개인정보유출 이후 벌어지는 손해배상소송에서 미국과 영국은 정보유출로 인한 피해를 스스로 입증하지 못할 경우 사용자책임을 쉽게 인정하지 않는다.
21일 '해킹에 의한 개인정보유출과 정보통신서비스 제공자에 대한 손해배상책임에 관한 고찰'이라는 제목으로 최호진 판사가 발표한 논문에 따르면 미국 멜론 은행(Bank of New York Mellon)이 1,250만명의 고객들의 개인정보를 백업 테이프 운송 중에 분실한 것에 대해 원고 7명 중 3명만이 위 분실사고 이후 알 수 없고 승인받지 않은 신용거래로 손해를 입었고 나머지 4명은 아무런 손해가 없었기 때문에 손해 주장은 추정적이고 가정적인 것에 불과하고 당사자 자격이 없다는 이유로 소송을 각하했다.
사용자 중 한사람이 다른 사용자들의 개인정보를 사이트의 시스템을 통해 다운받아 제3자에게 매각한 사건에 대해서도 원고가 유출된 개인정보로 위험이 증가하는 손해를 입었을 수도 있으나, 추측에 근거한 손해 이상을 입증하지 못했다는 이유로 원고의 소를 각하했다.
제3의 해커가 은행의 웹사이트(다른 회사에 의하여 운영되는)를 해킹해 다수의 개인정보를 가져간 사건에 대해서는 당사자 적격은 인정했지만, 장래에 신원도용으로 손해가 발생할 위험이 증가했다는 주장만으로는 손해의 발생을 인정할 수 없다는 이유로 원고의 청구를 기각했다.
영국의 경우에도 손해배상책임을 인정하기 위해서는 미국의 손해배상책임과 마찬가지로 실질적 손해를 입증해야 하는 등 미국과 비슷한 것으로 알려졌다.
일본의 경우는 안전대책을 제대로 마련하지 않은 과실책임을 인정해 손해배상 청구를 받아들인 경우가 있다.
일본 법원은 사용자 서버를 이전하는 작업을 하던 중 인터넷에서 개인정보가 유출된 사건에서, 서버회사는 인터넷 시스템 구축, 호스팅서비스, 서버구축 등을 사업목적으로 하는 회사이기 때문에 개인정보가 포함된 전자파일을 다른 일반의 인터넷 이용자들의 접근이 제한되는 비공개 영역에 두던지, 아니면 공개영역에 두더라도 접근을 제한하는 권한설정이나 패스워드 설정 등의 방법으로 안전대책을 강구할 주의의무가 있다며 이를 위반한 서버회사에 대한 지휘, 감독관계에 있는 피고에 대해 사용자 책임을 인정했다.