古典的なテーマなので、しかるべき教科書等を読めば対策は載っていると思います。自分の頭で考えることも重要ですが、まずは定着している枯れた手法を学習しましょう。

基本的な考え方として、以下の3点があると思います。

・入口を絞る

従業者が業務上で本当に必要な情報だけにアクセスできるようにアクセス権を絞ります（最小権限の原則）。そのためには、従業者に個別のアカウントを割り振ることも重要です（一人1IDの原則）。

・出口を絞る

NTT ProCXの事件では、情報の持ち出しにUSBメモリが用いられたと報道されましたが、セキュリティ関係者の多くが「今どき?」と驚いたと思います。情報の持ち出し口をすべて塞ぐことは難しいのですが、できることはやっておきましょう。「完璧にはできないので何もしない」というのはよくありません。

・アクセスログの監視と監査

従業者が業務上必要な情報であればアクセス権は与えなければなりませんが、あきらかに不自然なアクセスというのはわかります。現実の事件でも、最終的には犯人が特定できています。このため、アクセスログを監視・監査して、できるだけ早く情報持ち出しを検出できれば、事件を予防できる、あるいは被害を最小限にすることができます。

上記の中で意外に難しいのが一人1IDの原則ですが、これは難しくてもやるしかないと思います。