管理体制の違いによります。

環の小坂です。

【2】の場合、どのようなサーバー管理(ファイヤーオールやアクセス制限など)を行うかや
サーバー管理方針などにもよりますので、
一概には言えませんが、
信頼できるASPであれば【1】の方が確実だと思います。

<サーバー証明書以外に必要なこと>
サーバー証明書は確かに個人情報保護の一つの方法ですが、
その中で重要な方法ではありません。

実際過去に個人情報を流出させた企業の大半がサーバー証明書を取得しているという話もあります。

というのはサーバー証明書はユーザが入力する際などの保護に過ぎないためです。
・データベースへのアクセス権をどうするか
・情報の保管ルールをどうするか
・それらの情報にアクセスできる人は誰か
・その人たちの教育・チェック体制はどうするのか
・ファイヤーオールなどの仕組はどうするのか
というところの方が重要で、いくらサーバー証明書があっても
DBにアクセスされてしまえば意味がないですし、
関わる人が多くチェック体制が弱いと洩れる要因となります。

そういった点で、信頼できるASPであれば、
管理はしっかりしていると思います。

ただ、以前楽天市場で個人情報が楽天の社員によって流出したように絶対ではありません。

<必要な個人情報を抑える>
カード決済情報などのようなシリアスな個人情報は
信頼できるカード決済代行会社などに任せるなど
自社では最低限の個人情報しか保有しないことも大切だと思います。