どのような対策をすれば個人情報保護法対策をしたことになるの？

d. 失敗から次の対策を立てることができる仕組みを作る

　情報を漏えいさせてしまった場合、もちろん情報システムや社の運用上脆弱性があったことを深く反省しなければなりませんが、その際には原因を分析するための仕組みが必要になります。
　そのために必要なものは記録です。ITの世界ではログと呼ばれるものになります。「2. 何から守らなければならないかを知ろう」のd. 監視にも説明がありますので併せてご覧ください。

　情報システムの運用以外でも記録をつけることは重要です。例えば入退室管理票や書類の持ち出し管理票、鍵の管理票などはあるとよいでしょう。
　記録をつけることでいつ、誰が、どうしたのかというところまで辿ることができます。

　そして、分析結果から情報漏えいを再発させない仕組みを考えることが必要です。その対策も、社内のセキュリティ方針や今までの情報取り扱いルールなどを踏まえた上で組織的に考えることが必要です。
　3-a. 情報漏えいしない、させない仕組みを作るのところでも記述いたしましたが、社内で発生したセキュリティ上の問題を解決する組織（監査・監督組織、セキュリティ対策委員会など）を整備し、それらの組織が中心となって情報漏えいの原因を分析したうえで再発防止策を取り決めていくべきです。

　結局のところ、様々なソフトやハードウェアなどのツールを用いて情報システムのセキュリティ対策を行うだけではセキュリティ対策になりません。
　セキュリティ対策を考えることのできる（これは人間にしかできません）組織があり、それらの組織がルールを策定した上でルールに則ったシステムの運用やセキュリティ事故対策等を行うというのが本来のセキュリティ対策の流れになります。