GDPRでは一部の個人情報をハッシュ化させることを義務付けているらしいですが、日本でもパスワードをハッシュ化していない企業と、流出の二次被害に関しての対策書を提出しない企業に罰則を与えるべきでしょうか