インシデントが発生した場合、特に2次被害の防止を防ぐために、関係者に速やかな事実公表が求められます。
たとえば、クレジットカード情報が漏えいした場合、ご本人に連絡してカードを停止してもらうことで、不正利用を防ぐことができます。これはログインIDとパスワードの流出も同じです。
https://www.ipa.go.jp/security/awareness/johorouei/rouei_taiou.pdf
ここでは、「5.通知・報告・公表等におけるポイント」という節で詳しい記載があります。

報告先としては、以下があります。
・被害をうけた方(ご本人)
・広く一般への周知(ホームページ等を通じて)
・警察への連絡
 不正アクセス禁止法に抵触する場合や、金銭要求などの
 恐喝がある場合など
・監督官庁への報告
また、ここには記載がありませんが、個人情報取扱事業者(ほとんどの企業が該当します)の場合は、個人情報保護委員会に報告が必要(となるでしょう)
https://www.ppc.go.jp/files/pdf/170530_houkokusaki_gaiyou.pdf

ただし、事実を公に公表するかは、少し判断が必要だと思います。
それは、情報隠ぺいではなく、被害のさらなる拡大を防止する観点です。セキュリティ対策がなされていないまま公表すれば(そんなことはないと思いますが、)攻撃者の恰好の餌食になります。
また、著作物もそうですが、漏えいした情報を第三者が探し出して、被害がさらに拡大する懸念もあります。