カリフォルニア州は、全米でも最も包括的な個人情報保護の枠組みを整備した州のひとつです。カリフォルニア消費者プライバシー法(CCPA)の制定以来、法律は着実に強化されてきましたが、2025年から2026年にかけては特に大きな動きが続いています。企業の担当者の方はもちろん、カリフォルニア州在住の方にとっても、現状を把握しておくことがますます重要になっています。
CCPAとは何か
CCPAは2018年に成立し、2020年1月1日から施行されました。カリフォルニア州の消費者に対して、企業が保有する個人情報に関する一連の権利を認めた法律です。具体的には、①企業が収集している情報の内容と利用目的を知る権利、②個人情報の削除を請求する権利(一定の例外あり)、③個人情報の「販売」や「共有」をオプトアウトする権利、④これらの権利を行使したことを理由に不利益な扱いを受けない権利、が明文化されています。
規制の対象となるのは、以下のいずれかに該当する事業者です。年間総収益が2,500万ドル以上の企業、年間を通じて10万件以上の個人情報を取り扱う企業、または個人情報の販売・共有によって年間収益の50%以上を得ている企業です。カリフォルニア州外に拠点を置いていても、同州居住者のデータを扱う場合は適用対象になり得る点に注意が必要です。
CPRAによる制度強化
2020年11月の住民投票(プロポジション24)でCCPAの改正法であるCPRAが可決され、2023年1月から適用されています。CPRAの主な改正点として、「センシティブ個人情報」という新カテゴリーの創設が挙げられます。社会保障番号、精密な位置情報、健康・医療情報、性的指向などがこれに該当し、企業による利用制限と消費者のオプトアウト権が新たに設けられました。また、個人情報の「訂正請求権」の追加、データ保持期間の最小化義務、行動ターゲティング広告を含む「共有(sharing)」概念の明確化と適用拡大も図られています。
執行体制についても、カリフォルニアプライバシー保護庁(CPPA)が設立され、規制・執行を一手に担うようになっています。
2025年以降の主な動向
法律はここ数年でさらに大きく動いています。
2025年1月施行の改正
2025年1月1日には複数の改正法が施行されました。その中には、ニューラルデータ(脳波など神経系から収集されるデータ)をセンシティブ個人情報に追加したSB1223、学生データの保護を強化したAB801などが含まれています。
AI・自動意思決定技術(ADMT)への対応
2025年7月24日、CPPAは自動意思決定技術(ADMT)、リスクアセスメント、サイバーセキュリティ監査に関する規制パッケージを全会一致で最終決定しました。これにより2026年1月1日から、一定の企業にはサイバーセキュリティ監査の実施義務、AIによる自動意思決定に関するリスクアセスメントの義務、そして消費者の新たな権利への対応が求められるようになっています。
執行の強化
2025年9月30日には、CPPAが全米最大のファーム・ライフスタイル小売業者であるTractor Supply Companyに対し、CPPA史上最大となる135万ドルの制裁金を科しました。また、2025年11月にはデータブローカー業界の違反調査に特化した「データブローカー執行タスクフォース」が設置されています。
DROPプラットフォームの開始
カリフォルニア州の「削除法(Delete Act / SB 362)」に基づき、2026年1月1日から消費者向けの一括削除申請プラットフォーム「DROP(Delete Request and Opt-Out Platform)」が稼働しています。これにより消費者は、登録されているすべてのデータブローカーに対して、一度の申請で個人情報の削除を要求できるようになりました。データブローカーは2026年8月1日から、このDROPプラットフォームに少なくとも45日に1回アクセスし、削除申請を処理することが義務付けられています。 C
企業に求められる主な対応
CCPAおよびCPRAの適用を受ける企業には、継続的な実務対応が求められます。主な対応事項を整理すると以下のとおりです。
プライバシーポリシーには、収集する個人情報の種類、利用目的、第三者への提供の有無、保持期間などを明確に記載しなければなりません。また、「私の個人情報を販売または共有しないでください」というオプトアウトリンクを、消費者が容易にアクセスできる形で設置することも義務付けられています。
消費者からのアクセス・削除・訂正等の請求には、原則として45日以内に対応する必要があります。データ処理を委託しているベンダー(外部業者)の管理も企業の責任範囲に含まれるため、契約内容の見直しと委託先の実態把握も欠かせません。さらに、プライバシーへの対応は、開示・同意の枠組みを超えて、データセキュリティ、アルゴリズムの透明性、消費者権利の実質的な保障といった領域へと拡大しています。
違反に対する制裁
違反に対するペナルティは態様により異なります。過失による違反は1件あたり最大2,500ドル、故意による違反は1件あたり最大7,500ドルの行政制裁金が科されます。16歳未満の未成年者に関するデータの違反にはより厳しい扱いがなされます。また、個人情報漏洩が生じた場合、消費者は企業に対して1人あたり最大750ドルの法定損害賠償を請求することができます。実際の執行事例を見ても、CPPAは積極的に調査・制裁を進めており、企業は「形式的なコンプライアンス」では対応しきれない状況になりつつあります。
今後の見通し
カリフォルニア「削除法」はさらに2026年8月1日から本格的に執行される予定であり、DROPを通じた削除申請への不対応には1件あたり日単位のペナルティが課される可能性があります。また、連邦レベルでの統一プライバシー法の制定に向けた議論も続いており、他州のプライバシー法やGDPRとの整合をどう図るかも引き続き重要なテーマです。
カリフォルニア州のプライバシー法は、制定以来一貫して強化の方向をたどっており、規制の速度と範囲はともに増しています。企業においては、個人情報の流れの可視化(データマッピング)、プライバシーポリシーの定期的な見直し、消費者対応プロセスの整備、ベンダー管理、そして社内教育・セキュリティ体制の継続的な強化が不可欠です。具体的な状況への対応については、プライバシー法に精通した法律専門家に相談されることをお勧めします。
カリフォルニア在住(サンフランシスコ・ベイエリア・ロサンゼルス)
カリフォルニア弁護士・日本弁護士
田中良和