模範解答では、「他のサービスで設定しているパスワードは通販サイトに設定しないこと」とありますが、
容易に推測できる文字列をパスワードとして設定しないという回答は間違いなのでしょうか

パスワードリスト攻撃への対策としては不十分かと思われます。
他サイトのパスワードが流出した場合、同じパスワードを使い回していたとしたらどれだけ複雑でも意味がないからです。

補足になりますが、“IDとパスワードの組み合わせリスト”を使用した攻撃です。
パスワードについてのみ記載すると減点対象になるかもしれません。