CREX|Security

CREX|Security

CCPAとは?GDPRとの違いや改正法CPRAのポイントをわかりやすく解説

更新日:

CCPAとは?、GDPRとの違い、CPRAをわかりやすく解説

デジタル技術が急速に進化し、私たちの生活やビジネスに深く浸透する現代において、個人データの活用は新たな価値を創出する一方で、その取り扱いに関するリスクも増大しています。特に、グローバルに事業を展開する企業にとって、各国のプライバシー保護法制への対応は避けて通れない経営課題となっています。

その中でも、EUの「GDPR(一般データ保護規則)」と並んで、世界中の企業に大きな影響を与えているのが、米国の「CCPA(カリフォルニア州消費者プライバシー法)」です。さらに、このCCPAは2023年に改正法である「CPRA(カリフォルニア州プライバシー権法)」へと強化され、企業に求められる対応はより一層高度化・複雑化しています。

この記事では、デジタル時代の重要なプライバシー法であるCCPAおよびCPRAについて、基礎から徹底的に解説します。CCPAがどのような法律なのか、その背景や目的、GDPRとの具体的な違い、そしてCPRAによる変更点まで、網羅的に掘り下げていきます。

「カリフォルニアの法律だから、うちの会社には関係ない」と考えている方もいるかもしれません。しかし、CCPA/CPRAは、日本に本社を置く企業であっても、特定の条件を満たせば適用対象となります。自社が対象となる可能性を正しく理解し、適切な対応を講じることは、法務・コンプライアンスリスクを回避するだけでなく、顧客からの信頼を獲得し、企業価値を高める上でも極めて重要です。

本記事を通じて、CCPA/CPRAの全体像を正確に把握し、自社で何をすべきかの具体的なアクションプランを立てるための一助となれば幸いです。

CCPA(カリフォルニア州消費者プライバシー法)とは

CCPA(カリフォルニア州消費者プライバシー法)とは

CCPA(California Consumer Privacy Act)は、日本語で「カリフォルニア州消費者プライバシー法」と訳され、カリフォルニア州の住民(消費者)に対して、自らの個人情報が企業によってどのように収集、利用、共有されているかを知り、それをコントロールするための権利を付与する法律です。2018年6月に成立し、2020年1月1日から施行されました。

この法律は、米国において初めて州レベルで包括的なプライバシー権を定めた画期的なものとして注目され、その後の米国内の他の州や世界各国のプライバシー法制にも大きな影響を与えています。GDPRがEUにおけるデータ保護の基準となったように、CCPAは米国におけるプライバシー保護の新たなスタンダードとしての地位を確立しました。

CCPAを理解する上で重要なのは、単に罰則を恐れて対応する「守りのコンプライアンス」ではなく、消費者の権利を尊重し、データの透明性を確保することで、顧客との信頼関係を築く「攻めのガバナンス」という視点を持つことです。

CCPAが制定された背景と目的

CCPAが制定されるに至った背景には、21世紀のデジタル経済の急成長と、それに伴う個人データの取り扱いをめぐる社会的な懸念の高まりがあります。

制定の背景

  1. 巨大IT企業によるデータ独占と活用: Google, Meta (旧Facebook), Amazonといった巨大テクノロジー企業は、自社のサービスを通じて膨大な量の個人データを収集し、それを分析・活用することで、ターゲティング広告をはじめとする多様なビジネスを展開し、莫大な利益を上げてきました。この過程で、消費者は自身のデータがどのように利用されているかを知らないまま、半ば自動的に情報を提供している状況が常態化していました。
  2. 大規模なデータ漏洩事件の頻発: 2010年代には、企業の管理体制の不備やサイバー攻撃により、大規模な個人情報漏洩事件が世界中で多発しました。特に、2018年に発覚した「ケンブリッジ・アナリティカ事件」は、数千万人分のFacebookユーザーの個人データが不正に利用され、政治コンサルティング会社によって選挙に影響を与える目的で使われたとされるもので、社会に大きな衝撃を与えました。この事件は、個人データが本人の意図しない形で第三者に渡り、社会を操作するために利用されうるという危険性を浮き彫りにし、消費者のプライバシー保護を求める声を一気に高めるきっかけとなりました。
  3. 消費者のプライバシー意識の向上: これらの出来事を通じて、消費者は自らの個人情報が持つ価値と、それが無防備な状態に置かれていることへの危機感を強めるようになりました。自分のデータは誰が、何のために、どのように使っているのか。それをコントロールしたいという要求が、具体的な法制度の創設を求める社会的な運動へと発展していきました。

CCPAの目的

こうした背景のもと、CCPAは以下の2つを主な目的として制定されました。

  • 消費者の権利の確立: カリフォルニア州の消費者に、自らの個人情報に対する基本的な権利を保障すること。具体的には、企業が保有する自分の情報を知る権利、削除を求める権利、そして第三者への販売を拒否(オプトアウト)する権利などが含まれます。これにより、消費者は自身のデータの「主権」を取り戻し、コントロールすることが可能になります。
  • 企業の透明性と説明責任の強化: 企業に対して、どのような個人情報を、何の目的で、どのように取り扱っているのかを明確に開示するよう義務付けること。プライバシーポリシーの充実や、消費者からの要求に対応する体制の整備を求めることで、企業側の透明性と説明責任(アカウンタビリティ)を高め、個人データの適正な取り扱いを促進します。

CCPAは、データが経済活動の重要な資源となった「データ駆動型社会」において、消費者個人の基本的な権利と、企業の自由な経済活動とのバランスを取るための、新しい社会的なルールであると言えます。

CCPAの対象となる「個人情報」の定義

CCPAを理解する上で、最も重要な概念の一つが「個人情報(Personal Information)」の定義です。CCPAにおける個人情報の定義は、日本の個人情報保護法や他の法律と比較しても非常に広範であることが特徴です。

CCPAでは、個人情報を次のように定義しています。
直接的または間接的に、特定の消費者または世帯(household)を識別し、関連し、記述し、合理的に関連付けることが可能であり、または合理的にリンクされうる情報

この定義のポイントは以下の通りです。

  1. 「個人」だけでなく「世帯」も対象: 一般的な個人情報(氏名、住所など)だけでなく、特定の個人を識別しないまでも、特定の「世帯」を識別できる情報も含まれます。例えば、家族で共有しているスマートスピーカーの利用履歴や、共有デバイスのIPアドレスなどがこれに該当し得ます。
  2. 「合理的に関連付けられうる」という広範な範囲: 直接的に個人を識別する情報(Direct Identifiers)だけでなく、他の情報と組み合わせることで間接的に個人を識別できる情報(Indirect Identifiers)も広く含まれます。
  3. 「推論(Inferences)」も含まれる: 収集した情報から、個人の特性、嗜好、行動、知性、能力、才能などを予測・分析して作成されたプロファイル情報(推論)も個人情報と見なされます。これは、ターゲティング広告やレコメンデーションエンジンで生成されるデータが明確に保護対象となることを意味します。

CCPAが例示する個人情報のカテゴリーには、以下のようなものが含まれます。

  • 識別子: 氏名、住所、オンライン識別子(IPアドレス、Cookie ID、広告IDなど)、メールアドレス、アカウント名、社会保障番号、運転免許証番号、パスポート番号など。
  • カリフォルニア州法で保護される特性: 人種、宗教、性別、年齢、身体的・精神的障害、性的指向など。
  • 商業的情報: 購入・入手・検討した製品やサービスの記録、その他の購入履歴や消費傾向。
  • 生体情報: 虹彩、網膜、指紋、顔、声紋などの画像やデータ、歩行パターンなど。
  • インターネットその他の電子的ネットワーク活動情報: 閲覧履歴、検索履歴、ウェブサイト、アプリケーション、広告とのインタラクションに関する情報。
  • 地理位置情報: GPSデータなど。
  • 音声、電子、視覚、熱、嗅覚、またはそれに類する情報: ビデオ録画、音声録音など。
  • 職業上または雇用上の情報: 職歴、学歴など。
  • 教育情報: Family Educational Rights and Privacy Act(FERPA)で定義される、個人を特定できる教育記録。
  • 推論情報: 上記のいずれかの情報から引き出され、消費者の嗜好、特性、心理的傾向、素因、行動、態度、知性、能力、適性を反映したプロファイルを作成するための推論。

このように、CCPAの「個人情報」は、一般的に考えられているよりもはるかに広い範囲をカバーしています。特に、IPアドレスやCookieといったオンライン識別子が明確に個人情報に含まれる点は、Webサイトを運営するすべての企業にとって注意すべき重要なポイントです。

CCPAの適用対象となる事業者

年間総収入が2,500万ドルを超える、年間5万人以上の個人情報を商業目的で取り扱う、年間収入の50%以上を個人情報の販売から得ている

CCPAは、カリフォルニア州の法律でありながら、その適用範囲は州内に留まりません。日本を含む世界中の企業が、特定の条件を満たす場合にはCCPAの規制対象となります。自社が適用対象となるかどうかを正しく判断することは、コンプライアンスの第一歩です。

CCPAの適用対象となるのは、以下の3つの条件のいずれか1つに該当し、かつカリフォルニア州の消費者の個人情報を取り扱う営利目的の事業者(Business)です。

  1. 年間の総収入(Gross Annual Revenue)が2,500万ドルを超える。
  2. 単独または他者と共同で、年間5万人以上のカリフォルニア州の消費者、世帯、またはデバイスの個人情報を、商業目的で購入、受領、販売、または共有する。
  3. 年間収入の50%以上を、カリフォルニア州の消費者の個人情報を販売することによって得ている。

これらの条件について、一つずつ詳しく見ていきましょう。

条件1:年間総収入が2,500万ドルを超える
これは最も分かりやすい基準です。企業の全世界での年間総収入が2,500万ドル(為替レートにより変動しますが、約30億円~40億円程度)を超える場合、適用対象となる可能性があります。重要なのは、この収入がカリフォルニア州での売上である必要はないという点です。日本企業であっても、全世界での連結売上がこの基準を超えていれば、他の要件(カリフォルニア州消費者の個人情報を取り扱っていること)を満たす限り、CCPAの対象となります。

条件2:年間5万人以上の個人情報を商業目的で取り扱う
この条件は、売上規模が大きくなくても、大量の個人データを取り扱う事業者を対象とするものです。ポイントは「5万人以上の消費者、世帯、またはデバイス」という部分です。
例えば、自社のウェブサイトにカリフォルニア州から年間5万件以上のユニークアクセスがあり、その際にCookieやIPアドレスを取得している場合、この「デバイス」の基準に該当する可能性があります。ECサイト、情報メディア、SaaSプロバイダーなど、オンラインでサービスを提供する多くの企業がこの条件に抵触するリスクを抱えています。
「購入、受領、販売、または共有」と幅広く定義されており、単にウェブサイト上で情報を収集する行為(受領)も含まれると解釈されるため、注意が必要です。

条件3:年間収入の50%以上を個人情報の販売から得ている
この条件は、データブローカーのように、個人情報の販売そのものを主たるビジネスとしている事業者を対象としています。ここでいう「販売(Sale)」は、後述するように金銭の授受に限らず、金銭以外の価値ある対価(other valuable consideration)との交換も含まれると広く解釈されます。例えば、ウェブサイトのトラフィックを増やす目的で、他社と共同でマーケティングを行い、その過程で個人情報を共有するようなケースも「販売」と見なされる可能性があります。

日本企業への影響
これらの条件から明らかなように、CCPAはカリフォルニア州に物理的な拠点(支店やオフィス)を持たない日本企業にも適用される可能性があります。

具体的なシナリオ例(架空):

  • グローバルECサイト: 日本のアパレル企業が、全世界向けのECサイトを運営しており、年間の連結売上は5,000万ドル。このサイトにはカリフォルニア州からの注文やアクセスも多数あり、配送先住所、氏名、メールアドレス、閲覧履歴、Cookie情報などを収集している。この場合、条件1(年間総収入2,500万ドル超)を満たすため、CCPAの適用対象となります。
  • BtoB SaaS企業: 日本のSaaS企業が提供するプロジェクト管理ツールが、カリフォルニア州に拠点を置く企業に導入されている。ユーザー数は1万人程度で、年間総収入も2,500万ドル未満。しかし、マーケティング目的で運営している自社メディアにカリフォルニア州から年間6万のユニークビジターがあり、Cookie情報を取得して広告配信に利用している。この場合、条件2(年間5万人以上のデバイス情報)に該当し、適用対象となる可能性があります。
  • アプリ開発会社: 売上規模は小さいものの、世界中のユーザーが利用する無料ゲームアプリを開発。アプリ内でユーザーの行動履歴や位置情報を収集し、それを広告ネットワーク事業者に提供することで収益を得ている。カリフォルニア州のユーザーが多数おり、この広告収益が全収入の60%を占める場合、条件3(収入の50%以上が個人情報の販売)に該当し、適用対象となる可能性があります。

このように、「カリフォルニア州の消費者の個人情報を取り扱っているか」と「3つの事業規模要件のいずれかに該当するか」という2つの軸で自社の状況を確認することが不可欠です。なお、これらの適用要件は後述する改正法CPRAによって一部変更されているため、最新の情報を常に確認する必要があります。

CCPAで定められている消費者の4つの権利

知る権利(開示請求権)、削除する権利(削除請求権)、オプトアウトする権利、差別されない権利

CCPAの中核をなすのは、カリフォルニア州の消費者に与えられた、自らの個人情報に対するコントロール権です。法律は、消費者が行使できる具体的な権利を複数定めており、事業者はこれらの権利行使の要求に適切に対応する義務を負います。
CCPAが定める主な権利は、以下の4つです。

  1. 知る権利(The Right to Know)/ 開示請求権
  2. 削除する権利(The Right to Delete)/ 削除請求権
  3. オプトアウトする権利(The Right to Opt-Out)
  4. 差別されない権利(The Right to Non-Discrimination)

これらの権利は、消費者が自らのデータの主権を取り戻すための強力なツールとなります。事業者側は、これらの権利の内容を正確に理解し、要求があった際にスムーズに対応できる体制を構築しておく必要があります。

① 知る権利(開示請求権)

「知る権利」は、消費者が事業者に対して、過去12ヶ月間に自社がその消費者についてどのような個人情報を収集し、どのように利用・開示・販売したかを開示するよう請求できる権利です。これは、企業のデータ取り扱いの透明性を確保するための根幹となる権利です。

消費者は、具体的に以下の2種類の情報を請求できます。

A. カテゴリーに関する情報開示請求
事業者が収集・販売・開示した個人情報の「カテゴリー」に関する情報を要求できます。

  • 収集した個人情報のカテゴリー
  • 個人情報の収集元のカテゴリー(例:本人から直接、データブローカーから、公開情報から)
  • 個人情報を収集または販売する事業上の目的または商業上の目的
  • 個人情報を開示または販売した第三者のカテゴリー

B. 具体的な個人情報に関する開示請求
事業者が収集した、消費者本人に関する「具体的な個人情報そのもの」を要求できます。

事業者側の義務として、消費者からの開示請求に対しては、年に2回まで無料で対応しなければなりません。請求を受けてから原則として45日以内に情報を提供する必要があり、必要に応じて45日間延長することが可能です(合計90日以内)。

この権利に対応するため、事業者は自社がどのような個人情報を、どこから、何のために収集し、誰と共有しているのかを正確に把握する「データマッピング」を実施し、いつでも開示要求に応えられるようにしておくことが求められます。

② 削除する権利(削除請求権)

「削除する権利」は、消費者が事業者に対して、自社がその消費者から収集した個人情報を削除するよう請求できる権利です。これは、消費者が「忘れられる権利」を部分的に実現するものと言えます。

事業者は、検証可能な消費者からの削除請求を受けた場合、原則として自社の記録からその消費者の個人情報を削除し、さらに、自社がその情報を共有しているサービスプロバイダー(業務委託先など)に対しても削除を指示する義務があります。

ただし、この削除権には9つの主要な例外規定が設けられており、事業者は常に削除要求に応じなければならないわけではありません。主な例外事由は以下の通りです。

  1. 取引の完了: 商品の提供や進行中のサービスなど、要求者との取引を完了するために情報が必要な場合。
  2. セキュリティ: セキュリティインシデントの検知、不正行為からの保護のために必要な場合。
  3. エラーの修正: 既存の意図された機能を損なうエラーをデバッグし、修復するために必要な場合。
  4. 表現の自由: 事業者自身または他の消費者の表現の自由の権利を行使するために必要な場合。
  5. カリフォルニア州電子通信プライバシー法(CalECPA)の遵守
  6. 研究目的: 公的または査読済みの科学的、歴史的、統計的研究に従事するために情報が必要で、かつ情報の削除が研究の達成を著しく損なう可能性がある場合。
  7. 内部利用: 消費者との関係に基づき、消費者の合理的な期待に沿った、純粋に内部的な利用に限定される場合。
  8. 法的義務の遵守: 法令を遵守するために情報が必要な場合。
  9. その他、合法的な内部利用: 情報が提供された文脈と両立する、その他の内部的かつ合法的な目的のために利用する場合。

これらの例外規定は多岐にわたるため、事業者側は削除請求を受けた際に、どの情報が例外に該当し、保持する必要があるのかを適切に判断できるプロセスを構築しておくことが重要です。

③ オプトアウトする権利

「オプトアウトする権利」は、CCPAの最も特徴的な権利の一つであり、消費者が事業者に対して、自らの個人情報の「販売(Sale)」を停止(オプトアウト)するよう要求できる権利です。

ここで重要なのは、CCPAにおける「販売(Sale)」の定義が非常に広いことです。法律では「販売」を、「金銭その他の価値ある対価(monetary or other valuable consideration)と引き換えに、事業者が第三者に対して消費者の個人情報を販売、貸与、放出、開示、伝播、利用可能化、移転、またはその他の方法で口頭、書面、電子的もしくはその他の手段で伝達すること」と定義しています。

つまり、直接的な金銭のやり取りがなくても、何らかの価値ある対価(サービスの相互利用、トラフィックの増加など)があれば「販売」に該当しうるのです。この広い定義により、多くのインターネット広告、特に第三者Cookieを利用したリターゲティング広告や行動ターゲティング広告は、個人情報の「販売」と見なされる可能性が高くなります。

この権利を保障するため、CCPAは適用対象となる事業者に、自社のウェブサイトのホームページに「私の個人情報を販売しない(Do Not Sell My Personal Information)」という明確なリンクを設置することを義務付けています。消費者はこのリンクをクリックすることで、簡単にオプトアウトの意思表示ができます。

事業者は、オプトアウトの要求を受けたら、その消費者の個人情報を第三者に販売することを停止しなければなりません。なお、16歳未満の未成年者に関してはルールが異なり、13歳から16歳未満の場合は本人からのオプトイン(事前の同意)が、13歳未満の場合はその親または保護者からのオプトインがなければ、個人情報を販売することはできません。

④ 差別されない権利

「差別されない権利」は、消費者がCCPAで保障された上記の権利(知る権利、削除権、オプトアウト権)を行使したことを理由に、事業者がその消費者に対して差別的な取り扱いをすることを禁止するものです。

これにより、消費者は不利益を被ることを恐れずに、自らのプライバシー権を行使できます。
CCPAが禁止する差別的な行為の例としては、以下のようなものが挙げられます。

  • 商品やサービスの提供を拒否すること。
  • 異なる価格や料金を請求すること(割引の不適用やペナルティの賦課など)。
  • 異なるレベルや品質の商品やサービスを提供すること。
  • 消費者が異なる価格や品質の商品・サービスを受けることになるだろうと示唆すること。

ただし、例外として、消費者のデータの価値に関連する合理的な価格差を設けることは認められています。例えば、個人情報の提供を前提としたポイントプログラムやロイヤルティプログラムにおいて、オプトアウトした消費者がその特典を受けられなくなることは、必ずしも差別に当たらない場合があります。この場合、事業者はその金融的インセンティブの仕組みと、消費者のデータの価値を算定した方法を消費者に説明する必要があります。

この権利は、プライバシー保護の取り組みが消費者の不利益に繋がることがないようにするための、重要なセーフティネットとしての役割を果たしています。

CCPAとGDPRの5つの主な違い

グローバルなプライバシー規制について語る際、必ず比較対象となるのがEUの「GDPR(一般データ保護規則)」です。GDPRは2018年5月に施行され、世界中のデータ保護法制に大きな影響を与えました。CCPAもGDPRの影響を強く受けていますが、両者には多くの重要な違いが存在します。すでにGDPR対応を進めている企業であっても、CCPA/CPRAへの対応には別途、固有の取り組みが必要です。

ここでは、CCPAとGDPRの主な5つの違いを比較し、それぞれの特徴を明確にします。

比較項目 CCPA(カリフォルニア州消費者プライバシー法) GDPR(EU一般データ保護規則)
① 保護対象 カリフォルニア州の「消費者(Consumer)」および「世帯(Household)」 EEA域内の「データ主体(Data Subject)」。国籍や居住地を問わない。
② 適用される地域の範囲 カリフォルニア州内で事業を行い、特定の条件を満たす「事業者」。地理的範囲は限定的だが、域外適用あり。 EEA域内に拠点を持つ事業者、またはEEA域内の個人に商品・サービスを提供/行動を監視する事業者。域外適用が明確。
③ 個人情報の定義 「個人」または「世帯」に関連する非常に広範な情報。推論(Inference)も含む。 識別された、または識別されうる「自然人」に関するあらゆる情報。
④ 同意の取得方法 オプトアウト方式が基本(個人情報の「販売」を事後的に拒否する権利)。 オプトイン方式が基本(データ処理の前に、明確かつ事前の同意が必要)。
⑤ 制裁金・罰則 違反1件あたり最大2,500ドル(故意の場合は最大7,500ドル)。データ漏洩時は消費者による集団訴訟が可能。 全世界年間売上高の4%または2,000万ユーロのいずれか高い方という巨額な制裁金。

① 保護対象・適用対象者

まず、誰のデータが保護されるのかという「保護対象」が異なります。

  • CCPA: 保護対象はカリフォルニア州の「消費者(Consumer)」です。これは、取引などの目的でカリフォルニア州に居住している自然人を指します。観光客のような一時的な滞在者は含まれません。また、CCPAは個人だけでなく、「世帯(Household)」に関連する情報も保護対象としている点がユニークです。
  • GDPR: 保護対象は「データ主体(Data Subject)」です。これは、EEA(欧州経済領域:EU加盟国+アイスランド、リヒテンシュタイン、ノルウェー)の域内にいる個人を指します。重要なのは、国籍や居住地を問わないという点です。例えば、EEA域内を旅行中の日本人観光客のデータもGDPRの保護対象となります。

この違いにより、企業は自社のサービスがどの地域の個人に影響を及ぼすかを正確に把握する必要があります。

② 適用される地域の範囲

次に、どのような事業者が法律の対象となるかという「適用範囲」にも違いがあります。

  • CCPA: 適用対象は、前述の3つの事業規模要件(年間総収入2,500万ドル超など)のいずれかを満たし、カリフォルニア州の消費者の個人情報を取り扱う営利事業者です。地理的な拠点よりも事業活動の実態が重視されるため、日本企業にも適用される「域外適用」の可能性があります。
  • GDPR: 適用範囲はより明確に広く設定されています。EEA域内に子会社や支店などの拠点を有する事業者はもちろんのこと、拠点がない場合でも、EEA域内の個人に対して商品やサービスを提供したり、EEA域内の個人の行動を監視(モニタリング)したりする場合には、適用対象となります。ウェブサイトがEU各国の言語や通貨に対応している場合や、ターゲティング広告のためにEEA域内ユーザーのオンライン行動を追跡している場合などがこれに該当します。

GDPRの域外適用はCCPAよりも広範かつ明確に定義されていると言えます。

③ 個人情報の定義

保護される「個人情報」の定義にも、微妙ながら重要な違いがあります。

  • CCPA: 前述の通り、非常に広範です。「個人」だけでなく「世帯」を識別する情報や、収集したデータから生成された「推論(Inference)」までもが明確に個人情報に含まれます。これにより、家族で共有するデバイスの情報や、AIによるプロファイリングデータなども規制の対象となります。
  • GDPR: GDPRにおける「個人データ(Personal Data)」の定義も非常に広いですが、あくまで「識別された、または識別されうる自然人(a natural person)」に関する情報とされています。「世帯」という概念は明記されておらず、プロファイリングに関する規定はあるものの、「推論」そのものを個人データとして定義しているわけではありません(ただし、解釈上は含まれる可能性が高いです)。

CCPAの定義は、現代のデータエコシステムの実態をより直接的に反映したものと評価できます。

④ 同意の取得方法(オプトインとオプトアウト)

これは、実務上最も大きな違いであり、企業のウェブサイトやサービスの設計に直接影響を与えるポイントです。

  • CCPA: 基本的にオプトアウト(Opt-out)方式を採用しています。事業者は、原則として消費者から事前に同意を得なくても個人情報を収集・利用できます。しかし、消費者は事後的に、その情報の「販売」を拒否する権利(オプトアウト権)を持ちます。事業者は、そのための手段(「私の個人情報を販売しない」リンク)を提供しなければなりません。
  • GDPR: 厳格なオプトイン(Opt-in)方式を原則としています。個人データを処理するためには、原則として事前に、データ主体から「自由意志による、特定の、情報提供を受けた上での、かつ曖昧でない」明確な同意を得る必要があります。あらかじめチェックボックスにチェックが入っているような形式は無効とされ、ユーザー自身が能動的に同意のアクション(チェックを入れるなど)を行う必要があります。

この違いは、Cookieバナーの設計などに如実に現れます。GDPR対応のサイトでは利用目的ごとに同意を求める詳細な設定画面が表示されるのに対し、CCPA対応では「Do Not Sell」リンクの提供が中心となります。

⑤ 制裁金・罰則

違反した場合のペナルティの規模も大きく異なります。

  • CCPA: 州司法長官が科す民事制裁金が定められています。意図的でない違反1件につき最大2,500ドル、意図的な違反1件につき最大7,500ドルです。「違反1件」が消費者1人あたりを指すのか、インシデント全体を指すのか解釈が分かれる部分もありますが、大規模な違反の場合は多額になる可能性があります。また、CCPAの特筆すべき点は、データ漏洩が発生した場合に消費者個人または集団が、1人あたり100ドルから750ドル、または実損害額のいずれか大きい方の法定損害賠償を求めて直接事業者を提訴できる(集団訴訟)制度を導入していることです。
  • GDPR: 巨額の制裁金で知られています。違反の内容に応じて2段階の制裁金が定められており、より重大な違反の場合、全世界の年間総売上高の4%または2,000万ユーロのいずれか高い方が上限となります。この制裁金のインパクトが、世界中の企業にGDPR対応を強く動機付けました。

このように、CCPAとGDPRは似ているようで多くの違いがあります。GDPR対応が完了しているからといってCCPA対応が不要になるわけではなく、CCPA独自の要件(オプトアウト権への対応、消費者からの直接訴訟リスクなど)をしっかりと理解し、個別に対応を進めることが不可欠です。

CCPAは改正されCPRA(カリフォルニア州プライバシー権法)へ

適用対象事業者の変更、「センシティブな個人情報」の新設と利用制限、消費者の新たな権利の創設、新たな執行機関「CPPA」の設立

テクノロジーの進化と社会の変化に対応するため、プライバシー法制は常にアップデートが求められます。CCPAも例外ではなく、施行からわずか3年後の2023年、より強力な改正法である「CPRA(California Privacy Rights Act:カリフォルニア州プライバシー権法)」によってその内容が大幅に強化・拡張されました。

CPRAはCCPAを置き換えるものではなく、CCPAを改正し、新たな規定を追加するものです。したがって、現在カリフォルニア州のプライバシー法を語る上では、CCPAとCPRAを一体のものとして理解する必要があります。CPRAへの対応は、もはや「未来の話」ではなく、すべての対象事業者にとって「現在の義務」となっています。

CPRAの概要と施行日

CPRAは、2020年11月に行われた住民投票(Proposition 24)によって、有権者の賛成多数で可決・成立しました。これは、CCPAを制定した際にも見られたように、消費者のプライバシー保護に対する高い関心を反映したものです。

CPRAの主要な規定は2023年1月1日に施行され、法執行(取締り)は2023年7月1日から開始されました。ただし、CPRAが定める消費者の権利の一部(知る権利など)は、2022年1月1日以降に収集された個人情報にまで遡って適用されるため、企業はそれ以前から準備を進める必要がありました。

CPRAの目的は、CCPAで確立された消費者の権利をさらに拡充し、特にセンシティブな情報の取り扱いや、ターゲティング広告といった現代的なデータ活用手法に対する規制を強化することにあります。また、法律を実効的に執行するための専門機関を設立した点も大きな特徴です。

CPRAによる4つの主な変更点

CPRAはCCPAに多くの重要な変更を加えました。ここでは、企業が特に注意すべき4つの主要な変更点を解説します。

① 適用対象事業者の変更

CPRAは、CCPAの適用対象となる事業者の基準を一部見直しました。

変更前のCCPAの基準 変更後のCPRAの基準 変更のポイント
年間総収入が2,500万ドルを超える 変更なし 売上基準は維持
年間5万人以上の消費者・世帯・デバイスの個人情報を購入、受領、販売、共有する 年間10万人以上の消費者・世帯の個人情報を購入、販売、または共有する 対象人数が10万人に引き上げ。また、「受領」が除外され、「販売または共有」に限定された。
年間収入の50%以上を個人情報の販売から得ている 年間収入の50%以上を個人情報の販売または共有から得ている 収益源の基準に「共有(Sharing)」が追加された。

変更点の解説:

  • 人数の閾値の引き上げ: 個人情報を取り扱う人数の基準が5万人から10万人に引き上げられました。これにより、比較的小規模なデータを取り扱う事業者は適用対象から外れる可能性があります。
  • 「共有(Sharing)」という概念の追加: CPRAは新たに「共有(Sharing)」という概念を導入しました。これは「クロスコンテキスト行動広告(cross-context behavioral advertising)」のために、金銭的な対価の有無にかかわらず、個人情報を第三者に開示することと定義されています。これは、ウェブサイトを横断してユーザーを追跡し、興味関心に基づいて表示するターゲティング広告を明確に規制対象とするためのものです。この「共有」が適用基準やオプトアウト権の対象に加えられたことで、広告テクノロジーを利用する多くの企業が規制の対象であることがより明確になりました。

② 「センシティブな個人情報」の新設と利用制限

CPRAがもたらした最も大きな変更点の一つが、「センシティブな個人情報(Sensitive Personal Information, SPI)」という新しいカテゴリーの創設です。これは、GDPRにおける「特別の種類の個人データ」に近い概念であり、漏洩や不適切な利用によって個人に特に大きな不利益をもたらす可能性のある情報を指します。

SPIに含まれる情報の例:

  • 政府発行の識別子: 社会保障番号、運転免許証番号、州IDカード番号、パスポート番号
  • 金融情報: 金融口座、デビットカード、クレジットカードの番号と、アクセスに必要な認証情報(パスワードなど)
  • 正確な地理位置情報: 消費者の正確な位置を特定する目的で収集される情報
  • 人種・民族的出自、宗教・哲学的信条、組合への加入
  • 通信内容: 個人のメール、テキストメッセージの内容(事業者が通信の意図された受信者でない場合)
  • 遺伝子データ
  • 生体情報: 個人を識別する目的で処理される生体情報
  • 健康に関する情報
  • 性生活または性的指向に関する情報

CPRAは、このSPIに対して消費者に新たな権利を与えました。それは、SPIの利用および開示を、サービスの提供や取引の履行に合理的に必要な範囲に制限するよう要求する権利です。事業者は、この権利を行使するための手段として、ウェブサイトに「私のセンシティブな個人情報を制限する(Limit the Use of My Sensitive Personal Information)」というリンクを目立つように設置することが求められます(「Do Not Sell」リンクと統合することも可能)。

③ 消費者の新たな権利の創設

CPRAは、既存のCCPAの権利を強化するとともに、いくつかの新しい権利を創設しました。

  1. 訂正する権利(Right to Correct Inaccurate Personal Information):
    消費者は、事業者が保有する自身の不正確な個人情報について、訂正を要求できるようになりました。これはGDPRには存在しましたが、CCPAにはなかった重要な権利です。事業者は、情報の性質や収集目的に照らして、不正確な情報を訂正するために商業的に合理的な努力を払う義務があります。
  2. 利用制限する権利(Right to Limit Use and Disclosure of Sensitive Personal Information):
    前述の通り、SPIの利用を特定の目的に制限するよう要求する権利です。
  3. オプトアウト権の拡大(Right to Opt-Out of Sharing):
    従来の個人情報の「販売(Sale)」に対するオプトアウト権に加え、新たに定義された「共有(Sharing)」に対してもオプトアウトする権利が認められました。これにより、消費者はクロスコンテキスト行動広告を目的とした自らの情報の共有を拒否できます。これに伴い、「Do Not Sell」リンクは「Do Not Sell or Share My Personal Information」と表記を更新することが推奨されています。
  4. 自動化された意思決定技術に関する情報を得る権利:
    消費者は、プロファイリングを含む自動化された意思決定プロセスに関する有意義な情報や、そのロジック(論理)について説明を求める権利を持つとされています(詳細は今後の規則で明確化される予定)。

④ 新たな執行機関「CPPA」の設立

CPRAは、カリフォルニア州のプライバシー法を執行し、規則を制定するための独立した専門機関として「カリフォルニア州プライバシー保護庁(California Privacy Protection Agency, CPPA)」を設立しました。

これまでのCCPAの執行は、多岐にわたる業務を抱える州司法長官が担っていましたが、リソースの制約などから積極的な執行が難しいという側面がありました。CPPAはプライバシー問題に特化した組織であり、以下の強力な権限を持っています。

  • 規則制定: CCPA/CPRAの具体的な解釈や運用に関する規則を策定する。
  • 調査・監査: 事業者のコンプライアンス状況を調査し、監査を行う。
  • 法執行: 違反した事業者に対して、行政上の罰金を科すなどの執行措置を取る。

CPPAの設立により、これまで以上に積極的かつ専門的な法執行が行われることが予想され、企業にはより一層厳格なコンプライアンス体制が求められることになります。

日本企業がCCPA・CPRAに対応するためにやるべき3つのこと

適用対象となるか確認する、プライバシーポリシーを見直す・改訂する、消費者からの要求に対応できる社内体制を整える

CCPAおよびCPRAは、カリフォルニア州の法律でありながら、その影響は世界中に及んでいます。特に、グローバルに事業を展開したり、オンラインで海外顧客にサービスを提供したりする日本企業にとって、これらの法律への対応はもはや他人事ではありません。ここでは、日本企業がCCPA・CPRAに対応するために取り組むべき具体的なステップを3つに分けて解説します。

① 適用対象となるか確認する

何よりもまず、自社がCCPA/CPRAの適用対象となるかどうかを正確に評価することがすべての始まりです。漠然とした不安を抱えるのではなく、法的な基準に照らして自社の状況を客観的に分析しましょう。

確認すべきポイント:

  1. 事業活動の確認: 自社はカリフォルニア州で事業を行っているか? カリフォルニア州の消費者の個人情報を収集、利用、販売、共有しているか?
    • 「事業を行っている」には、物理的な拠点の有無は問いません。カリフォルニア州の居住者に対して商品やサービスを意図的に提供している場合(例:ウェブサイトが米ドル決済に対応、カリフォルニア州への配送が可能など)は、該当する可能性が高いです。
    • 「個人情報」の定義が非常に広いことを念頭に置きましょう。氏名や住所だけでなく、IPアドレス、Cookie ID、広告ID、閲覧履歴なども含まれます。自社のウェブサイトやアプリが、カリフォルニア州からのアクセスユーザーに対してこれらの情報を収集していないか、アクセス解析ツールやサーバーログで確認が必要です。
  2. CPRAの適用要件との照合: 上記に該当する場合、以下の3つの基準のいずれかを満たすか確認します。
    • 基準A(収益基準): 前会計年度における全世界での年間総収入が2,500万ドルを超えているか?(連結決算の対象企業であれば、グループ全体の収益で判断します)
    • 基準B(取扱量基準): 年間、10万人以上のカリフォルニア州の消費者または世帯の個人情報を購入、販売、または共有しているか?(ウェブサイトのユニークユーザー数や、マーケティングデータベースの件数などを基に評価します)
    • 基準C(収益源基準): 年間収入の50%以上を、カリフォルニア州の消費者の個人情報を販売または共有することから得ているか?(「共有」にはクロスコンテキスト行動広告のための情報提供も含まれる点に注意が必要です)

この評価は、法務部門、情報システム部門、マーケティング部門などが連携して行う必要があります。自社での判断が難しい場合は、米国のプライバシー法に詳しい弁護士などの外部専門家に相談することを強く推奨します。

② プライバシーポリシーを見直す・改訂する

自社が適用対象であると判断された場合、次に取り組むべきはプライバシーポリシーの全面的な見直しと改訂です。プライバシーポリシーは、企業のデータ取り扱い姿勢を消費者に示す最も重要なドキュメントであり、CCPA/CPRAはそこに記載すべき項目を具体的に定めています。

プライバシーポリシーに含めるべき主な項目:

  • 消費者の権利の説明: 知る権利、削除権、訂正権、オプトアウト権(販売・共有)、SPIの利用制限権といったCCPA/CPRA上の権利が存在することと、それらの権利を行使するための具体的な方法(連絡先、請求フォームへのリンクなど)を明記します。
  • 収集する個人情報のカテゴリー: 過去12ヶ月間に収集した、または収集する予定の個人情報のカテゴリーを網羅的にリストアップします。(例:識別子、商業情報、インターネット活動情報、地理位置情報など)
  • 個人情報の収集源と利用目的: 各カテゴリーの個人情報をどのようなソースから収集し(例:本人から直接、ウェブサイトのCookieから)、どのような事業目的・商業目的のために利用するのかを具体的に説明します。
  • 個人情報の開示・販売・共有に関する情報:
    • 過去12ヶ月間に事業目的で第三者に開示した個人情報のカテゴリー。
    • 過去12ヶ月間に第三者に販売または共有した個人情報のカテゴリー。もし販売・共有を行っていない場合は、その旨を明記します。
  • 個人情報の保持期間: 各カテゴリーの個人情報を保持する期間、またはその期間を決定するための基準を記載します。
  • オプトアウト権を行使するためのリンク: 「Do Not Sell or Share My Personal Information」および「Limit the Use of My Sensitive Personal Information」へのリンクをプライバシーポリシー内に設置し、ウェブサイトのフッターなどからも直接アクセスできるようにします。
  • 最終更新日: プライバシーポリシーが最後に更新された日付を記載します。CCPA/CPRAは、少なくとも12ヶ月に一度はプライバシーポリシーを更新し、内容を確認することを求めています。

これらの項目を、平易で分かりやすい言葉を使って記述することが重要です。既存のプライバシーポリシーに追記する形で対応することも可能ですが、CCPA/CPRAの要求事項を網羅したセクションを別途設けるのが一般的です。

③ 消費者からの要求に対応できる社内体制を整える

法律やプライバシーポリシーを整備するだけでは不十分です。実際に消費者から権利行使の要求があった際に、迅速かつ適切に対応できる実務的な運用体制を構築することが不可欠です。

体制構築のポイント:

  1. 受付窓口の設置: 消費者からの開示、削除、訂正などの要求を受け付けるためのチャネルを、少なくとも2つ以上用意する必要があります。一般的には、ウェブサイト上のオンラインフォームと、フリーダイヤルの電話番号が推奨されます。
  2. 本人確認プロセスの確立: 要求者が本当に本人であるか、または正当な代理人であるかを確認するための手順を定めます。個人情報の機微性に応じて、確認の厳格度を調整する必要があります。ただし、本人確認プロセスが過度に煩雑になり、権利行使を妨げるようなものであってはなりません。
  3. 社内データフローの可視化(データマッピング): 消費者から「私の情報を開示・削除してほしい」と要求された際に、その情報が社内のどの部署の、どのシステム(CRM, MAツール, ファイルサーバーなど)に、どのような形式で保存されているかを即座に特定できなければなりません。そのために、社内の個人データの流れを可視化する「データマッピング」を行い、データインベントリ(個人情報管理台帳)を作成することが極めて重要です。
  4. 対応ワークフローの整備と担当者の明確化: 要求を受け付けてから、本人確認、社内データ検索、情報提供・削除実行、対応完了通知、記録保管までの一連の流れをワークフローとして文書化し、各ステップの担当部署や担当者を明確にします。特に、法務、IT、カスタマーサポート、マーケティングなど、関係部署間の連携がスムーズに行える仕組みが必要です。
  5. 従業員教育: 顧客対応を行う担当者をはじめ、個人情報を取り扱うすべての従業員に対して、CCPA/CPRAの概要、消費者の権利、社内の対応手順に関する教育・トレーニングを定期的に実施し、意識と知識の向上を図ります。

これらの体制構築は一朝一夕には実現できません。計画的に、そして継続的に取り組むことが、コンプライアンスリスクを低減し、企業の信頼性を維持するために不可欠です。

CCPA・CPRA対応を支援するおすすめツール・サービス

CCPA・CPRAへの対応は、データマッピング、同意管理、消費者からの権利行使要求への対応など、多岐にわたる複雑な作業を伴います。これらのプロセスを手作業で行うのは非効率的であり、ヒューマンエラーのリスクも高まります。そこで、多くの企業がプライバシーコンプライアンス業務を効率化・自動化するための専門的なツールやサービスを導入しています。

ここでは、CCPA・CPRA対応を支援する代表的なツール・サービスをいくつか紹介します。これらのツールは、企業のプライバシーガバナンス体制の構築を強力にサポートします。

※以下に挙げるツール・サービスは、特定の製品を推奨するものではなく、あくまで情報提供を目的としています。導入を検討する際は、各社の公式サイトで最新の機能や料金体系を確認し、自社のニーズに合ったものを選定してください。

OneTrust

OneTrustは、世界中の多くの企業に利用されている、プライバシー、セキュリティ、ガバナンスの統合プラットフォームです。GDPRやCCPA/CPRAをはじめとする世界各国のプライバシー規制への対応を包括的に支援する機能を提供しています。

主な機能:

  • 同意管理プラットフォーム (CMP): ウェブサイトやモバイルアプリにおけるCookieなどのトラッキング技術に対する同意を管理します。「Do Not Sell or Share」といったCCPA/CPRA特有のオプトアウト要求にも対応したバナーや設定画面を簡単に実装できます。
  • データマッピングの自動化: 社内のシステムと連携し、個人データの流れを自動的にスキャンして可視化(データマップを作成)します。これにより、データインベントリの作成・維持にかかる工数を大幅に削減できます。
  • 消費者権利要求(DSAR)対応管理: 消費者からの開示、削除、訂正などの要求(DSAR: Data Subject Access Request)を一元管理するワークフローを構築できます。要求の受付から本人確認、タスクの割り当て、期限管理、対応完了までのプロセスを自動化・効率化します。
  • プライバシー影響評価 (PIA/DPIA): 新しいプロジェクトやシステム導入時にプライバシーリスクを評価するためのテンプレートやワークフローを提供します。

OneTrustは非常に多機能で拡張性が高い一方、導入や運用にはある程度の専門知識が求められる場合があります。
参照:OneTrust公式サイト

TrustArc

TrustArcは、長年にわたりプライバシー管理ソリューションを提供してきた実績のある企業です。同社のプラットフォームは、リスク評価からポリシー管理、データインベントリ、同意管理まで、プライバシーコンプライアンスに必要な一連の機能を提供しています。

主な機能:

  • Privacy Platform: データインベントリハブ、リスク評価、インテリジェンスダッシュボードなどを統合し、組織のプライバシープログラム全体を管理します。CCPA/CPRAやGDPRなど、複数の規制への対応状況を横断的に把握できます。
  • 同意・プリファレンス管理: ウェブサイト訪問者に対して、Cookie利用に関する同意やオプトアウトの選択肢を提示し、その設定を管理します。グローバルな規制に対応したテンプレートが用意されています。
  • DSARワークフロー: 消費者からの権利要求に対応するためのプロセスを自動化します。OneTrustと同様に、受付から完了までのライフサイクルを管理できます。
  • プライバシーポリシー生成: いくつかの質問に答えるだけで、CCPA/CPRAなどの法的要件を満たしたプライバシーポリシーの雛形を生成するサービスも提供しています。

TrustArcは、特にデータフローの可視化やリスク管理のフレームワークに強みを持つとされています。
参照:TrustArc公式サイト

Priv Tech Suite

Priv Tech Suiteは、日本のPriv Tech株式会社が提供する、国内法(改正個人情報保護法)および海外のプライバシー規制(GDPR, CCPA/CPRA)に対応した同意管理プラットフォーム(CMP)です。特に、日本の企業が直面する課題に寄り添ったサービス設計が特徴です。

主な機能:

  • 同意管理機能: ウェブサイトに設置するCookie同意バナーを簡単にカスタマイズ・実装できます。GDPRのオプトイン方式、CCPA/CPRAのオプトアウト方式の両方に対応しており、ユーザーの所在地に応じて表示を切り替えることも可能です。
  • CCPA/CPRA対応: 「Do Not Sell or Share My Personal Information」リンクの設定や、グローバルプライバシーコントロール(GPC)信号への対応など、CCPA/CPRAが要求する技術的な仕様をサポートします。
  • 国産サービスならではのサポート: 日本語による手厚い導入・運用サポートが受けられるため、海外ツールの導入に不安がある企業でも安心して利用できます。日本の法規制や商習慣に関する知見も豊富です。

ウェブサイトのCookie同意管理に特化して、迅速かつ手軽にCCPA/CPRA対応を始めたい企業にとって、有力な選択肢の一つとなるでしょう。
参照:Priv Tech株式会社公式サイト

これらのツールは、いずれも複雑な法規制への対応をシステム的にサポートし、コンプライアンス業務の属人化を防ぎ、効率を高める上で非常に有効です。自社の事業規模、取り扱うデータの種類、予算、社内のITリソースなどを総合的に勘案し、最適なソリューションの導入を検討することをおすすめします。

まとめ

本記事では、米国カリフォルニア州のプライバシー保護法であるCCPAと、その改正法であるCPRAについて、その背景から具体的な内容、GDPRとの違い、そして日本企業が取るべき対策まで、多角的に解説してきました。

CCPAおよびCPRAは、単なる一地域の法律ではありません。それは、デジタル経済が深化する現代において、個人のプライバシー権をいかに保護し、企業に透明性と説明責任を求めるかという、世界的な潮流を象徴する重要な法規制です。特に、IT産業の中心地であるカリフォルニア州で制定されたこれらの法律は、事実上のグローバルスタンダードとして、世界中の企業のデータ戦略に影響を与え続けています。

改めて、本記事の重要なポイントを振り返ります。

  • CCPA/CPRAは日本企業も適用対象になりうる: カリフォルニア州に拠点がなくても、年間総収入や取り扱う個人情報の量などの基準を満たせば、規制の対象となります。
  • 消費者の権利の理解が不可欠: 「知る権利」「削除権」「訂正権」「オプトアウト権」など、消費者に与えられた権利の内容を正確に把握し、それに応える体制を構築する必要があります。
  • GDPRとの違いを認識する: 特に、同意取得の方法がGDPRの「オプトイン」中心であるのに対し、CCPA/CPRAは「オプトアウト」中心であるという違いは、実務上の対応に大きな影響を与えます。
  • CPRAによる強化点への対応が急務: 「センシティブな個人情報(SPI)」の新設と利用制限、「共有(Sharing)」の概念の導入とオプトアウト権の拡大は、CPRA対応における最重要課題です。
  • 対応は守りから攻めのガバナンスへ: CCPA/CPRAへの対応は、罰則を回避するための消極的な義務と捉えるべきではありません。むしろ、顧客のプライバシーを尊重する姿勢を明確に示すことで、企業の信頼性を高め、ブランド価値を向上させるための重要な経営戦略と位置づけることが重要です。

これからの企業経営において、データ利活用とプライバシー保護の両立は、持続的な成長のための必須条件です。まずは、本記事で解説したステップに沿って、自社がCCPA/CPRAの適用対象となるかどうかの確認から始めてみてください。そして、必要に応じてプライバシーポリシーの見直しや社内体制の整備を進め、専門家やツールの力も借りながら、着実に対応を進めていくことを強くお勧めします。

この取り組みは、法務・コンプライアンス上のリスクを低減するだけでなく、データに対する意識が高い現代の消費者から選ばれる企業となるための、確かな一歩となるはずです。