Mit neueren Releasen ist der Zugriff generell für Public gesperrt, da die Zugriffe nun per SQL direkt über die diversen SYS-Views erfolgt, die wiederum frei sind.
Mach mal einen "dspdbr qadbxref", dann kannst du sehen, welche SYSxxx für welche Information aus der QADBXREF zuständig sind.
Wenn er seine Software nicht anpassen kann, so muss diese ja mindestens noch mit V4R3 entwickelt worden sein, denn so lange gibts das schon.

Die QDBSRV-Jobs sind für die Datenzugriffe und SQL zuständig.
Wenn du an der Berechtigung drehen solltest, musst du das System im eingeschränkten Zustand starten, wobei ich nicht weiß, ob die Serverjobs dann nicht trotzdem laufen.

Der Anbieter sollte sich da eher an die Richtlinien halten und nicht an der Sicherheit vorbei entwickeln.