オレはIPAの就業規則を知る立場にないので*1 、組織の性格、「普通に閲覧可能な就業規則」の例、そしてその事故によって引き起こされた事象をもとに考察しているわけです。
で、私はこの漏洩については（故意ではないにしても）重過失といわれてもしょうがないくらいの話だと思ってます。さらに言うならば、損害も（事故対応にかかるコスト、組織の信用失墜とその回復にかかるコストという観点からは）組織にとって致命的とはいえないまでも、与えちゃってると思ってます。

祭りの原点に立ち戻ると、「誰がつこうたか」を、組織も含めて特定されてしまった（そして特定に必要な材料が漏洩していた）ところが最大のキーなわけで、おそらく中の人も「せめてこれさえなけりゃなぁ…」とアタマを抱えたはずです。

オレ自身のコンピテンシの1つが情報セキュリティということもあって、贔屓目入っていると思われるかもしれませんが、本件の評価については、組織の性格と経営の観点、そして世論の3つは（普通に）考慮してます。

もちろん、「過失の認定とその重大度」については、組織内で議論と認定が行われたと思うわけですが、下記のような材料がそろってしまっている状況を考えると、客観的には「重過失」と見られても文句言えません。