2024.01.21

「生成A I」と個人情報について

私たちの社会に急速に広がっている「AI」。 最近では飲食店の電話で予約受付を応対する「AI」がいたり、対話型チャットで色々な質問に答えてくれる「AI」がいたりと、我々の日常生活においても大変身近な存在となっています。 誰でも気軽に使える「AI」はとても便利である一方で、大きなリスクも抱えています。 例えば著作権侵害や情報の漏洩等です。 特に、大量のデータを元に文章や画像等を生成することができる「生成AI」はよりそのリスクが顕著です。 今回は、「生成AI」と個人情報について、その中に潜むリスクを主にみていきたいと思います。 とその前に、そもそも「生成AI」とは何か？をもう少し具体的にみていきましょう。   「生成AI」とは？ 「生成AI」とは、与えられた大量のデータから新たなデータを生成する能力を持つ「AI」のことを言います。 従来の「AI」との違いは、オリジナルコンテンツを創造できるかどうかにあります。 「AI」は与えられたデータの中から適切なデータを探して提示するだけでしたが、「生成AI」は与えらえたデータをもとに、ゼロから新しいものを生み出すことができます。 テキストや画像、音声等のデータをもとに、新たな画像やテキストを作成するなどクリエイティブな能力を発揮することができるということです。 例えば「ChatGPT」は、与えられたテキストデータから文章を自動作成し、まるで人間と話しているように自然な会話で応対することが可能です。 一方で「生成AI」は、人間とは異なり、もとの学習データこそが全てになってしまうので、そもそものデータが誤っていた場合、自ずと生成される情報も不確実なものになってしまいます。 そこに大きなリスクが潜んでいると考えます。 今回は、様々なリスクがあるなかでも、特に個人情報についてのリスクをみていきたいと思います。   「生成AI」における個人情報流出のリスク （参照）個人情報保護委員会「生成 AI サービスの利用に関する注意喚起等」 https://www.ppc.go.jp/files/pdf/230602_alert_generative_AI_service.pdf   上記の参照にあるように、日本では個人情報委員会が「生成AI」の利用について、注意喚起を行っています。 注意喚起対象は大きく３つ、1.個人情報取扱事業者、2.行政機関等、3.一般の利用者です。 例えば、個人情報取扱事業者に対しては、「個人情報取扱事業者が生成AIサービスに個人情報を含むプロンプトを入力する場合には、特定された当該個人情報の利用目的を達成するために必要な範囲内であることを十分に確認すること。」（上記参照U R Lより抜粋）とあります。 個人情報はその利用目的の範囲内で利用することがとても大切になります。 特に医療従事者や公務員等、プライバシーに関わる情報を取り扱う人たちは、充分に注意しなければなりません。 会社に属するサラリーマンも同様です。これまでに企業秘密が「生成AI」によって外部に漏れてしまった例もあります。安易に便利だからと会議の議事録作成に使用すると、それが学習データとなり多くの人に漏れてしまいかねませんので注意が必要です。   もう一つ怖いのは、「生成AI」が間違ったデータを学習してしまうことです。 個人情報保護委員会は一般の利用者に向けて、「生成AIサービスでは、入力された個人情報が、生成AIの機械学習に利用されることがあり、他の情報と統計的に結びついた上で、また、正確又は不正確な内容で、生成AIサービスから出力されるリスクがある。 そのため、生成AIサービスに個人情報を入力等する際には、このようなリスクを踏まえた上で適切に判断すること。」（上記参照U R Lより抜粋）とあります。 また、「生成AIサービスの中には、応答結果として自然な文章を出力することができるものもあるが、当該文章は確率的な相関関係に基づいて生成されるため、その応答結果には不正確な内容の個人情報が含まれるリスクがある。そのため、生成AIサービスを利用して個人情報を取り扱う際には、このようなリスクを踏まえた上で適切に判断すること。」ともあります。 我々利用者側も間違ったデータが潜んでいる可能性を踏まえて、「生成AI」を利用しなければならないということです。   まとめると、個人情報についてはむやみに「生成AI」の学習データに入力しない、また、「生成AI」の限界を知り、情報を鵜呑みにするのではなく自ら根拠や裏付けを確認することを心がけなければいけないということです。 ところで、どの入力データが「生成AI」の学習データに利用されるのかは曖昧です。 これまで以上に情報の入力自体を慎重に行っていく必要があるでしょう。

2023.07.27

マイナンバーカード登録のトラブルからみるリスク管理について

依然としてトラブルが相次いでいるマイナンバーカード。 公金受取口座に別の人の口座が紐付けされた問題で、個人情報保護委員会は7月19日にデジタル庁への立ち入り検査を実施しました。 他にも、医療情報や年金、銀行口座といった個人情報の漏洩も相次いでいます。 こうしたトラブルを踏まえて、個人情報保護委員会は、デジタル庁の「リスク管理及び対策ができていなかった」ことを指摘しました。   なぜミスは起こったのか？ そもそも、なぜ別の人の公金受取口座が紐づけられていたのでしょうか。 全部で940件余りにものぼるようですが、こうした一連のミスは、住民の手続きを支援する自治体の窓口で起きました。 具体的には、前の登録者のログアウトが完了しないまま、次の登録者の手続きを行ってしまったことで、前の登録者のアカウントに後の登録者の口座が紐づけされてしまったことが原因のようです。 現状、このようなミスはどれだけ注意しようとも、人間がかかわっている以上起こりうる問題ではあります。 しかし、大切な情報を取り扱う以上、可能な限りこのようなミスはなくさなければいけません。 そこで重要になってくるのが、リスク管理です。 このようなミスを事前にどれだけ想定できるか、そのミスに対してどのように対応するのかを事前にしっかりと決めておくことが、とても大切になります。 個人情報保護委員会がデジタル庁に立ち入り検査したのも、デジタル庁が自治体に対して、正確なシステムの操作手順を徹底せず、リスク管理や対策を講じていなかったからでした。   ※口座の紐付けが正確にされているかを自分自身で確認する手順 ①「マイナポータル」にログイン ②「注目の情報」の「公金受取口座の登録・変更」をクリック ③ 公金受取口座の登録状況ページを確認 もし誤りがあった場合は、登録口座をすぐに削除し、居住する市区町村に連絡してください。   個人情報保護におけるリスク管理とは （参照）プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針 https://privacymark.jp/system/guideline/pdf/pm_shishin2022.pdf   では、個人情報保護におけるリスク管理の方法とは具体的にどのようなものを指すのでしょうか？   まずは、取り扱う全ての個人情報を特定することから始まります。 そもそも個人情報を具体的に特定できなければ、それに対するリスク管理対策もできません。 具体的には、個人情報保護管理者（個人情報を取り扱う責任者を指します）が、取り扱う個人情報を漏れなく洗い出し、それらを全て記入した台帳を作成します。 例えば以下の項目を台帳に記します。 ・個人情報の項目 ・利用目的 ・保管場所 ・保管方法 ・アクセス権を有する者 ・利用期限 ・保管期限 台帳が完成したら、社長などのトップが承認します。 この台帳は、少なくとも年一回、あるいは必要に応じて適宜に確認し、最新の状態に維持しなければなりません。   個人情報の特定ができたら、次はリスクの特定です。 各方面におけるリスクを特定し、その分析をします。 このリスク分析も多岐に渡ります。 サーバー関連から業務委託関連、人事関連に至るまで、一つ一つ細かく分析する必要があります。 このブログで取り上げたマイナンバー情報や口座情報についても、取扱いの際どのようなリスクがあるのかを分析する必要があります。 そして、それらを分析するだけでなく、一覧にしたリスク管理表を作成します。 例えば以下の項目を記します。 ・個人情報の項目 ・媒体 ・ライフサイクル（個人情報の取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄等） ・リスク ・対応策 ・残留リスク（現時点では困難であるが、短期的若しくは中長期的に対応していくリスクのこと）   個人情報保護管理者は、リスク管理表を社長等のトップに提出し、承認を得ます。 そして、策定した管理策は、従業者や委託先への教育内容等に反映します。 こちらも台帳同様、少なくとも年一回、及び必要に応じて適宜に確認し、最新の状態に維持しなければいけません。   このように個人情報を保護するためのリスク管理方法は徹底して行う必要があります。 ただし、形式的なものにとどまることなく、一人一人が個人情報の保護に対して意識をしていくことこそが一番大事といえるでしょう。

2023.05.31

匿名加工情報、仮名加工情報、個人関連情報、違いって何？その違い説明します！

個人情報保護法の改訂やPマークの基準が改訂され、様々な情報の種類が定義化されその線引きが難しくなってきました。また、昨今のビジネス事情からも個人情報を利用しながらも、その情報を匿名化する方法も注目されています。今回は、個人情報、個人関連情報、匿名加工情報、仮名加工情報のそれぞれの概念と、その違いについて詳しく解説します。 個人情報： 個人情報は、個別の人物を識別するための情報です。氏名、住所、電話番号、メールアドレス、生年月日、銀行口座番号など、特定の個人に関連する識別可能な情報が含まれます。これらの情報は、そのままでは個人のプライバシーを侵害する可能性があるため、慎重に取り扱う必要があります。個人情報は、法的に保護され、第三者による不正アクセスや悪用から保護されるべきです。 個人関連情報： 個人関連情報は、個別の人物を直接的に識別することはできないが、他の情報と組み合わせることで特定の個人を特定できる情報です。たとえば、個人の職業、趣味、購買履歴、ウェブサイトの閲覧履歴などが個人関連情報に含まれます。単体では個人を特定することはできませんが、他の情報と組み合わせることで個人の特定が可能になるため、個人情報と同様に適切な管理が求められます。 匿名加工情報： 匿名加工情報は、個人情報や個人関連情報を匿名化するプロセスを経て生成された情報です。匿名化によって、個人を特定するための情報が削除され、一般的な統計や調査目的で利用されます。匿名加工情報は、個人のプライバシーを保護しながら、データ分析やトレンドの把握などの目的で広く利用されます。ただし、十分な匿名化が行われていない場合には、再識別が可能となり、個人情報の保護が侵害される恐れがあるため、注意が必要です。 仮名加工情報： 仮名加工情報は、個人情報や個人関連情報を、本人を識別できないように変換した情報です。匿名加工情報とは異なり、個人を特定できないように情報を加工する際に、識別子や擬似識別子（仮名）が使用されます。この方法は、個人のプライバシーを保護しながら、データの利活用や研究などに使用されます。仮名加工情報の場合、個人を再識別するためには元の個人情報にアクセスする必要があり、情報の保護が図られています。 まとめ： 個人情報、個人関連情報、匿名加工情報、仮名加工情報は、データ保護やプライバシーの観点から重要な概念です。個人情報は、直接的に個人を特定するための情報であり、慎重な管理が必要です。個人関連情報は、単体では個人を特定できないが、他の情報と組み合わせることで個人を特定できる情報です。匿名加工情報は、個人情報や個人関連情報を匿名化するプロセスを経て生成され、広範な分析や調査目的で利用されます。仮名加工情報は、個人情報や個人関連情報を本人を特定できないように変換し、データ利活用や研究に使用されます。これらの情報の適切な管理と保護は、個人のプライバシーを守るために不可欠です。

2023.05.31

MEDISでのPマーク取得で注意・重要とすべきこと3つのポイント

医療機関及び医療情報を取り扱う事業者がプライバシーマークを取得する際には一般財団法人 医療情報システム開発センター（以下、MEDIS）に申請を行い、審査を受ける必要があります。   必ず、MEDISに申請が必要で別の審査機関に申請を行うことが出来ません。 MEDISは独自の指針を確立しており、単なるPマークの取り組みとは異なってきます。   ただ、MEDISでのPマーク取得はハードルが高く挫折されるお客様も多々拝見しています。 2023年5月23日時点でMEDISでのPマーク認証は646組織とのことです。 当社ではこれまでMEDIS対応のコンサル支援実績が60件を超えています。 単純にMEDISでPマークを取得されている組織の10%に当社が関わらせて頂いています。   Pマークの支援会社が数多くいる中でこれは決して少なくない数字です。   今回は15年の支援実績、MEDIS対応のコンサル支援実績が60件を超える当社がMEDISでのPマークを取得・維持される方向けに落としてはいけない3つのポイントをお伝えしていきます。     【リスクアセスメント】 Pマークを取得する上で絶対に行わないといけないリスク分析ですが、MEDIS対応の場合リスク分析の仕方が普通のPマークとは異なってきます。   MEDISの指針にも記載がありますが、個人情報の取扱いのフロー図を作成し、そのフロー内で対象となる個人情報を明確にし、フロー内で想定されるリスクを認識・対策を検討する必要があります。   これが思いのほか手間と知識が必要となり、MEDISでPマークを取得される皆さんが躓かれます。   細かすぎると作り切れなくなりますし、ざっくり過ぎると審査に適合できないとなり、医療系の業務知識とPマークに関する知識と両方が必要となる分野になります。   【同意文書の取扱い】 Pマーク上は、個人情報を直接取得するときに同意書を本人からもらう必要があります。   MEDIS対応を行う場合でも同様な対応が必要です。   ただ、MEDIS対応の場合に面倒はことがあります。 それは一度同意と言う考え方です。   要配慮個人情報と言う法律上でも取扱いが厳格に定められている個人情報をある種日常的に取扱う医療保健分野の事業者では、指針上同意をない事項を明示することで提示している同意文書の内容の一部に拒否する権利が設けられています。   Pマークは同意文書については同意を得ることだけを要求しているので、MEDISでの支援実績がない、もしくはケースが少ないコンサルタントですと一部同意の内容を勘違いした支援を行い、審査時や万が一の際に支援・助言が行えない状況が発生してしまいます。   医療分野の事業者様はその分野のエキスパートではありますが、やはり個人情報保護に関する専門家ではないので専門家の助言はやはり重要です。 当社のコンサルタントはPマークの専門家だけではなく行政書士と言う法的な資格を活用したビジネスも行っており、法的知識にも長けているので法律的なアドバイスも可能です。   【要配慮個人情報のクラウドサービスでの利用】 最近はクラウドサービスを活用して業務を進めることが当然になっています。 どこの会社でも何か1つは使っていると思います。   要配慮個人情報をクラウドサービスで利活用することについて、MDEISはなかなかのハードルを設けています。 一般的なPマークではクラウドサービスのPマーク上の選定評価と利用規約の確認。で問題ないとしています。 MEDISにおいては従来のPマーク通りの対応をすると審査時にNGが出てしまいます。   従来、病院などでは医療に関連する個人情報をネットワーク(特にインターネット)にアップすることは禁忌してきています。 昨今の技術革新でだいぶん軽減されてはきましたが、MEDISではそれを否定的な見解を示しているようです。   情報セキュリティシステムの仕様やMEDISの指針で定義されている関係省庁のガイドラインの遵守など、一般的なPマークよりもクラウドサービスの利用については非常に高いハードルが管理責任であるPマークを取得している事業者に課されてきます。   これらの確認が出来ないとクラウドサービスを利用した上でのMEDISでのPマーク取得は難しくなります。   昨今のクラウドサービスの利活用を積極的に行うビジネス形態や情勢とは逆行しているのは重々承知していますが・・・   【最後に】 MEDISでPマークを取得する場合、コンサルティング会社の選定はシビアにすべきです。 今回ご紹介したもの以外にもMEDIS独特の取り組みは多数あります。 一般的なPマークの取得支援実績が多数あるからと言って、MEDISの経験が０や少ないコンサルティング会社ではPマークを取得できない。と言う最悪の事態が考えられるため、MEDISでの実績が豊富な支援先を選定する必要があります。

2023.05.01

「ChatGPT」と個人情報について

  最近耳に入ってくる「ChatGPT」という言葉。 聞いたことがない人も「ChatGPT」について一度知ってしまえば、その魅力にとりつかれるやもしれません。 今回は「ChatGPT」とそれにまつわる個人情報の関係をみていきたいと思います。 まずは「ChatGPT」について簡単に説明します。   1．「ChatGPT」とは   「ChatGPT」は、一言でいうと、なんにでも答えを返してくれるAIのことをさします。 聞きたいことをテキストメッセージで入力すると、あらゆるデータを集約し、効率的に答えを導き出してくれます。 例えば、「〇〇のメリットを教えてください」と書くと、そのメリットについて膨大なデータを駆使し答えてくれます。 ただ質問に答えるのみならず、「以下の文章を要約してください」、「以下の文章を校正してください」といった作業も、すべて「ChatGPT」がしてくれます。 さらには、キャッチコピーのアイデアを聞くことや、ホームページの作成、小説の創作といったことまで対応可能です。 ビジネスの面でも「ChatGPT」を利用することで、業務について大幅な効率化を実践することができます。 例えば、外国語を翻訳してくれたり、メルマガを作成したり、議事録を作成してくれたりといったことなどです。 このように「ChatGPT」は、まるでドラえもんのような夢のあるAIといえます。 ただし、「ChatGPT」の出現により、今後、人の仕事がどんどん奪われていくともいわれています。 （ちなみに、差別的発言（ヘイト）や将来のことなどは、「ChatGPT」は答えることができません。）   ２．「ChatGPT」の問題点   つぎに「ChatGPT」の問題点ですが、そのひとつは確実に正確な答えを出すとも限らない点です。 膨大な情報のデータをもとに答えを導き出しているため、そもそもの情報が誤っている場合、その答えは必然的に誤ることになります。 「ChatGPT」の情報を鵜呑みにしてしまうと、誤った認識で理解してしまう恐れもあり、「ChatGPT」に依存することはとても危険です。 また、社外秘の情報を「ChatGPT」に入力してしまったために、今後そのデータが「ChatGPT」の学習に利用され、多くの人に知れわたってしまう危険性もあります。   次に、元となるデータ収集の方法にも問題があります。 「ChatGPT」の元となるデータのなかには、著作権を無視して使用している多くの作品も含まれます。 実際に多くのアーティストや企業がこの点について抗議しています。 また、違法に収集された可能性のあるデータに基づいている場合であっても年齢制限がないため、13歳未満の子供が「ChatGPT」を簡単に使用できる状況にあります。 例えば、読書感想文なども「ChatGPT」を利用して作成することができるため、実際には自分で書いていない感想文を提出することもできます。 実際に日本の大学でもレポートを書くときに「ChatGPT」を使用禁止にする等、教育現場で早急な対応が求められています。   このように、「ChatGPT」は、人がコントロールして活用できる限度を超えていると捉えられており、イーロン・マスク氏をはじめ多くの専門家や起業家たちが「ChatGPT」のようなシステム開発を一時停止するよう求めています。みんなが安全に安心して使えるようなガイドラインがないのが現状なのです。   3．ChatGPTと個人情報   これまで問題点についてみていきましたが、とりわけ個人情報との関係について、とても深刻な問題が浮上しています。 「ChatGPT」のデータのなかに、公開されている個人情報が含まれており、その点について特に欧州各国が警鐘を鳴らしています。 欧州では、誰かの情報が公開されていたとしても、その情報を好きなように扱うことはできません。 イタリアはいち早く数百万人の個人情報の使用を停止するよう、緊急暫定措置を講じました。 実際にユーザーの会話と支払い情報が漏えいしたことも指摘しています。 これを皮切りに他の国も規制の方向に向かう可能性があります。 日本においては、直ちに使用禁止にするなどの規制を行うつもりはないという国の見解のもと、現状使用を認めています。 ただし、日本においても、個人情報を匿名化したうえで利用できる「ChatGPT」を提供しようとしている会社もあります。   ４．Pマーク上のChatGPTに対する考え 2023年5月時点で、プライバシーマーク制度において明確にChatGPT内での個人情報の取扱いについては定義・見解は出ていない状況です。 ChatGPT内に個人情報を入力していくことでデータベースが構築されていき、蓄積されることにはなるため個人情報がなんらかの形で取扱われることになるとは考えられます。   現状の法律や制度上の要求事項の解釈で考えると下記のような判断が出来るものと考えています。   ・個人情報の委託ではなく第三者提供 外部のサービスに個人情報が登録されることとなるため、委託か提供のどちらかになると想定可能です。   ChatGPTのサービスを考えると個人情報の取扱いをアウトソーシングしているわけではないため、委託の面は排除され、第三者提供と判断をすることになりそうです。   第三者提供と考える理由はもう1つあります。 それはChatGPTへ渡す(この場合は入力する)個人情報の利用目的はChatGPT内では元々の個人情報取扱事業者のため、というよりはChatGPT内のデータベースの充実化、AIの発達のためになってくるからです。 ChatGPT内での独自の利用目的がある以上、Pマーク上は委託ではなく第三者提供と言う扱いになってしまうと推察されます。   実際に第三者提供として扱う場合にどのように扱うべきかはまた別のブログにて紹介したいと思います。  

2022.09.19

改正個人情報保護法に関する解説　その2

「個人情報保護法」（正式名称「個人情報の保護に関する法律」）が改正され、2022年4月に施行されました。 前回の「個人情報保護法」の改正について（1）に続き、新たな改正ポイントをみていくことにしましょう。   改正のポイントは、大きく分けて６つです。 ※https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律（概要）」より引用。 個人の権利の在り方 事業者の守るべき責務の在り方 事業者による自主的な取組を促す仕組みの在り方 データ利活用に関する施策の在り方 ペナルティの在り方 法の域外適用・越境移転の在り方   今回は個人情報を取り扱う事業者に焦点をあて、2．事業者の守るべき責務の在り方、3．事業者による自主的な取組を促す仕組みの在り方、また、5．ペナルティの在り方について詳しくみていきたいと思います。     改正ポイント2「事業者の守るべき責務の在り方」について 個人（本人）の権利の在り方が手厚くなったことに対して、事業者については個人情報を取り扱う責務がより重くなりました。 では、具体的にどう変わったのかをみていきましょう。   漏えい等が発生した時の報告や通知が義務化された！ 個人情報の漏えい等が発生したとき、事業者は通常、個人情報委員会に報告、かつ、本人にその旨通知しなければなりません。 このような報告や通知は、これまでにも行われてきました。 では、一体どこが変わったのでしょうか。 それは、これまで報告等をすることが「努力義務」であったことに対し、これからは「義務」となった点です。 誤解を恐れずに言い換えるなら、「なるべく通知しなさい」から「必ず通知しなさい」に変化したということです。   また、個人情報委員会への報告も二段階に分けて行うことになりました。 一段階目は「速報」として、漏えい等の事態を知ってからおよそ3～5日以内に、その時点で把握している内容を報告しなければなりません。 そして、二段階目に「確報」として、漏えい等の事態を知ってからおよそ30日以内（不正の目的によるおそれがある場合は60日以内）にすべての報告を終えなければなりません（例外あり）。   個人情報の「適正な取得」義務に加えて「不適正な利用」が禁止された！ 改正前までは、個人情報を適正に取得することのみが、法定化されていました。 改正後は、更に、個人情報の不適正利用を禁止することが付け加えられました。 では、不適正な利用とはどのようなケースが想定されるでしょうか？ 例えば、性別、国籍等の個人情報を、差別的取扱いを行うために、採用選考を通じて利用することなどがあげられます。 また、暴力団員からの暴力的要求行為を防止するために、責任者の名簿等をみだりに開示することも不適正利用の一例です。 今回の改正により、上記のような不適正な利用はすべて禁止の対象となりました。   改正ポイント3「事業者による自主的な取組を促す仕組みの在り方」について ・企業の特定部門単位を対象とした個人情報保護団体の設置が可能となった！ これまでは、「企業単位」を対象に認定個人情報保護団体が機能していました。 言い換えるなら、とある会社の個人情報に関する苦情について、その会社のすべての部門において認定個人情報保護団体は対応しなければなりませんでした。 しかし、昨今のIT技術の進展や業務の多様化に伴い、全部門をまとめて対象とするのではなく、「企業の特定部門」のみを対象に個人情報保護団体を認定することができるようになりました。 例えば、とある会社の広報部門のみを対象に団体を認定することが可能となりました。 結果、専門性が高く、より上質な個人情報保護対策がとれることとなりました。   改正ポイント5「ペナルティの在り方」について このポイントをみるにあたって、少し話は飛びますが、「ウ・ヨンウ弁護士は天才肌」という韓国ドラマの内容について少し触れたいと思います。 このドラマは自閉症の弁護士が奮闘するとても面白い内容のドラマですが、その15話に、ハッカーにより大手企業の取り扱う個人情報が漏えいするといった事件が描かれていました。 興味深いのは、その時に放送通信委員会から当該大手企業に課された課徴金が3000億ウォンという大金だったことです。 あくまでドラマの内容であり、現実とは別で考える必要がありますが（現に、ドラマ内で「情報通信網法」が改正されたとありますが、実際は、韓国では「情報通信網法」に規定された個人情報保護に関する事項は「個人情報保護法」に一本化されています）、昨今の個人情報保護に対する意識の高さが反映された場面であるといえます。 少し話がそれましたが、日本でも同じような動きがみてとれます。 ここからは事業者に対する実際の罰則規定をみていきましょう。   ・罰則の法定刑が引き上げられた！ タイトル通り、事業者に対するペナルティは改正により引き上げられました。 例えば、個人情報保護委員会に対する命令違反を行った場合、旧法では、６月以下の懲役又は３０万円以下の罰金であったのに対し、新法では、１年以下の懲役又は100万円以下の罰金が科せられることになりました。 また、虚偽報告等を行った場合、旧法では、３０万円以下の罰金でしたが、新法では、５０万円以下の罰金に引き上げられています。 法人に対する罰金の上限額は、もともと違反行為者と同じ上限額でしたが、改正後は、1億円以下の罰金となりました。 このように、法定刑はぐんと引き上げられ、法人に至っては、違反行為者よりも罰金刑の最高額を更に引き上げられることとなりました