一般への流通度、普及度が高いため、個人情報保護法施行前に編纂されたものであっても、簡易な処分で問題ないと思われます。

まず民事上の責任として本人に対する損害賠償が必要となります。勤務先や委託元が本人に対して先に賠償している場合には、これらの勤務先や委託元からの求償を受けることになります。たとえば京都府宇治市の住民基本台帳データ漏洩事件では、情報を持ち出した大学院生やその所属企業が宇治市に対し４００万円の賠償をすることになりました。
一方、刑事上の責任ですが、故意に持ち出したのであれば、窃盗罪や業務上横領、不正競争防止法違反として、懲役又は罰金が科されます。さくら銀行の派遣社員が個人情報を持ち出した事件では業務上横領罪が成立した例があります。

民法上、過失によって第三者に損害を発生させたときにはこれを賠償する責任が発生します。過失とは、平たく言えば、「やるべきことをやらないこと」です。近時個人情報保護への意識が高まっており、また、廃棄パソコンからの情報漏洩事件が多発しています。このような社会状況を前提とすると、廃棄するパソコンの中の個人情報は、これを消去すべき義務があると判断される可能性は高いでしょう。そして一次的に廃棄する義務を負うのは、パソコンの中に当初自ら個人情報を保存した者です。そのため、中古業者が重ねて責任を負う可能性がないわけではありませんが、まずはあなたが賠償の責任者となるでしょう。

個人情報の保護はもちろん大切ですが、他の法律の要求を遵守しなければ、これは別のコンプライアンス違反となってしまいます。そのため法定の保管年限が定められている文書については、まずこれを遵守することが第一です。
その場合、「お客様の個人情報を業務終了時に廃棄いたします。」と言ってしまうと、一部虚偽の事実を伝えてしまうことになり、また、不当表示となってしまうリスクもあります。そのため例えば、「お客様の個人情報については、法律で保管が義務づけられているものの他は、業務終了時に直ちに廃棄いたします。」などとして、一定の留保をして表示した方が良いでしょう。

まず個人情報保護法上の問題としては、同法に違反したこととはならないと思われます。単なる名前の読み上げがあった場合に、その場にいる第三者が受け取ることのできる情報はまさに名前の音のみです。通常は名前の音のみであれば、特定の個人を識別することは通常不可能です。そのためこの場合の名前は、同法の個人情報には該当しません（ただし珍しいお名前の場合には注意が必要でしょう。また詳細な理由は不明ですが経済産業省ガイドラインでは氏名が個人情報に該当すると例示しています。）。また仮に個人情報に該当するとしても、「名前を呼んでカウンターまで来てもらうこと」については、通常、本人も同意していることから、同法２３条の第三者提供の同意があったと考えることもできるでしょう。
　次にプライバシーの問題ですが、現状では、非公知性や、センシティブ性が無いという理由で、プライバシーを侵害してはいないという結論になるでしょう。もっとも今後の権利意識の高まりを受けて、プライバシーの問題になっている可能性が無いわけではありません。
　ただし道義的配慮の問題として、名前を直接呼ばなくてもよい措置を取ること自体は望ましいものと評価されていくことになるでしょう。

個人情報保護法上、「個人データ」については第三者への提供が規制されています（同法２３条）。しかし「個人情報」ですらない情報は「個人データ」にもならないため規制がかかりません。
例えば妻帯者かどうかや子供の人数などの家族構成や職業、物件の使用状況等は単にこれらの情報だけでは個人を特定することができませんので、個人情報に該当しません。プライバシー保護の観点からもこれらの提供のみとするのが適当ですし、新しい入居者としても入居を判断するには十分なはずです。一方、氏名や電話番号、転居先の情報は個人の特定が可能ですので、原則としては提供できないと考えておいた方がいいでしょう。
弁護士からの要求の場合には、既知の弁護士からの問い合わせでない限りは、「弁護士法２３条に基づく照会」によることを要求すべきです。この場合は確かに弁護士からの請求であることを確認できますし、２３条の例外に該当しますので、個人情報保護法に違反したことにもなりません。

営業社員が会社の営業のために客先を回るなどした際に集めた顧客の名刺については、その所有権は会社にあるものとされています。そのため退職する際に名刺を持って出るということは、窃盗や横領の問題となってしまいます。
また多くの場合、名刺に記載されている情報は、会社の方で何らかの形でデータベース化しているのではないかと思います。会社から離れた一個人に名刺を渡すということは、個人データを第三者提供しているということになり、原則として本人の同意が必要となります。各個人から同意を得るというのは事実上不可能でしょうから、データベース化されている部分がある場合には、これを除かない限りは、名刺を持ち出させるのは困難です。
そのため名刺については退職時はすべて原則回収するという取扱いを確立すべきでしょう。