そうですね。
ただ、後で情報を求めるのが大変だから「とりあえず保持する」ってのが今時はリスクにしか見えなくて。
今回は、あくまで限られた立場の人間が悪用しただけであって、データ流出事故じゃよかったなと。

私は、相手から入手する情報は「何が必要な情報かを確認し、不要情報は取得しない」という慎重さが必要と考えています。
これは別に本件限らず、Webフォームやら、広告とかも含めた他人からデータ収集する際の心構え的な物です。
セキュリティコードなしに悪用されたとか、署名が被っていて隠せなかった可能性もありますが、悪用する際に必要な情報が無ければ悪用は起きない訳で。

部外者の勝手な憶測なので、きちっとしたセキュリティが組まれていたけどすり抜けたのかもしれませんが、
もしセキュリティコードを何も考えずに撮影やスキャンしているようなワークフローなら、
今後も、電子マネー(au WALLETとか [webmoney.jp])から着服とか同様の被害が起き得ると考えていますし、
マイナンバーカードも何も考えずにスキャン＆保管(一応本件はセーフ? [e-gov.go.jp])してそうで、流出/悪用もありえそうだよねと。

さて、捜査資料は、どの程度のセキュリティレベルで記録・保管・管理しているんでしょうね。
少なくとも部署内の人間に閲覧権限が有る事は間違いないみたいですが、組織(やCISO)はリスクをどの程度に見積もりしてるのかしら。

手間と時間は掛かりますがその通りですね。