CCPA(California Consumer Privacy Act)は、米国カリフォルニア州の消費者向けプライバシー法です。企業が収集・利用・共有する個人情報に対して、開示や削除、販売・共有の停止などの権利を消費者に与える枠組みとされています。CCPAはCPRA(California Privacy Rights Act)で改正され、カリフォルニルニア州司法長官やカリフォルニア・プライバシー保護庁(CPPA)が制度運用を担います。
適用対象は、カリフォルニア州で事業を行う営利企業のうち、年商や取り扱う個人情報の規模などが一定基準を超える事業者です。CCPAでは、年商が基準額を超える、個人情報を一定件数以上売買・共有する、個人情報の販売・共有で売上の半分以上を得る、といった条件が示されています。なお、年商の基準はインフレ調整で見直されるため、最新の基準額を確認しておくと安心です。
実務では、どのデータが「個人情報」に当たるかを棚卸しし、収集目的と共有先をデータフローで把握する作業が出発点になります。収集時点のプライバシー通知では、収集カテゴリと利用目的を「収集時または収集前」に伝える設計が要点です。広告配信などで個人情報を第三者に渡す可能性がある場合は、販売・共有のオプトアウト導線と、GPCなどの信号を受け付ける運用も論点でしょう。委託先や広告事業者との契約条件、権限管理、監査ログ、変更管理まで含めて整えると、CCPA対応が形だけで終わりにくくなります。
