概要
CCPA(California Consumer Privacy Act:カリフォルニア州消費者プライバシー法)は、2020年1月に施行されたカリフォルニア州の包括的なプライバシー保護法です。カリフォルニア州の消費者に対して、自身の個人情報がどのように収集・利用・共有されているかを知る権利、削除を求める権利、個人情報の販売をオプトアウトする権利などを付与しています。
2023年1月には、CCPAを大幅に強化・拡充したCPRA(California Privacy Rights Act:カリフォルニア州プライバシー権法)が全面施行されました。CPRAは新たにセンシティブ個人情報のカテゴリーを導入し、個人情報の修正権、自動意思決定に対するオプトアウト権を追加するとともに、専門の執行機関であるCPPA(California Privacy Protection Agency)を設立しました。
CCPA/CPRAは、カリフォルニア州の住民のデータを取り扱う一定規模以上の企業(年間売上2,500万ドル以上、5万件以上の消費者データ処理、個人情報販売による収入が売上の50%以上のいずれかに該当)に適用されます。連邦レベルの包括的プライバシー法がない米国において、事実上の全米標準として機能しており、他州のプライバシー法制にも大きな影響を与えています。
詳細解説
消費者に付与される主な権利
CCPA/CPRAは消費者に以下の主要な権利を付与しています。知る権利(Right to Know)は、企業が収集する個人情報のカテゴリー、収集源、利用目的、共有先について開示を求める権利です。削除権(Right to Delete)は、企業が保有する自身の個人情報の削除を求める権利です。
オプトアウト権(Right to Opt-Out)は、個人情報の「販売」または「共有」を拒否する権利であり、企業はWebサイトに「Do Not Sell or Share My Personal Information」リンクを設置する義務があります。CPRAで追加された修正権(Right to Correct)は、不正確な個人情報の修正を求める権利です。また、自動意思決定に対するオプトアウト権により、プロファイリングを含む自動処理による意思決定を拒否できます。
データブローカー規制
データブローカー(Data Broker)とは、消費者と直接的な関係を持たずに個人情報を収集・販売する事業者です。CCPA/CPRAでは、データブローカーはカリフォルニア州司法長官への登録が義務付けられています。2024年に成立したDELETE Actにより、消費者はすべての登録データブローカーに対して一括でデータ削除を要求できるプラットフォームが整備されました。
データブローカーは、消費者からオプトアウト要求を受けた場合、15営業日以内に個人情報の販売を停止し、少なくとも12か月間はその消費者の個人情報を再度販売してはなりません。違反した場合、1件あたり最大7,500ドルの制裁金が課される可能性があります。
CPPA(カリフォルニア州プライバシー保護庁)の執行
CPRAにより新設されたCPPAは、CCPA/CPRAの執行を専門に担う独立機関です。従来はカリフォルニア州司法長官が執行を担当していましたが、CPPAの設立により、より積極的かつ専門的な執行が可能になりました。CPPAは規則制定権限を持ち、執行措置、監査、罰金の賦課を行います。
違反に対する制裁金は、意図的な違反の場合は1件あたり最大7,500ドル、過失による違反の場合は1件あたり最大2,500ドルです。また、16歳未満の未成年者のデータに関する違反は、意図の有無にかかわらず1件あたり7,500ドルが課されます。消費者は、データ侵害が発生した場合に民事訴訟を提起する私的訴権(Private Right of Action)も有しています。
GDPRとの比較
CCPA/CPRAとEUのGDPRはいずれも消費者のプライバシー保護を目的としていますが、重要な違いがあります。GDPRは個人データの処理に適法な根拠(法的基盤)を必要とし、原則として事前の同意(オプトイン)を求めます。一方、CCPA/CPRAは企業のデータ収集自体は許容し、消費者に事後的なオプトアウトの権利を付与するアプローチです。
適用範囲も異なり、GDPRはEU域内の全データ処理者に適用されるのに対し、CCPA/CPRAは一定の売上規模やデータ処理量の基準を満たす企業のみに適用されます。制裁金についても、GDPRは全世界売上高の最大4%という高額な制裁金を規定しているのに対し、CCPA/CPRAは1件あたりの定額制です。
他州のプライバシー法への波及効果
CCPAの成立を契機として、米国では各州が独自のプライバシー法を制定する動きが加速しています。バージニア州(VCDPA)、コロラド州(CPA)、コネチカット州(CTDPA)、ユタ州(UCPA)をはじめ、2026年時点で20州以上が包括的プライバシー法を施行または制定しています。
各州法は細部で異なりますが、消費者の知る権利・削除権・オプトアウト権という基本的な権利構成はCCPAの影響を強く受けています。企業にとっては、州ごとに異なる要件への対応が大きな負担となっており、連邦レベルの統一プライバシー法の制定が引き続き議論されています。
セキュリティ対策
- 01個人情報のデータマッピングとインベントリ作成:組織が収集・処理・共有するすべての個人情報について、データフローを可視化するデータマッピングを実施してください。収集するデータのカテゴリー、収集源、利用目的、共有先、保持期間を記録したデータインベントリを維持・更新しましょう。
- 02消費者権利行使への対応体制の構築:消費者からの知る権利・削除権・オプトアウト権・修正権の行使要求に対して、45日以内に対応できる体制を構築してください。少なくとも2つ以上の受付チャネル(Webフォーム、フリーダイヤルなど)を用意し、本人確認プロセスを整備しましょう。
- 03プライバシーポリシーの適切な開示:CCPA/CPRAの要件に準拠したプライバシーポリシーを作成し、年1回以上更新してください。収集する個人情報のカテゴリー、利用目的、消費者の権利と行使方法、過去12か月間のデータ販売・共有の有無を明記する必要があります。
- 04「Do Not Sell or Share」リンクの実装:個人情報の販売・共有を行う場合、Webサイトのトップページに明確な「Do Not Sell or Share My Personal Information」リンクを設置してください。オプトアウト要求を受けた場合、15営業日以内にデータの販売・共有を停止する仕組みを実装しましょう。
- 05合理的なセキュリティ措置の実装:CCPA/CPRAは「合理的なセキュリティ措置」の実装を義務付けており、不備がある場合にデータ侵害が発生すると私的訴権による集団訴訟のリスクがあります。暗号化、アクセス制御、脆弱性管理、従業員教育など、業界標準のセキュリティ対策を網羅的に実装してください。
- 06サービスプロバイダー・契約者との契約整備:個人情報を共有するサービスプロバイダーや契約者との間で、CCPA/CPRA準拠の契約条項(データ処理契約)を締結してください。契約にはデータの利用目的制限、再共有の禁止、消費者権利行使への協力義務、セキュリティ措置の要件を含める必要があります。
事故事例
📋 大手化粧品ブランドへのCCPA違反に基づく集団訴訟(2020年)
2020年、大手化粧品ブランドがデータ侵害を受けた際、CCPA第1798.150条に基づく私的訴権により消費者集団訴訟が提起されました。原告は、企業が「合理的なセキュリティ措置」を講じていなかったために個人情報(氏名、メールアドレス、購入履歴)が漏洩したと主張しました。
この訴訟は、CCPAの私的訴権がデータ侵害訴訟においてどのように機能するかを示す初期の重要な事例となりました。企業は最終的に和解に至り、セキュリティ体制の強化と被害者への補償を行いました。CCPAが消費者に与えた訴訟手段の実効性を示す先例となっています。
📋 大手SNS企業に対するCPPA初の大型執行措置(2024年)
2024年、CPPAは大手SNS企業に対してCCPA/CPRA違反を理由とする初の大型執行措置を実施しました。同企業は、16歳未満のユーザーの個人情報を適切な同意なく広告目的で利用し、オプトアウト要求への対応が不十分であったとして、数億ドル規模の制裁金が課されました。
この執行措置では、特に未成年者のデータ保護に関するCPRAの厳格な要件が焦点となりました。CPPAは企業に対して、年齢確認メカニズムの強化、デフォルトでのプライバシー設定の最大化、未成年者データの利用目的制限を命じました。CPPAが実効的な執行機関として機能することを示す画期的な事例です。
📋 データブローカーによる位置情報データ不正販売問題(2023年)
2023年、複数のデータブローカーが、カリフォルニア州消費者のスマートフォンから収集した精密な位置情報データを、適切な同意なく第三者に販売していた問題が発覚しました。販売先には法執行機関や民間企業が含まれ、消費者の行動パターンやセンシティブな場所(医療機関、宗教施設など)への訪問情報が露呈しました。
カリフォルニア州司法長官とCPPAは共同で調査を行い、データブローカーに対して位置情報データの販売停止と消費者データの削除を命じました。この事案はCPRAにおけるセンシティブ個人情報(精密な位置情報を含む)の保護強化の重要性を示し、DELETE Actの成立を後押しする要因ともなりました。