Me imagino que es por simplicidad más que por otra cosa.

Usar un PreparedStatement además es imprescindible si los parámetros vienen del "espacio exterior". Automaticamente evita cualquier clase de SQL Injection.

De todas formas, yo siempre (como mínimo) uso iBatis, allí se que estas protegido contra todo.
^^^ (al menos en teoría)