それがすべてとはいわないまでも、オレが知る限りの事例を俯瞰的に見た場合、「最大公約数的にやらなきゃならないことの1つ」として考えられるのがそこだから。前にも書いたけど、首吊られたらまた騒ぎが大きくなるわけで。情報漏洩が元で首を吊られるのも嫌ですし、そのデータが元で何か事件が起きるってのも嫌ですが、漏洩させちゃった人が首を吊るってのもそれは嫌なものです。

で、漏洩情報の母集団によって、その騒ぎなり不安が、何らかのバイアスがかかった形で出てくるというのがお決まりのパターンです。

ただ、（私見ではありますが）どのようなバイアスがかかろうと、漏洩させちゃった人のフォローってのは（場合によっては漏洩させられた情報の持ち主のフォローと同じくらいの優先度で）行わなきゃいけないし、そうしないと再発防止もなかなか打ちづらいという状況になりえます（「なぜ」漏えいさせちゃったのか？てあたりがわからなくなる危険性があるので）。このあたり、組織を運営したり、集団を統率したりする立場の人はよくわかると思います。そうでない人や「関係ない」人は、感情に任せて石投げたり、「面白いから」煽ってみたりということをする可能性があるので始末に負えないわけですが、漏洩の中心にある組織なり会社がやらなきゃいけないことは、被害者のフォロー（救済）、組織防衛、そして漏洩させちゃった当人のフォローです。
やっちゃった人を罰することが一義ではないはずなんで、対処にあたって「（当事者以外の）世間の声」を必要以上に意識する必要はないかと。
もちろん、根拠ある抗議（そんなことをするような会社には、情報を預けられないなど） には、誠意を持って対応するほかにないわけですがね。

ついでに言うならば、「漏洩させちゃった人」ってのは、その事実と漏洩内容、そして影響度を告げられると、たいてい「こんなことになるとは思ってなかった」となり、落ち込むのが通常かと。そこに（通常の処分内容を超える）塩をすりこむとか、さらなる追い討ちをかけるというのは、理性ある人がやることとは到底思えません。

なので、「対外的なフォロー内容、方法のさらなる検討、拡充」に加え、「内部的なフォロー内容、方法のさらなる検討、拡充」という話は必須になるというのが僕の認識です。