日本の個人情報保護法やそのガイドラインでは、「個人データの安全管理のために必要かつ適切な措置」を講じるように規定している一方で、いくつかある対策手段の一つとして「暗号化」との例示があるにすぎず、「暗号化すること」の意義が明確に定められていない。唯一、「高度な暗号化をしていた場合、情報漏えい事故発生時に、本人への通知及び公表を省略しても差支えないと考えられる」とあるだけで、それも「高度な暗号化」がどのような状態を満たしていればよいかを正確に規定していない。
その結果、最低限とるべき対策水準でさえ明確ではなくなっている。例えば「暗号鍵を厳重に管理運用し、利用者認証にICカードを使って暗号化するケース」も「4桁の暗証番号で暗号化するケース」も同じ「暗号化をしている」という判断になっているのに、前者が「高度な暗号化をしている」と判断されるかどうかははっきりしない。
一方、欧米では明確に「個人データを安全管理するために暗号化が必要」とガイドラインでうたっており、どのような状態にあるものが「安全な暗号化をしている」といえるかまで規定されている。さらに特徴的なのは、セキュリティ対策は費用対効果を考えるべきとしており、情報漏えい時の影響度によって必要な対策水準のレベルが異なることを前提としていることである。
ただし注意すべきは、費用対効果の判断が正しかったかどうかは当事者の判断ではなく、監督官庁(広い意味では第三者)による事後検証で判断する点である。つまり、監督官庁が事前に示す基準に照らして、当事者が合理的な費用対効果の判断をしていなかった(最低限とるべき水準の対策さえも実施していない)と判断された場合に安全管理義務違反を問われることになる。
明示的に、当事者に一定の裁量権を認める代わりに、当事者の勝手な言い分を認めないための最低基準を決めるという考え方である。
