Sony heeft in de gebruikersovereenkomst, waar iedere gebruiker mee akkoord gaat bij het aanmaken van een PlayStation Network-account, vermeld dat het niet aansprakelijk is voor dit soort praktijken. Het is echter de vraag in hoeverre die voorwaarde rechtsgeldig is. In de Nederlandse wetgeving is niet expliciet bepaald waar de verantwoordelijkheid van de verantwoordelijke, in dit geval Sony, ophoudt. Wel eist de Wet Bescherming Persoonsgegevens in Artikel 14 van de verantwoordelijke "passende technische en organisatorische maatregelen [...] om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking." Wanneer Sony in Nederland zou worden aangeklaagd, zal moeten worden bepaald of Sony's PlayStation Network "een passend beveiligingsniveau" heeft gehad, "rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging."

Gamer.nl heeft geprobeerd het College Bescherming Persoonsgegevens te contacteren voor een nadere uitleg van de wet, maar het CBP was niet beschikbaar voor commentaar. Het Britse Information Commissioners Office, kortweg ICO, heeft wel al aangegeven dat de clausule in het Verenigd Koninkrijk niet rechtsgeldig is en dat Sony weldegelijk aansprakelijk is.

Vorige week woensdag ging het PlayStation Network offline, nadat Sony had geconstateerd dat een onbevoegde buitenstaander zichzelf toegang had verschaft tot de persoonlijke gegevens. Onder meer e-mailadressen, wachtwoorden en adresgegevens van 77 miljoen PlayStation Network-gebruikers zijn bij deze actie mogelijk gestolen. Het is nog onduidelijk of ook opgeslagen creditcardgegevens, die extra versleuteld zijn, ook gestolen zijn.