明治安田生命情報漏洩・流出事件を考える

各メディアが続々報じましたが、IT Mediaの記事「明治安田生命、顔写真付き女子大生1800人情報流出　30代男性向け“オトシ技”も」と「明治安田生命のお詫び状」から、情報種別という点で、事件の問題点について考えてみました。
お詫びで「教育」と「管理」と書かれていましたが、事件の詳細を見る限り、事件を起こした個人にも問題はあるとしても、それを許してしまった「教育」については、当然、その内容＆実施方法も含めて見直しをした上で、実施するは当り前だと思う。
ここからが本題だが、「管理」といっているが、「管理」の前に、機密性に着目した情報種別の設定とその種別毎の運用に問題がないかの見直しを行い、情報取扱のルールとこれの運用を再定義するのが先という気がします。(情報セキュリティにおける文書種別）
どこまでやるかは難しいかもしれないが、今回のケースのような情報は漏洩・流出しても読み出せないように暗号化するなり、最悪でもファイル読出権限のパスワード設定くらいは絶対必要だと思う。(もし、パスワード設定されていて、それをパスされているのであれば、パスワード付与基準がザルなのか、それが守られていないし、そのチェックさえしていないということになるはずなので・・・)
Winnyを含め、脆弱性を突く攻撃が進化し続けている現時点においては、シンクライアント化して、インフラを守っているから安心ということはあり得ないのだから・・・