JIS Q 15001:2006の「3.3.7 緊急事態への準備」で言ってることは、受容ではなくて低減の話なので、確かに受容できない（「そういう事態がありうることを認識し、準備せよ」なので）。
ただ、実際にはISMSでも、組織の能力／責任を問われるようなリスク受容については、認めていない（ISO 27001:2006中 「1.2 適用」に、そこにかかわる記述があります）。もっとも、これは受容しちゃいかんだろｗという感じではあるのだけど。

当事者に対する受容は、「ウチはここまでやります」という責任範囲の提示に替えられてる感があるけど、これをもう少し「ウチはここまでやるから、それ以外の部分はよろしく。具体的にあなたは何やってね」というところまで言われていれば、まだ違うのかもしれない。

で、そういうあたりでリスク対応のためのコスト分担って話が出てくるわけで、「コストは低くするかわりにこういうリスクおよび、発生時にはこういう対処が必要、という運びになる。
わかりやすく言うと

• 何かあったらなんでもします。でも、あなたには（その準備のために）これくらいの対価を支払っていただきます
• できない範囲も多いけど、「それでよければ」このくらいでいかがでしょうか？

というような提案／駆け引きが必要になる。
もちろん、情報主体（要はその個人情報の主）が拒否することも可能なわけで、ここでそれを受け入れた場合には、実は情報主体にも一定の範囲で責任（自分で対処）という話になる、というところか。

漏洩／毀損への対策などは当然必要としても、そのようになった場合の対応をどうする（どうしてもらう必要がある）ということを、きちんと整理することが、相互の信頼につながるのではないか、と思う次第。万全／完璧はないので。

何もおきなきゃどうするのよ？というのはあるけど、それは保険といっしょ。
でもあくまで「相互の合意の上」で行われなきゃいけないのはあたりまえ。
どっかのISPが勝手に会員から10000円徴収したなんてのは、論外の極み。