人の性格と一緒だと思います。理屈で攻めても人の性格は変わりません。自分の性格の欠点を指摘されても、それだけでは変わろうと思わないでしょう。
企業の体質も同じで、強権のある経営者が強引に改革しない限り、なかなか抜本的な改善は出来ないでしょう。でも、強権発動出来る経営者ばかりではないんですよね。善人ばかりでもないし。
バカと言えばバカなんでしょうが、じゃあ自分なら出来るのかと言うと、誰も出来るとは言えないと思います。権限と知識、それと意志（あとお金）があれば出来ると思いますが、意志のある人に肝心の権限がないケースは意外に多そうです。
また、こっちの事情を知らない他人の指摘でほいほい改善できるわけもないし、改善案の「妥当性」も人によって評価違うし、状況によっては優先度が高いとは限らないし。
立場によって「当たり前」の中身が異なることを忘れてしまうと、効果的な指摘は出来ないので、結果的に改善に結び付かないと思います。効果的な指摘が出来たって、確実に改善されるわけではないですから。
全部じゃないですが、こんな感じで、企業の改善は外から見て思うほど簡単・単純にはいかないんでしょう。人数が増えれば増えるほど、お金をかけていればいるほど。

• 6/24追記：id:rinrin1982へのレス
  • B2Bの会社は、当事者意識が低いケースも多いかも知れませんね。でも、個人情報を扱っていれば、面倒なこと要求されるようになるはずなんだけどなあ。というか、要求されて欲しい、すごく(笑)。
  • 中小企業は既存システムにかなり左右されると思います。セキュリティを考慮した改造ができればいいですけど、現実的にできない場合も多そうです。
  • 現実的に無理な場合、企業の理屈としては「今は対策しない」ってのは妥当な判断だと思います。できないものはしょうがないし。
  • 問題は、そういう企業を使う側の意識じゃないかなと思っています。気をつけて、問題のある企業を選ばない方向に進めば、企業も対応せざるを得ないので。それなら「儲けるため」に対策できるし。