L'ICO considère que la firme a enfreint les règles régissant la protection des données puisque « des informations personnelles de millions de clients, comme des noms, des adresses, des dates de naissance ainsi que des mots de passe » ont été publiés indûment. Elle ajoute qu'une mise à jour de sécurité aurait pu corriger la vulnérabilité et ainsi éviter la fuite d'informations personnelles. En conséquence, l'ICO condamne Sony à verser la somme de 250 000 livres.
David Smith, responsable de la protection des données auprès de l'ICO précise dans une note que : « lorsque vous êtes responsable d'autant d'informations, notamment des cartes de paiement ou des données de connexion, conserver en sécurité les données personnelles doit être votre priorité. Ce qui n'est, dans ce cas, pas arrivé. Dans la mesure où la base de données a été la cible, nous avons noté que les mesures de sécurité mises en place n'étaient tout simplement pas assez efficaces ».
Depuis cette attaque, Sony a corrigé les vulnérabilités exploitées et a même renommé sa plateforme en la rebaptisant SEN. Une attention visiblement insuffisante pour exempter la firme de ses responsabilités en matière de protection des données personnelles. L'ICO reconnait toutefois que Sony a désormais rectifié le tir et s'assure que ce type d'information est en sécurité. Malgré tout, le groupe nippon fera appel de cette décision.
