漏洩により処罰されるリスクを考えれば、当然の企業行動だと思います。
どれほどセキュリティをしっかりしていても、漏洩が１００パーセント起こらないという保証はありませんしね。
もともと業務にマイナンバーが関係なければ、最初から取り扱いをしないというのは賢明な判断だと思います。

ただ、個人情報保護法の際にも思ったのですが、本来なら悪用する連中を真っ先に罰するべきだと思うんですよね。
実際に情報を取り扱う業者が、自身の漏洩で罰せられるとすれば、事業としての情報に対する取り組みが萎縮してしまうのは想像に難くないですしね。
今の状況は、情報の保護に厳しいあまり法令の罰則を厳しくした結果、業者が萎縮して情報の活用について消極的になり、政府が旗振りをしている社会における情報の活用が遅々として進まないという負のスパイラルが進んでる状態だと思います。

悪用する連中は儲けになるからやっているわけですから、逆に損になる程度の罰金刑なり民事上の損害賠償責任などが課せられば、自ずと抑止力になるとは思いますけどね。
まあ、検挙率がもともと少ないという問題はあるかもしれませんが、それでも今の漏洩側を過失までもひっくるめて罰するよりも効果的だとは思うんですけどね。