Compliance & Regulationシリーズの一部
完全ガイドを読むCCPA/CPRA コンプライアンス: 企業向けカリフォルニア州プライバシー ガイド
カリフォルニア州のプライバシー法は米国で最も包括的であり、特定の基準を満たす世界中の企業に適用されます。カリフォルニア州消費者プライバシー法 (CCPA、2020 年 1 月 1 日発効) は、カリフォルニア州プライバシー権利法 (CPRA、2023 年 1 月 1 日発効) によって大幅に拡張され、専任の執行機関が創設され、新たな消費者の権利が導入され、「機密個人情報」を扱う企業のコンプライアンス義務が強化されました。カリフォルニア州プライバシー保護庁 (CPPA) が現在運営されており、違反を積極的に調査しているため、法執行のリスクは現実のものとなり、増大しています。
このガイドでは、範囲のしきい値、消費者の権利、必要な開示、オプトアウトの仕組み、データ最小化の義務、CPPA の執行アプローチなど、CCPA/CPRA コンプライアンスを達成および維持するために企業が知っておくべきすべてのことを取り上げています。
重要なポイント
- CCPA/CPRA は、収益、データ量、データ共有からの収益の 3 つのしきい値のいずれかを満たす営利企業に適用されます。
- 消費者は、CPRA に基づき、機密個人情報を修正する権利および使用を制限する権利を含む 11 の異なる権利を有します。
- 「販売または共有しない」オプトアウトは、ホームページ上に単一の明確に表示されるリンクである必要があります
- 機密個人情報 (SPI) は、処理を制限する権利を含む追加の義務を引き起こします
- 2023 年に CPPA の執行が活発になり、意図的な違反 1 件につき最高 7,500 ドルの罰金が科せられる
- 企業は、リスクの高い処理活動についてデータ保護評価を毎年実施する必要があります
- サービスプロバイダー契約は、下流での個人情報の使用を制限する必要がある
- 保持期間を開示する必要があり、明示された目的で不要になったデータは削除する必要があります。
CCPA/CPRA 適用性のしきい値
CCPA/CPRA は、カリフォルニア州の消費者の個人情報を収集し、次のしきい値の いずれかを満たす営利企業に適用されます。
- 年間総収益が 2,500 万ドルを超える (前年暦年)
- 年間 100,000 人以上の消費者または世帯の個人情報を売買、受信、または共有しています (CPRA は、当初の CCPA の基準値を 50,000 から引き下げました)
- 消費者の個人情報の販売または共有から年間収益の 50% 以上を得ている
地理的範囲: この法律は、ビジネスが設立された場所ではなく、消費者の居住地に基づいて適用されます。カリフォルニア州の顧客から年間 3,000 万ドルの収益を上げているパキスタンのソフトウェア会社は、これに従う必要があります。
免除: 雇用データ (B2B 従業員データ) は、CPRA に基づいて 2023 年 1 月 1 日に期限切れとなる一時的な CCPA 免除を受けていました。 B2B の連絡先情報の免除も期限切れになりました。多くの金融機関はグラム・リーチ・ブライリー法に基づいて部分的に免除されています。 HIPAA の対象となる健康データは別個に扱われます。
その他の米国の州法に関する注意: このガイドは CCPA/CPRA に焦点を当てていますが、2025 年の時点で、米国の 19 の州がさまざまなしきい値と要件を持つ包括的なプライバシー法を制定しています。複数の州でコンプライアンスを実施している企業は、カリフォルニア州と同様にバージニア州 (VCDPA)、コロラド州 (CPA)、コネチカット州 (CTDPA)、テキサス州 (TDPSA) などを評価する必要があります。
個人情報および機密個人情報
CCPA/CPRA に基づく 個人情報 (PI) とは、特定の消費者または世帯を識別、関連、記述、合理的に関連付けることができる、または合理的に関連付けることができる情報を意味します。これは、米国の古い法律に基づく「個人を特定できる情報」(PII) よりも特に範囲が広いです。
明示的にカバーされるカテゴリには次のものが含まれます。
- 識別子 (名前、電子メール、電話番号、IP アドレス、アカウント名、SSN、運転免許証番号) ・商用情報(購入した商品・サービスの記録、閲覧・購入履歴)
- 生体認証情報
- インターネットまたはその他の電子ネットワーク活動 (閲覧履歴、検索履歴、Web サイトとのやり取り)
- 地理位置情報データ
- 専門的または雇用関連の情報
- 教育情報
- 消費者プロフィールを作成するために上記のいずれかから導き出された推論
機密個人情報 (SPI) — CPRA の追加 — には、強化された保護を必要とする PI のサブセットが含まれます。
- 社会保障番号、運転免許証、州ID、またはパスポート番号
- アカウントのログイン資格情報 (ユーザー名/電子メール + パスワードまたは秘密の質問)
- 金融口座情報 + アクセスコード
- 正確な地理位置情報 (1/8 マイル以内)
- 人種的または民族的起源
- 宗教的または哲学的信念
- 組合員
- メール、電子メール、またはテキスト メッセージの内容 (企業が意図した受信者である場合を除く)
- 遺伝データ
- 健康または病状データ
- 性的指向または性生活
- 一意の識別のための生体情報
SPI については、消費者は 使用を制限する追加の権利を有します。消費者がより広範な使用をオプトインしない限り、企業は、要求された製品またはサービス (および限定された追加の目的) を提供するために必要な範囲を超えて SPI を使用することはできません。
CPRA に基づく消費者の権利
CPRA は、CCPA の 5 つの消費者の権利を 11 に拡張しました。企業は、以下のそれぞれを満たすための文書化されたプロセスを持っている必要があります。
| 右 | 対応タイムライン | メモ |
|---|---|---|
| 知る権利 (カテゴリー) | 45 日間 (さらに 45 日間延長可能) | 収集するカテゴリーと目的をプライバシーポリシーで開示 |
| 知る権利(特定の部分) | 45 日間 (延長可能) | 個人に関して収集された特定の PI を提供します |
| 削除する権利 | 45 日間 (延長可能) | サービスプロバイダーおよび請負業者へのカスケード削除 |
| 修正する権利 | 45 日間 (延長可能) | CPRA の新機能 — 不正確な PI を修正 |
| 販売/共有をオプトアウトする権利 | 15 営業日以内の名誉 | 「販売または共有禁止」リンクを実装する |
| SPI の使用を制限する権利 | 速やかに敬意を表します | SPI が必須ではない目的で処理される場合は、「機密 PI の使用を制限する」リンクを実装します。 |
| 差別を受けない権利 | 即時 | 権利行使のためにサービスを拒否したり、異なる価格を請求したり、劣ったサービスを提供したりすることはできません。 |
| ポータビリティの権利 | 45 日間 (延長可能) | すぐに使用できる形式でデータを提供する |
| 自動化された意思決定について知る権利 | ルール作りが必要 | CPPA の規制策定 |
| 自動化された意思決定をオプトアウトする権利 | ルール作りが必要 | CPPA の規制策定 |
| 第三者と共有される PI を修正する権利 | 45 日間 (延長可能) | 第三者に修正を指示する |
検証要件: 消費者の要求に応答する前に、「適度に安全な」方法を使用して要求者の身元を検証する必要があります。オンライン リクエストの場合は、通常、電子メール アドレスと別の識別子を一致させるだけで十分です。リクエストを送信するためだけにアカウントを作成することを消費者に要求することはできません。 PI の特定の部分に対する検証できないリクエストは、カテゴリのみに対するリクエストとして扱う必要があります。
認定代理人: 消費者は、自分に代わってリクエストを送信する認定代理人を指定できます。代理店に対し、消費者の署名入り承認の証拠の提出を要求する場合があります。
プライバシー通知の要件
収集時または収集前: 企業は、収集前または収集時に、どの PI がどのような目的で収集されるのかを消費者に通知する必要があります。これは、Web サイトのフォーム、モバイル アプリ、販売時点管理、チャットボット、データ ブローカーの購入など、すべての収集ポイントに適用されます。
プライバシー ポリシーの要件 (少なくとも 12 か月ごとに更新):
- 過去 12 か月間に収集された PI のカテゴリ
- PIの使用目的
- 過去 12 か月間に販売または共有された PI のカテゴリ
- PIが開示される第三者のカテゴリー
- PI が収集されるソースのカテゴリ
- 消費者の権利とその行使方法
- リクエストを送信するための連絡先情報
- PI が販売されるか共有されるか、およびオプトアウトする方法
- 製品/サービスの提供以外の目的で SPI が処理されるかどうか
- PI の各カテゴリの保存期間 (または保存を決定するために使用される基準)
「私の個人情報を販売または共有しないでください」リンク: ホームページ上およびプライバシー ポリシー内で明確で目立つリンクである必要があります。リンクがサイト全体で共有されているフッターまたはナビゲーション領域にある場合は、対象となります。リンクは、消費者が 1 つのステップでオプトアウトできるページにつながる必要があります (複数ステップのフォームに埋め込まれていない)。
「機密個人情報の使用を制限する」リンク: 要求された製品またはサービスを提供するために必要な範囲を超えて SPI を処理する場合に必要です。個別のリンクにすることも、販売/共有禁止リンクと組み合わせることもできます。
オプトアウト設定シグナル (GPC): 企業は、グローバル プライバシー コントロール (GPC) シグナルを尊重する必要があります。このシグナルは、消費者が販売や共有からオプトアウトするためにアクティブ化できるブラウザー レベルの設定です。プライバシーを重視したブラウザの多くは、GPC をネイティブにサポートしています。 Web サイトでは GPC シグナルを検出し、尊重する必要があります。 CPPAは特にGPCを遵守していない企業を挙げている。
個人情報の販売と共有
CCPA/CPRA に基づく「販売」 とは、金銭またはその他の貴重な対価として、個人情報を別の企業または第三者に開示または利用可能にすることを意味します。これは、「データの販売」に関する一般的な理解よりも広い意味です。
CPRA に基づく 「共有」 では、金銭的対価がなくてもクロスコンテキスト行動広告が追加されます。具体的には、消費者のさまざまな Web サイトまたはサービスの閲覧に基づいてターゲティング広告が行われます。
実際には、以下の一般的な慣行が販売または共有に該当すると考えられます。
- データブローカーとのPIの共有
- ターゲティングのためにユーザー データをプラットフォームに送信するサードパーティの広告ピクセル (メタ ピクセル、広告モードの Google アナリティクス 4) を使用する
- 類似視聴者のために顧客リストを広告ネットワークと共有する
- リアルタイム入札エコシステムへの参加
未成年者の同意要件:
- 13 ~ 15 歳: PI を販売/共有する前にオプトインが必要です
- 13 歳未満: 親/保護者のオプトインが必要 (COPPA も適用されます)
サービス プロバイダーと第三者: 準拠したサービス プロバイダー契約 (お客様へのサービスの提供に使用を制限する) に基づいて サービス プロバイダーに開示された個人情報は、「販売」ではありません。 PI を独自の目的で使用できる 第三者 (広告プラットフォーム、データ ブローカー) に開示することは、「販売」または「共有」となります。この区別は、データ共有アーキテクチャにとって重要です。
サービス プロバイダーの契約要件: サービス プロバイダーに次のことを要求する必要があります。
- Not sell or share PI received
- サービスコンテキスト外で PI を保持、使用、または開示しないこと
- 適用される CPRA 要件に準拠する
- 企業に監査する権利を与える
データの最小化と目的の制限 (CPRA)
CPRA では、明示的なデータ最小化要件が導入されました。企業は、規定された目的を達成するために合理的に必要かつ比例している場合にのみ PI を収集、使用、保持、共有することができます。これは、CCPA の開示重視のアプローチからの大きな変化を表しています。
実装への影響:
- すべてのデータ収集ポイントを監査し、開示された目的に使用されていない PI の収集を排除します。
- 収集した各 PI カテゴリのビジネス目的を文書化する
- 保持スケジュールの構成: 明示された目的で必要がなくなった場合、PI は削除または匿名化する必要があります。
- 消費者の同意なしに、本来の収集目的と矛盾する目的で PI を二次使用することは避けてください。
保持の開示: プライバシー ポリシーでは、PI の各カテゴリの保持期間または保持を決定する基準を開示する必要があります。 CPPA はより具体的なガイダンスを含む規制を発行することが期待されています。現時点では、PI カテゴリごとにビジネス上正当な合理的な保存期間を文書化します。
データ保護の評価とリスク管理
CPRA は、消費者に重大なリスクをもたらす処理活動を実施する前に、リスク評価 (データ保護評価と呼ばれる) を実施することを企業に義務付けています。 CPPA は、どの活動が評価要件のトリガーとなるかを指定する規制を策定中ですが、法律ではすでに次のようなカテゴリーが特定されています。
- PI の販売または共有
- SPIの処理
- 重大なリスクをもたらすプロファイリング
- 未成年者のPIの処理
- 危害を及ぼす重大なリスクをもたらす方法での PI の使用
評価を文書化し、記録を維持します。評価では、処理の目的、関係する PI、消費者に対する潜在的なリスク、およびそれらのリスクを軽減するために導入された安全策を特定する必要があります。
CPPA の施行と罰則
カリフォルニア州プライバシー保護庁 (CPPA) は、米国初のプライバシー専門執行機関として 2023 年に本格的に運用を開始しました。 CPPA は、調査、行政審問を開催し、民事罰を課す権限を持っています。
| 違反の種類 | 最大ペナルティ |
|---|---|
| 意図的でない違反 | 違反ごとに 2,500 ドル |
| 意図的な違反 | 違反ごとに 7,500 ドル |
| Violation involving minor's data | 違反 1 件につき 7,500 ドル (消費者 1 人あたり) |
CPPA は違反ごとに罰則を適用します。つまり、権利が侵害された各消費者は個別の違反を表します。 100,000 人の消費者に影響を与えるデータ侵害は、理論的には 7 億 5,000 万ドル (100,000 × 7,500 ドル) の罰金となる可能性があります。初期の CPPA 施行は、組織的な不遵守を抱える大企業に焦点を当ててきました。
私的訴訟の権利: CCPA セクション 1798.150 に基づき、企業が合理的なセキュリティ対策を講じなかったことに起因する、暗号化されていないまたは編集されていない個人情報に関わるデータ侵害に対して、消費者は限定的な私的訴訟の権利を有します。法定損害賠償額: 消費者 1 人あたり 1 件につき 100 ~ 750 ドル、またはそれを上回る場合は実際の損害賠償額。
CCPA/CPRA 準拠チェックリスト
- 適用性しきい値分析が完了しました
- すべてのシステムと収集ポイントにわたって完了した PI および SPI インベントリ
- プライバシー ポリシーが更新され、必要な開示がすべて追加されました (12 か月ごとのレビュー)
- ホームページ上の「個人情報を販売または共有しないでください」リンク
- 「機密個人情報の使用を制限する」リンク (該当する場合)
- グローバル プライバシー コントロール (GPC) の検出と尊重が実装されました
- 消費者リクエスト受付プロセスの確立 (Web フォーム + フリーダイヤル)
- 本人確認手順を文書化
- 11 の消費者の権利すべてに対する対応ワークフローが文書化され、テストされています
- すべてのリクエストについて 45 日間の応答タイムラインが追跡および文書化されています
- サービス プロバイダー契約が確認され、CPRA に必要な条項が更新されました
- サードパーティのデータ共有が監査済み (受信者ごとに販売/共有の決定)
- データ最小化監査が完了 - 不必要な PI 収集が削除されました
- 保存期間が文書化され、自動削除が設定されています
- 消費者の権利対応手順に関する従業員研修を完了
- リスクの高い処理活動に対してデータ保護評価を実施
- 未成年者の PI が収集された場合に実装される未成年者の同意メカニズム
よくある質問
CCPA/CPRA は従業員データに適用されますか?
はい、CPRA が発効した 2023 年 1 月 1 日以降、可能です。 B2B および従業員データに対する一時的な CCPA 免除の期限が切れました。カリフォルニア州の従業員 (および求職者、請負業者、取締役) は現在、CCPA/CPRA に基づき、個人情報に関して消費者と同じ権利を有しています。これは、カリフォルニア州の雇用主が従業員向けのプライバシー通知を更新し、雇用主の権利履行プロセスを確立し、人事システムのデータ慣行をレビューする必要があることを意味します。
CPRA における「販売」と「共有」の違いは何ですか?
「販売」には、金銭またはその他の貴重な対価として PI を開示することが含まれます。支払いには、データ交換の取り決めなど、価値のあるものであれば何でも構いません。 「共有」は CPRA によって追加され、特に金銭的対価がなくても広告目的で PI が第三者と共有されるクロスコンテキスト行動広告を対象としています。実際的な影響: ターゲティングのためにユーザーデータを広告プラットフォームと共有すること(たとえ料金を支払ったとしても、その逆ではありません)は、CPRA に基づく「共有」となり、オプトアウト権がトリガーされます。
Cookie と追跡テクノロジーは CCPA/CPRA の対象ですか?
はい、個人情報 (IP アドレスなどのオンライン識別子を含む) を収集する場合、および結果として得られるデータが広告目的で第三者と共有される場合です。広告機能を備えた Google アナリティクス、メタ ピクセル、プログラマティック広告タグなどの一般的な手法の多くは、広告プラットフォームとの PI の「共有」を構成し、オプトアウト要件を引き起こします。 Cookie 同意管理プラットフォーム (OneTrust、Osano、Cookiebot) を実装して、同意とオプトアウト シグナルの尊重を管理します。
CPRA の「機密個人情報」は GDPR の「特別なカテゴリ」とどのように異なりますか?
どちらも、強化された保護を保証する情報のカテゴリを特定しますが、内容と扱いが異なります。 GDPR の特別カテゴリ (第 9 条) は、明示的な同意または第 9 条の特定の例外なしに処理することを禁止しています。これはほぼ禁止です。 CPRA の SPI は制限する権利を生み出します。消費者は要求された製品/サービスの提供に使用を制限できますが、企業は消費者の同意を得てより広範な目的で SPI を処理できます。 CPRA の SPI リストには、特に、GDPR の特別なカテゴリに含まれないログイン資格情報と正確な地理位置情報が含まれています。
CPRA における「サービス プロバイダー」、「請負業者」、「サードパーティ」とは何ですか?
CPRA は「請負業者」をカテゴリーとして追加しました。サービスプロバイダーは、独自の目的で PI を使用することを禁止する契約に基づいて、お客様に代わってサービスを提供するために PI を受け取ります。請負業者は、契約に基づいてビジネス目的で PI を受け取る企業です。サービス プロバイダーと似ていますが、契約要件が若干異なります。第三者は PI を受け取り、それを独自の目的に使用できます。第三者への開示は、オプトアウト義務を引き起こす「販売」または「共有」となる可能性があります。データ共有関係をサービスプロバイダーまたは請負業者として (適切な契約を結んで) 構築すると、「販売」として分類されるのを回避できます。
次のステップ
CCPA/CPRA への準拠は、1 回限りのプロジェクトではなく、継続的なプログラムです。 CPPA が新しい規制を発行するにつれて (自動化された意思決定ルールは 2025 ~ 2026 年に予定されています)、コンプライアンス要件も進化します。自動化された消費者の権利履行、データマッピング、同意管理を備えたスケーラブルなプライバシー運用プログラムを構築することが持続可能な道です。
ECOSIRE は、企業が CCPA/CPRA 義務を評価し、デジタル プラットフォームに技術的コンプライアンス対策を導入し、プライバシー運用ワークフローを確立するのに役立ちます。
始めましょう: ECOSIRE サービス
免責事項: このガイドは情報提供のみを目的としており、法的アドバイスを構成するものではありません。 CCPA/CPRA 要件は複雑であり、規制や施行ガイダンスを通じて頻繁に更新されます。組織固有のアドバイスについては、資格のある法律顧問に相談してください。
執筆者
ECOSIRE Research and Development Team
ECOSIREでエンタープライズグレードのデジタル製品を開発。Odoo統合、eコマース自動化、AI搭載ビジネスソリューションに関するインサイトを共有しています。
関連記事
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Compliance & Regulationのその他の記事
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.