情報を漏洩させちゃった人に物申すことができる人は、情報を漏洩させられちゃった被害者だと思ってます。
もちろんこれは、社会的な影響とか業界に対する影響とかを勘案しなきゃいけない部分が多分にありますが、ガイドラインに記述された漏洩時の対応を見ると、何がなんでも「当事者以外の（不特定多数な）面々に対する説明」をしなきゃいけない、という話にはなりません。これは、以下のガイドラインのP.26から始まる「事故又は違反への対処」を実践するために講じることが望まれる手法の例示」を見ても、そういう内容はありません。
このことを無視して、自分の身元も明らかにせずに「事実関係を公開せよ」と迫る人は、ぶっちゃけスルーしても無問題かと。逆に「情報を漏洩させられちゃった人」に対しては、対応を行う必要が（当然ですが）あります。

・個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
　http://www.meti.go.jp/policy/it_policy/privacy/080229kaisei-guideline.pdf

　一応、該当部分を引用しますと

（ア）事実調査、原因の究明
（イ）影響範囲の特定
（ウ）再発防止策の検討・実施
（エ）影響を受ける可能性のある本人への連絡
（オ）主務大臣等への報告
（カ）事実関係、再発防止策等の公表

というように、対処には6つの内容を含む話になるわけですが、このうち（カ）については、以下のような但し書きがあるわけです。これが、必ず公表の必要があるわけではない、とする根拠。

ただし、例えば、以下のように、二次被害の防止の観点から公表の必要性がない場合には、事実関係等の公表を省略しても構わないものと考えられる。なお、そのような場合も、類似事案の発生回避の観点から、同業種間で、当該事案に関する情報が共有されることが望ましい。

• 影響を受ける可能性のある本人すべてに連絡がついた場合
• 紛失等した個人データを、第三者に見られることなく、速やかに回収した場合
• 高度な暗号化*1等の秘匿化が施されている場合
• 漏えい等をした事業者以外では、特定の個人を識別することができない*2場合（事業者が所有する個人データと照合することによって、はじめて個人データとなる場合）