企業（利用者）の側に立って考えると、多くの場合、まず、事故や問題が発生した場合に何らかのダメージが予想されるからやるのでしょう。要はマイナスをできるだけゼロにしたいという、リスクヘッジの考え方です。この考え方の場合、企業にとっては「個人情報そのものを保護するため」に保護活動をするのではなく、「企業活動を維持するために個人情報保護が必要」だからやるわけです。
ところで、その企業活動にダメージを与える可能性のある事故は？　・・・というと、すぐに思い浮かぶのが漏洩です。では、漏洩・紛失・破壊・改ざんなどの事故だけを防げいでいれば、個人情報を保護できていることになるかというと、そうではありません。それではセキュリティだけの問題ということになってしまいます。
※　（書いてみたら長くなったので、はしょっちゃいます）
個人情報保護のポイントは、「本人の要望に沿って、収集や利用されているかどうか」だと思います。セキュリティはその一部に過ぎません。
JIS Q 15001 が、本人の同意を得ることを原則としているのは、言い換えれば「本人の意思を尊重する」ことを原則としているということのはずです。たとえば企業が「こういう情報を、この範囲で利用する」と明示したことに本人が同意するということは、「その範囲で利用するならいいよ」という許可なわけです。本人にすれば、その企業が明示した制限を守ると信用したわけです。*1
ということは、セキュリティを万全にしただけでは、その信用に応えたことにはならないわけです。企業側が「（本人から）与えられた信用」を意識しなければ、結果として、個人情報保護の意味を取り違えてしまうでしょう。
ですから、企業が「何のために個人情報を保護するのか」と考えた時、「顧客の信用を裏切らないため」ということが出てこないと、その保護活動は不完全なのだと私は思います。