今日の企業は、増え続ける複雑なプライバシー法の網に対応しなければなりません。コンプライアンスの問題はすべての顧客とのやり取りにおいて発生し、IBMの2025年のデータ侵害コスト報告によると、個人を特定できる情報（PII）がほとんどの侵害（53％）で狙われるデータのカテゴリーであることが分かっています。

その数字はそれほど驚くべきものではなく、特にカリフォルニアのような規制が急速に進化している地域において、データプライバシー法の重要性を改めて認識させるものです。

カリフォルニア州のCCPAは、消費者データを保護し、企業が収集する個人データに対して責任を負わせるために設計された最も包括的な規制の一つを表しています。

多くの企業はそれを見て、自社はB2Bだから適用外だと考えるかもしれません。それは誤りです。CCPAは、企業間取引（B2B）にも適用されます。

この記事では、CPRAがCCPAをどのように改正および拡張したか、CCPAの最近の更新、そしてビジネスやデータ処理サービス（ウェブ解析を含む）への影響など、カリフォルニアのデータプライバシー規制について知るべきことをすべて説明しています。

主なポイント

1. カリフォルニア州の主要なデータプライバシー法であるカリフォルニア消費者プライバシー法（CCPA）は、カリフォルニアプライバシー権法（CPRA）によって改正され、施行当初より厳格になっており、企業は継続的な更新に注意する必要があります。
2. CCPAは、企業、請負業者、サービス提供者、第三者がカリフォルニア州の居住者の個人情報（PI）をどのように取り扱うかを詳述しています。特に、センシティブな個人情報（SPI）として知られるPIのサブカテゴリには、より厳しい規制があります。
3. CCPAには消費者のための六つの権利があります：知る権利、削除する権利、オプトアウトする権利、差別を受けない権利、訂正する権利、そしてSPIの使用および共有方法を制限する権利です。
4. カリフォルニアプライバシー保護庁（CPPA）は、司法長官がこのプライバシー法を施行するのを支援するために設立されました。彼らには、規制の更新など、追加の権限もあります。
5. 2025年に遵守違反の罰則が引き上げられ、奇数年ごとにコストパフォーマンス指数に合わせて増加します。
6. CCPAの最近の更新により、特定の事業者に対してセキュリティ監査と監査報告、およびリスク評価が義務付けられました。
7. 自動意思決定技術（ADMT）の使用に対応するための新しい規則も追加されました。
8. 2023年の削除法（CCPAとは別）で導入された削除リクエストおよびオプトアウトプラットフォーム（DROP）は、2026年1月1日から利用可能です。データブローカーは2026年8月1日からリクエストに従う必要があります。

カリフォルニア州のデータプライバシー法とは何ですか？

カリフォルニア州の主要なデータプライバシー法はカリフォルニア消費者プライバシー法（CCPA）で、2020年1月に施行されました。この法律は消費者の基本的なデータプライバシー権を定め、個人情報（PI）の管理を消費者に提供し、企業の初期コンプライアンス要件を設定します。

州議会はカリフォルニアプライバシー権法（CPRA）を通じてCCPAを強化し、この改正法は2023年1月から施行されています。これにより、消費者の権利が拡大され、執行のためのカリフォルニアプライバシー保護機関（CPPA）が設立されました。

もう一つのデータプライバシー法、Delete Actは2023年に州議会で可決されました。この法律はデータブローカー向けの新しいコンプライアンス基準を導入するとともに、消費者の削除要求をすべての該当するブローカーに送信するプラットフォームを提供します。

2026年のCCPAの基礎

このカリフォルニア州のデータプライバシー法の目的は、州内の消費者により大きな個人情報保護を提供することです。これは、企業にデータ処理のためのより高い基準を課し、ルールに従うようにシステムを構成することを義務付けることで達成されます。

CCPAの主要な定義

• 消費者: カリフォルニア州の居住者。法案の文言に従い、「自然人」でなければならず、事業体ではない。CCPAは、消費者が一時的に州外にいても保護される。
• 事業者: 消費者の個人情報（PI）を収集し、カリフォルニア州で事業を行い、かつ次のいずれかの基準を満たす営利企業:
• 年間総収益が26,625,000ドル以上（2025年の更新による）
• 100,000人以上の消費者または世帯の個人情報を購入、受領、販売または共有する
• 年間収益の50%以上を消費者の個人情報の販売から得ている
• 事業目的: 事業者、サービス提供者または契約者が個人情報を収集・使用できる限定された目的。例としては、内部調査、特定の広告・マーケティング解析、特定の種類のエラーのデバッグなどがある。
• 契約業者（Contractor）：事業が事業目的のために消費者の個人情報（PI）を提供する相手。契約業者は、事業が作成した書面契約で定められた厳格な要件（禁止行為例：PIの販売や共有禁止、遵守監視の条件など）に従わなければなりません。契約業者がPIの取り扱いに他の当事者を関与させる場合、事業者の承認が必要であり、契約に署名する必要があります。
• サービス提供者（Service provider）：事業のためにPIを処理する人。契約業者と同様の条件の契約に署名する必要があります。
• 第三者（Third party）：消費者が意図的にやり取りしている事業や、その事業のサービス提供者または契約業者ではないすべての人。
• 同意（Consent）：特定かつ明確に定義された目的でPIを処理することへの明白で曖昧でない合意。同意は、消費者本人、その法定代理人、任意代理権を持つ者、または後見人によって与えられることがあります。
• 個人情報（PI）：特定の消費者や世帯を直接的または間接的に識別できる、関連する、説明する、関連付け可能な情報。これには、名前、メールアドレス、IPアドレス、閲覧履歴、購入履歴、特定の職業情報などが含まれますが、これに限定されません。公開されている情報（不動産や職業免許記録など）は、PIとは見なされません。
• 敏感個人情報（SPI）：CPRAによってPIの下位セットとして追加された情報。事業者はSPIの取り扱いに関してより厳格な要件を持っています。改正CCPAの文書では、SPIは消費者の以下の情報として定義されています：
• • パスポート番号や社会保障番号などの特定の政府識別子
  • アカウントログイン情報、金融口座、デビット/クレジットカード番号（セキュリティコード、パスワード、またはアクセスに必要なその他の認証情報を含む）
  • 正確なジオロケーションデータ
  • 郵便物、電子メールまたはテキストメッセージの内容
  • DNA検査結果などの遺伝データ
  • 処理された生体認証情報
  • 身元確認のために使用される生体情報
  • 健康情報
  • 性生活および性的指向に関する情報
  • 人種/民族的出自、宗教/哲学的信念または組合加入状況

個人情報と個人を特定できる情報（PII）の違い

企業にとって、PI（個人情報）とデータプライバシーで使われる類似の用語である個人を特定できる情報（PII）の違いを知ることは重要です。PIIは、個人を直接特定する情報を指します：名前、社会保障番号、運転免許証番号などです。

PIはPIIよりもはるかに広い概念です。

前述のように、CCPAの定義には、個人を直接特定する情報だけでなく、間接的に個人に結びつけることができる情報も含まれます。このより広い定義は、個々の情報だけでは個人を特定できないデータポイント（IPアドレスや閲覧履歴など）も、他の情報と組み合わせることで個人に結びつけられる可能性があるため、重要です。

CCPAに基づく消費者の権利

CCPAはカリフォルニア州の消費者に6つの基本的な権利を付与しています：

• 知る権利：年に2回、無料で、事業者が収集する個人情報、入手元、使用目的、共有先を問い合わせることができます。
• 削除の権利：事業者に対して、自分から収集された個人情報の削除を要求することができます。
• オプトアウトの権利：事業者に対して、自分の個人情報を販売または共有しないように伝えることができます。事業者は、後日消費者が再度許可しない限り、再び行うことはできません。
• 差別禁止の権利：消費者がCCPAの権利を行使したことで、事業者が不当な扱いをすることはできません。これには、サービスの拒否、価格の変更、低品質の製品やサービスの提供が含まれます。
• 修正の権利：消費者は、事業者に保持している不正確な個人情報の修正を求めることができます。
• 機密個人情報（SPI）の使用および共有の制限の権利：消費者は、要求した商品やサービスを提供するために必要な範囲内でのみ、自分のSPIを使用するよう事業者に指示することができます。

ビジネスの義務

CCPAは州内で事業を行う企業にも重要な義務を課しています。これには以下が含まれます：

• 明確なプライバシー通知の提供：企業は消費者に対してデータ収集の慣行について知らせる必要があります。収集するPIの種類、収集の理由、および消費者が自らの権利を行使する方法を説明する必要があります。
• 合理的なセキュリティ対策の実施：PIの保護は非常に重要であり、企業はPIへの不正アクセス、使用、開示、変更、破壊を防ぐためにあらゆる手段を講じることが期待されています。
• 消費者からの要求への対応：企業は、指定された期間内に消費者の要求に対応できる検証可能なプロセスを整備する必要があります。例えば、オプトアウト要求には15日以内に対応する必要があります。
• 未成年者の個人情報（PI）の同意なしでの販売や共有の禁止：企業は、13-15歳の未成年者本人による明示的なオプトイン、または13歳未満の未成年者の保護者による同意がない限り、16歳未満の消費者のPIを販売または共有することを明確に禁じられています。

この最後の点について、同意とは一般的に理解される許可以上の意味を持つことを理解することが重要です。同意は沈黙、事前にチェックされたボックス、または同意マネージャーの閉鎖から推測されてはいけません。肯定的な同意には次が必要です：

• 明確な行動：本人が意図的かつ積極的なステップを踏んで同意を与える必要があります。例えば、「同意する」ボタンをクリックする、チェックされていないボックスにチェックを入れる、文書に署名するなどです。
• 明確であること：本人が何に同意しているかについて疑いの余地がないこと。同意の要求は明確かつ非常に具体的である必要があります。
• 十分に理解されたもの：本人は、何に同意しているのかを完全に理解している必要があります。これには、データがなぜ収集されるのか、どのように使用されるのかを知ることが含まれます。
• インフォームド（十分な情報に基づく同意）：本人は、自分が同意する内容を完全に理解している必要があります。これには、なぜデータが収集されるのか、どのように使用されるのかを知ることが含まれます。また、関与する第三者について知っていることも含まれます。
• 自由に与えられた同意：同意は自発的でなければなりません。他の利用規約と一緒に束ねられてはいけません。また、ダークパターンを用いて取得されてはいけません。
• 取り消し可能：本人は、同意を与えたのと同じくらい簡単に同意を撤回できなければなりません。

執行当局、メカニズム、行動および罰則

CCPAの執行は、カリフォルニア州司法長官（AG）およびCPPAによって行われます。

両者とも、潜在的なCPPA違反に関する消費者からの報告を受け、非準拠企業に対して行動を取ることができます。違いは、AGが法的制度を通じて案件を処理するのに対し、CPPAは独自の内部行政手続きで行う点です。

CPPAは独自のシステム内で運営されているため、より迅速に法律を執行できます。ただし、AGはCPPAに対する権限を持っており、AGは案件を一時停止したり、引き継いだりすることができます。

AGは、違反が見つかった場合に追加の法律を執行することも可能であり、2026年2月にはディズニーに対してCCPAおよび不当競争防止法違反で275万米ドルの罰金を科した例があります。

CPPAは、AG（司法長官）が持っていない執行以外の追加的な権限も有しています。消費者権利の周知、CCPAの新規規制による更新、および消費者や企業からの更新提案に関する意見の収集に責任があります。

CPPAは、2025年1月の更新時点で以下の罰則額を定めています：

• 消費者1人あたりの各事件または実際の損害に対して107〜799米ドルの金銭的損害（民法 § 1798.140(d)(1)(A)）
• 成人消費者の権利に対する過失による違反ごとに少なくとも2,663米ドルの行政罰金（民法 § 1798.155(a)）
• 成人の権利に対する故意の違反、または未成年者の権利に対する違反（故意または過失）ごとに少なくとも7,988米ドルの行政罰金（民法 § 1798.155(a)）
• 上記の行政罰金額に相当する民事罰（民法 § 1798.199.90(a)）

これらの金額は、奇数年の1月に調整されることになっており、次回の調整は2027年に行われます。

CPRA以前は、企業は違反を修正するために30日間の猶予が与えられていましたが、これは2023年に廃止されました。

2025年のCCPAの更新では、PI（個人情報）の処理が消費者のプライバシーやセキュリティに重大なリスクをもたらすすべての企業に対して、年次サイバーセキュリティ監査と監査報告書の実施が義務付けられています。

企業は、指定された年度に次の収益を上げている場合、以下の日付までにセキュリティ監査を遵守する必要があります：

• 2026年に年間総収益が1億米ドル以上の場合は、2028年4月1日までに
• 2027年に年間総収益が5,000万〜1億米ドルの場合は、2029年4月1日までに
• 2028年に年間総収益が5,000万米ドル未満の場合は、2030年4月1日までに

もう一つの新しい要件（2026年1月1日施行）はリスク評価であり、消費者のプライバシーに重大なリスクをもたらす個人情報（PI）を処理する事業に適用されます。これには、個人情報の販売や共有、特定個人情報（SPI）の処理、重要な消費者に関する意思決定における自動意思決定技術（ADMT）の使用などが含まれますが、これに限定されません。

リスク評価では、この特定の処理ユースケースから事業者、消費者およびその他の関係者が得られる具体的な利益、考えられる負の影響、事業者が講じる保護措置などを検討する必要があります。

最後の大きな更新は、消費者に関する重要な意思決定を行う際のADMTの使用に関する一連の規則です。これは2027年1月1日に施行されます。

事業者は、ADMTの使用に関して消費者の権利について通知する必要があります。これには、ADMTの使用、消費者がそれを拒否する権利、および拒否した場合の差別を受けない権利が含まれますが、これに限定されません。

ただし、特定の採用決定など、一部の場合には企業がオプトアウトを提供する必要がないという規定もあります。

削除法とDROP

削除法は技術的にはCCPA自体の一部ではありませんが、2019年のデータブローカー法の改正であり、カリフォルニア州の消費者権利を同様に保護します。また、CPPAによって施行および管理されます。

2026年1月1日以降、住民は削除リクエストおよびオプトアウトプラットフォーム（DROP）を使用して、ブローカーに対して自分の個人情報の削除を依頼することができます。2026年8月1日には、データブローカーはDROPに従い、リクエストに対して45日以内または（延長がある場合は）90日以内に対応する必要があります。その後、収集した新しい情報は45日ごとに削除する必要があります。

Non-compliance will result in penalties and fines.
遵守しない場合は、罰則や罰金が科されます。

カリフォルニア州のデータプライバシー法に対する企業向けのコンプライアンス戦略

CCPA（カリフォルニア州消費者プライバシー法）に従う必要がある組織は、単に罰則を回避するだけでなく、より広い視点で対応する必要があります。以下は、企業が取り組みを始めることができるコンプライアンスの領域です。

データマッピングと在庫管理

CCPAでは明示的にデータマッピングを要求していませんが、導入することでコンプライアンスが容易になります。これは、どの第三者が個人情報にアクセスしているか、データがどのように取り扱われているかなどを把握するのに役立ちます。最も重要なのは、企業が消費者からの要求に迅速かつ効率的に対応できることです。

プライバシーポリシーの更新

CCPAは、組織が少なくとも年に一度はプライバシーポリシーを更新することを義務付けています。

プライバシーポリシーは、消費者に自身の権利、例えば知る権利や訂正の権利について知らせる必要があります。また、収集される個人情報のカテゴリ、情報源、および収集の目的についても詳細を記載する必要があります。

消費者リクエストシステム

カリフォルニア州のデータプライバシー法は、企業が消費者が権利を行使するためのリクエストを提出できる明確なプロセスを確立することを規定しています。典型的なシステムでは、少なくとも2つの方法でリクエストを提出できるようにする必要があり、例えばフリーダイヤル番号やウェブサイトのフォームなどが含まれます。
カリフォルニア消費者プライバシー法（CCPA）が正式に使用する用語は「データ主体アクセスリクエスト（DSAR）」であり、法律は組織に対してDSARに回答するために45日間を与えています。回答が行われない場合、または消費者から45日間の延長を要求しない場合は、重大な罰金が科される可能性があります。

従業員のトレーニング

無知は免罪符にはなりません。CCPAは、消費者からの問い合わせを担当する社員やコンプライアンスに責任のある社員は、適切にトレーニングされている必要があると明確に述べています。

トレーニングでは、法律のすべての要件と消費者の権利、DSARへの対応方法をカバーする必要があります。また、データセキュリティとプライバシーの重要性を強調するべきです。

技術的保護措置

法律はまた、企業が取り扱う個人データを保護するために「合理的な」セキュリティ対策を実施することを義務付けることで、データ漏えいからの保護を求めています。

これには通常、暗号化、アクセス制御、定期的なセキュリティ評価といった措置が含まれます。

そして、「合理的」という用語は法律で厳密に定義されてはいませんが、しばしばCentre for Internet Security (CIS) コントロールのような業界標準と照らし合わせて基準が設けられます。

データ管理ツール

これらのすべての戦略には、コンプライアンスを達成し維持する努力をサポートする効果的なデータ管理ツールの必要性が暗黙のうちに含まれています。基準として、組織が導入するツールは、データの匿名化、仮名化、同意管理、DSAR（データ主体アクセス要求）の対応を支援するものであるべきです。

プライバシー重視のウェブ解析に関するより実践的な手順については、当社のCCPAコンプライアンスガイドをお読みください。

Matomoでビジネスを保護する

コンプライアンスを達成し維持することは、困難に思えることがあります。しかし、その作業を容易にし、データプライバシーの技術的に難しい要求を満たすのに役立つツールがあります。Matomoはその一つです。

Matomoは、企業が解析データの完全な所有権と管理権を持てるようにし、第三者と共有されることを許しません。

Matomoは、プライバシーを最優先としたウェブ解析プラットフォームで、主にファーストパーティのクッキーを使用します。これは、世界中のほとんどすべてのプライバシー規制の要件の一つを満たしていることになります。

Matomoは、同意管理機能、Consent Mode v2のサポート、外部の同意管理プラットフォームとの統合により、消費者の権利を保護します。その設計は、データの最小化や保持ポリシー、匿名化および仮名化をサポートしています。

さらに、CCPAへのコンプライアンスにおいて重要なのは、Matomoがデータ処理の明確な記録を提供することで、責任追跡を支援する点です。

そして、最大の制御を求める企業向けには、このプラットフォームはセルフホスト型のオンプレミスオプションとして利用でき、データを完全に自社のインフラ内に保持することができます。

データプライバシー法は定着するでしょう

カリフォルニア州のCCPAに関する取り組みは、米国におけるデータプライバシーの大きな一歩です。「カリフォルニア効果」はすでに起きており、他の州も独自のプライバシー法を制定することで追随しています。

一つ確かなことは、CCPAやGDPRが示すように、プライバシー法はますます一般的になりつつあるということです。各国の法律に個別に従ってギャップを突こうとすることは、高額で無駄な努力に過ぎません。より賢明なアプローチは、これらの法律を念頭に置いて構築されたツールを使用することです。

Matomoのようなプライバシー重視のウェブ解析ツールは、コンプライアンスに簡単に設定でき、出発点として最適です。Matomo On-Premiseを完全無料でダウンロードするか、Matomo Cloudの21日間無料トライアルを開始してください（クレジットカード不要）。

よくある質問

カリフォルニア州の新しいデータプライバシー法とは何ですか？

投票レベルの立法に関して言えば、カリフォルニア州の最新のデータプライバシー法はCPRAで、既存のCCPAの改正法です。しかし、CPPAはCCPAを継続的に更新しており、2025年にはセキュリティ監査、リスク評価、ADMTに関する三つの新しい条項を導入しました。

CCPAとCPRAの違いは何ですか？

CCPAは元のカリフォルニア州のデータプライバシー法です。CPRAは、消費者の権利を拡大し、遵守しない場合の厳しい罰則を施行し、執行機関を導入した改正法です。

どの州が最も厳しいデータプライバシー法を持っていますか？

最も厳しいデータプライバシー法を持つ州は、CCPAを持つカリフォルニア州と、Maryland Online Data Privacy Act（MODPA）を持つメリーランド州です：

• カリフォルニア州の法律（Delete Actを含む）は、施行面（専用の機関あり）、AI関連の消費者権利の取り扱い（新しいADMT規制）、および削除（Delete RequestおよびOpt-Outプラットフォーム）に関して最も厳しいと考えられます。
• メリーランド州の法律は、機微なデータの販売の禁止、未成年者（18歳未満と定義）データへの厳しい処罰、およびPIおよびSPIに相当するものの使用に対するより厳しい基準において最も厳しいと考えられます。