内部漏洩防止のための決定的な手段は残念ながら無いと言っていいでしょう。現状において可能な複数の手段を組み合わせて実施し、漏洩の危険性を少しでも減らしていくことが重要です。具体的には、まず各ベンダーが提供しているセキュリティシステムを導入して、社内のシステムから情報を引き出しにくい体勢を作ることが考えられます。次に従業員の法的な義務を強化するために、就業規則、労働契約を整備する必要があります。これらが変更できないのであれば、別途誓約書を提出させるのも有効でしょう。そしてよく言われることですが、社員教育を頻繁に実施して、社員の情報に対する意識を啓発することが重要です。

個人情報保護法の施行に合わせて、各企業では従業員から個人情報の取扱に関する同意書や誓約書（以下単に「誓約書」といいます）を取得することが積極的に行われています。しかし個人情報保護法が要求しているのは、あくまでも「従業者に対する必要かつ適切な監督を行」うことです（同法２１条）。そのため個人情報の取扱方法を教育したり、従業員の個人情報の取扱方法を定期的に確認していなければ、誓約書を取得していたとしても、法律を遵守していることにはなりません。逆に誓約書が無くても、実効性のある監督手段を実施しているのであれば、法令を遵守していることになります。結局、誓約書の取得は必須というわけではありません。
もっとも誓約書を書かせるという行為は、従業員の個人情報保護への意識を高める効果があります。監督の実効性を挙げるための一手段として位置づけるのがよいのではないでしょうか。
また他の企業から業務を受託する際には、従業員から誓約書を取得していることが条件とされることが多くなってきています。そのため契約を遵守するために誓約書の取得が必要となる場合があり注意が必要です。

個人情報について要求される安全管理の度合いは個人情報のセンシティブ性に応じて様々です。廃棄に際しても、個人情報の重要性に応じた処理が必要になります。購入可能な名簿にしても、個人情報保護法施行後に、本人の同意の下で編纂されて一般に発売されている名簿であれば、シュレッダーや溶解処理までは不要でしょう。一方、個人情報保護法施行前に編纂された名簿や、本人の知らないところで発売されてしまっている名簿（多くの紳士録・公務員名簿等が該当します）については、念のため安全な廃棄方法をとった方が望ましいでしょう。
ちなみに悩ましいのがＮＴＴのタウンページやハローページ（現在は配布停止）です。これらをシュレッダー処理や溶解処理していたらキリがありませんが、一般への流通度、普及度が高いため、個人情報保護法施行前に編纂されたものであっても、簡易な処分で問題ないと思われます。

まず民事上の責任として本人に対する損害賠償が必要となります。勤務先や委託元が本人に対して先に賠償している場合には、これらの勤務先や委託元からの求償を受けることになります。たとえば京都府宇治市の住民基本台帳データ漏洩事件では、情報を持ち出した大学院生やその所属企業が宇治市に対し４００万円の賠償をすることになりました。
一方、刑事上の責任ですが、故意に持ち出したのであれば、窃盗罪や業務上横領、不正競争防止法違反として、懲役又は罰金が科されます。さくら銀行の派遣社員が個人情報を持ち出した事件では業務上横領罪が成立した例があります。

民法上、過失によって第三者に損害を発生させたときにはこれを賠償する責任が発生します。過失とは、平たく言えば、「やるべきことをやらないこと」です。近時個人情報保護への意識が高まっており、また、廃棄パソコンからの情報漏洩事件が多発しています。このような社会状況を前提とすると、廃棄するパソコンの中の個人情報は、これを消去すべき義務があると判断される可能性は高いでしょう。そして一次的に廃棄する義務を負うのは、パソコンの中に当初自ら個人情報を保存した者です。そのため、中古業者が重ねて責任を負う可能性がないわけではありませんが、まずはあなたが賠償の責任者となるでしょう。

個人情報の保護はもちろん大切ですが、他の法律の要求を遵守しなければ、これは別のコンプライアンス違反となってしまいます。そのため法定の保管年限が定められている文書については、まずこれを遵守することが第一です。
その場合、「お客様の個人情報を業務終了時に廃棄いたします。」と言ってしまうと、一部虚偽の事実を伝えてしまうことになり、また、不当表示となってしまうリスクもあります。そのため例えば、「お客様の個人情報については、法律で保管が義務づけられているものの他は、業務終了時に直ちに廃棄いたします。」などとして、一定の留保をして表示した方が良いでしょう。