まず、個人情報保護というものは情報システム『だけ』で語るものではないということを確認しましょう。また、個人情報の漏洩(機密性が損なわれること)だけ考えておけばいいというわけではなく、滅失(可用性が損なわれること)、き損(正確性が損なわれること)もリスクですので、それらを総合的に考える必要があるということも忘れないでおきましょう。

個人情報を取得した後の安全管理措置についてはBtoBだろうがBtoCだろうが大筋は変わらないと思います。取り扱いの各局面におけるリスクを分析し、必要な対策を講じる…が基本ですよね。

BtoCに特化して考慮しなければいけないことがあるとするなら、お客様の個人情報を「本人から直接書面により取得」するフェーズがあるのではないか、ということになると思います。個人情報保護についての規格である「JIS Q 15001:2006」には、この「本人から直接書面により取得」の際の要件が挙げられています(利用目的等を明示し、同意を求めること、など)。また、Webフォームなどからお客様に個人情報を入力してもらうようなシステムがあるなら、SSL関連の設定やSQLインジェクション、ディレクトリトラバーザル対策なども必要となってくるかもしれません。

もしまだ取得されていないようでしたら、プライバシーマーク取得を検討してみるようアドバイスされてみてはいかがでしょうか。漠然と対策を考えるのではなく、系統立てて「やるべきこと」を確認するきっかけにできるのではないかと思います。

Ｂ２Ｃでしたら問題はお客の情報がどこに格納されていて、どこがどんな管理をしているかが重要でしょうね。
カスタマー情報（Ｃ情報）がしかるべくサーバにガッチリと入っているなら（その情報一覧を一般の社員が引き出して使うということがないなら）さほどＢ２Ｂと変わらないでしょう。
Ｃ情報がダダ漏れ状態だったらＡＤだろうがＵＳＢ禁止だろうが意味を成しません。　特にＣ情報の一覧は徹底的にガードしてたとえ情シス員でも使えないようにすべきでしょう。　担当者はお客の情報を扱わないといけませんがそれも制限して「担当になったお客のみが照会できる」「打ち出された住所ラベルは商品に貼ってしまうので担当が（大量の）控えを持つことはできない」などシステム的な工夫以外は特別なことはないでしょう。というよりシステム的に工夫することでＣ情報に接する者を絞り込んでしまえば運用も楽になります。

どこまでやればいいのか
は金次第なのでリスクとの天秤ですね。