2014年5月23日付で、サイボウズ株式会社から
「個人情報を含むノートパソコンの紛失に関するお詫びとご報告」
というリリースが出ていました。

http://group.cybozu.jp/news/14052301.html

気になるのは、
「この点、１） パスワード入力をせずにログインできる状態であったこと、につきましては、
弊社では、通常スリープからの復旧時にパスワードを求めるというOS設定にて
セ キュリティ対策を実施しておりました。しかし、セキュリティ対策のため導入されている、
パソコンに保存されているデータの暗号化ソフトウェアの不具合によ り、
当該OS設定が書き換えられ、無効化されてしまうことが確認されました。」
の部分。

「データの暗号化ソフトウェアの不具合」があったのが事実だとしても、

「当該OS設定」の「書き換え」を行ない「無効化」したのは誰なんでしょう？

パソコンを拾った人？
サイボウズ社の社員？

もし、「パソコンを拾った人」が書き換えたというのであれば、
「パソコンを拾った人」がノートパソコンを起動した時にはスリープからの復旧時のパスワードは有効だった、という話。

ログインパスワードをいろいろ試し、ログインに成功して、OS設定を書き換え、電車の中にパソコンを戻すというのは
考えにくいですね。
ということは、OS設定を無効にしていたのは社員ではないのか、という推測が出てくるわけです。
※あくまでも、推測です

もし、社員がOS設定を変えてノートパソコンを持ちだしていたとすれば、
そちらのほうが問題ではないでしょうか。
OSの設定書き換えを出来てしまったことは事実かもしれませんが、
だからといってOS設定を書き換えてスリープ復旧時にパスワードを無効にしていたことの言い訳にはならないはずです。

他社の事例を参考に、自社でもルールに則った運用がされているのか、
確認してみたほうがいいでしょう。＞セキュリティ担当者