あれ？パスワードの共有を止める、って書いてないけど（笑）。
・・・というのもあるけど、

顧客情報にアクセスした時の、ユーザID、時間、アクションを24時間365日記録し、半永久的に保存する。

というのすごいなあ（笑）。
漏洩してるのって外から知らされて初めて知るケースがほとんどですよね。ある日突然債権回収詐欺なハガキが来ました、とかいうのがきっかけとか。それからデータが漏れたものかどうかって調べるわけだけど、そのときはデータで確かめるしかないわけで。漏洩したデータを可能な限り洗い出して、そのデータの内容から時期を特定するわけですよね。逆に言えば、データの内容から時期がわからなければ、誰が触ったのか、を起点に調べるしかないすよね。そういう意味では、やっぱアクセス制御と絞込みをしっかりやっといて、改ざんできないように記録をとっておくというのがいいんでしょうねえ。