カリフォルニア州で2023年1月に施行されたCPRA(カリフォルニア州プライバシー権法)は、既存のCCPAを改正・拡充し、企業にこれまで以上の透明性と説明責任を求める法律です。
データ活用が事業の成長に欠かせない一方で、「どこまで情報を取得してよいのか」「海外の法律にどう対応すべきか」と悩む企業も増えています。
本記事では、CPRAの基本とCCPAからの改正点、そして企業が取るべき実務対応をわかりやすく整理します。プライバシー対応を強化し、データ活用を安心して進めたい企業担当者はぜひ参考にしてください。
目次
CPRA(カリフォルニア州プライバシー権法)とは
カリフォルニア州プライバシー権法(CPRA)は、企業による個人データ活用に対して、より強い透明性と利用者の権利保護を求める法律です。データ販売やターゲティング広告を行う際に、消費者に選択権を与える仕組みを整備するなど、米国の中でも先進的なプライバシー法として位置づけられています。
この法律の狙いは、単に法的義務を課すことではなく、企業と消費者の信頼関係を築くことです。そのため、企業は自社がどのようにデータを扱うのかを明確に示し、倫理的な情報利用を実現することが求められています。CPRAは、データ活用社会における新しい「信頼のルール」を定める法律だといえるでしょう。
定義と成立の背景
CPRA(California Privacy Rights Act)は、カリフォルニア州における消費者プライバシー保護を強化するための法律でと説明しました。先行するCCPA(California Consumer Privacy Act)を改正・補完する位置づけにあり、2020年11月の住民投票で可決された法律です。
成立の背景には、企業による個人データの収集や利用が急速に拡大している現状があります。そのなかで、消費者が自分の情報をより主体的に管理できるようにすることを目的とし、策定されました。特に、広告配信やデータ販売を行う企業に対して、より高い透明性と説明責任を求める内容が盛り込まれています。
CCPAとCPRA改正の関係
CPRAは、2018年に成立し、2020年1月に施行されたCCPAを基礎としており、その後の課題や不十分な点を補う形で策定されました。CCPAは包括的な消費者保護を打ち出した一方で、解釈の曖昧さや運用面での課題が指摘されていました。
CPRAでは、これらの課題に対応するために、データの「共有(sharing)」にも規制対象を拡大しました。また、法の執行を担う独立機関「カリフォルニアプライバシー保護庁(CPPA)」が新設され、監督と罰則の実効性が強化されています。
さらに、センシティブな個人情報(Sensitive Personal Information)という新しいカテゴリーが導入され、企業に対してより厳しい取り扱い義務が課されました。これにより、CCPAの基本枠組みを維持しながら、より実効性のあるプライバシー法へと進化しています。
GDPRとの共通点・相違点
CPRAは、欧州のGDPR(一般データ保護規則)の影響を強く受けている法律です。いずれも個人のプライバシー権を中心に据え、企業に対して高い透明性や説明責任、安全管理を求めている点で方向性が同じだといえます。特に、データの利用目的を明示し、消費者にアクセス・削除・訂正といった権利を保障する枠組みは、両者に共通する特徴です。
一方で、両者には違いもあります。GDPRはEU域内の全加盟国に適用される包括的な法律であり、国境をまたぐデータ移転にも厳格な規制を設けています。これに対してCPRAはカリフォルニア州の州法で、適用範囲や手続きはより限定的です。また、GDPRでは「データ管理者」「処理者」という概念が明確に整理されていますが、CPRAでは「事業者」「サービスプロバイダー」といった別の用語が用いられています。
このように、CPRAはGDPRと理念を共有しながらも、米国の法制度や企業文化に合わせて実務的に設計された法律といえます。
CPRAの対象となる事業者の条件
CPRAは、カリフォルニア州で事業を行う営利企業のうち、一定の基準を満たす場合に適用される法律です。州内に拠点がなくても、州内の消費者の個人情報を扱えば対象となり得ます。
- 直前の暦年の年間総売上高が2,500万ドル超であること
- 10万件以上の消費者または世帯の個人情報を、取得・販売・共有のいずれかで取り扱うこと
- 年間売上の50%以上を、個人情報の販売または共有によって得ていること
上記のいずれかを満たせば、事業者はCPRA上の「事業者」とみなされます。非営利団体や政府機関は原則として対象外ですが、対象事業者が支配している、または共通ブランドを共有している場合には、適用対象となる可能性があります。
CCPAで一時的に除外されていた従業員データやB2B(企業間取引)データに関する適用除外は、CPRAの完全施行(2023年1月)で終了しました。これ以降、従業員・役員・取引先担当者・求職者などのデータも原則としてCPRAの規制対象となります。
CCPA/CPRAで消費者に認められる主な権利
次に、CCPA/CPRAで消費者に保障される基本的な権利を紹介します。ここで、権利の趣旨と企業に求められる対応の方向性をつかみましょう。
自分のデータがどのように使われているかを知る権利
消費者は、自分の個人情報がどのように収集され、利用・共有されているのかについて、企業に開示を求められます。たとえば、どのようなデータ項目が集められているのか、その取得元や利用目的、どのようなカテゴリの第三者と共有されているのかといった点が開示の対象です。
さらに、こうした利用状況だけでなく、その情報をどのくらいの期間保有するのかについても説明を受ける権利が認められています。データの保有期間の開示義務は、CPRAで新たに明確化されたポイントです。
自分の情報を削除・訂正してもらう権利
消費者には、自分の個人情報の削除を企業に求める権利があります。ただし、法令で一定期間の保存が義務付けられている情報や、契約の履行に不可欠な情報など、削除が認められないデータも存在します。
さらに、CPRAでは新たに「訂正を求める権利」も明確化されました。不正確な情報の修正を請求できるため、企業側には、何を根拠にデータを更新したのかを説明できる運用体制を整えることが求められます。
データの販売や共有を拒否できる権利
消費者は、個人情報の「販売」やターゲティング広告などの「共有(sharing)」を拒否する権利があります。企業側は、その意思表示がしやすいように、Webサイト上にわかりやすいオプトアウトの導線を設けることが求められます。
また、未成年に対しては、より厳格なルールが適用されるのが特徴です。16歳未満はオプトイン方式が原則となり、13歳未満は親権者の同意、13〜15歳は本人の同意を得なければ、データの販売や共有はできません。
データの利用目的と保持期間の制限を求める権利
情報は、収集時に示された目的の範囲内で、必要最小限にとどめて利用されるべきです。想定していない二次利用や、意味のない長期保存を続けることは、原則として認められません。
そのため企業側には、「どの目的で、どのくらいの期間データを保持するのか」という方針を明確に示す責任があります。とくにセンシティブ情報については、利用する範囲を限定し、本人の期待を超える使い方をしないよう配慮することが重要です。
不当な差別を受けず、適正な取扱いを受ける権利
消費者は、自分の権利を行使したことを理由に、価格やサービス条件で不利な扱いを受けないよう保護されています。
一方で、CPRAでは、個人情報の提供と引き換えに割引などを提供する「合理的な金銭的インセンティブ・プログラム」であれば、一定の条件のもと例外として認められる余地があります。
CPRAに違反した場合のリスク
CPRAでは、個人情報を適切に管理しなかった場合や、消費者の権利行使に対応しなかった場合に厳しい罰則が科されます。法的な制裁だけでなく、企業の信頼やブランド価値の低下にも直結するため、遵守体制の構築は不可欠です。
罰則や制裁金の内容
CPRAの執行は、独立機関であるカリフォルニア州プライバシー保護庁(California Privacy Protection Agency:CPPA)と州司法長官が共同で担います。違反が確認された場合、1件あたり最大2,500ドル、故意または未成年者の個人情報に関する違反では1件あたり最大7,500ドルの民事罰が科されます。
特に、未成年者の個人情報に関する違反や、センシティブ情報の不正利用は重く扱われる違反です。罰金の累積額が多額になることもあり、大企業でも経済的なダメージは無視できません。
また、是正命令に従わず改善を怠った場合には、追加的な罰金や行政命令が科されることがあります。罰則を回避するためには、平時から社内体制の整備とログの記録管理を徹底することが求められます。
企業イメージやブランドへの影響
CPRA違反は、法的な制裁にとどまらず、企業の社会的評価にも直結するリスクです。個人情報の流出や不正利用が報じられれば、消費者の信頼が大きく揺らぎ、取引先や投資家との関係にも影響が及びかねません。
とくにプライバシー対応は、企業の透明性や倫理観を測る指標のひとつと見なされています。違反事例が公表されると、短期的な売上減少だけでなく、ブランドイメージの長期的な毀損につながるおそれがあるためです。
その一方で、法令遵守を徹底し、積極的に情報開示を行う企業は「信頼性の高いブランド」として評価されやすくなります。プライバシーへの向き合い方そのものが、競争力を左右する時代になっているといえるでしょう。
訴訟のリスク
CPRAでは、CCPAから引き継がれた規定として、特定のデータ漏えい事案に限り「私的訴権(Private Right of Action)」が認められている法律です。この権利を行使できるのは、未暗号化または未マスキングの個人情報が不正アクセスや漏えいの被害を受けた場合に限られます。
こうした私的訴権が用意されているため、問題が発生すると個人による訴訟だけでなく、集団訴訟に発展する可能性も生じます。訴訟対応にかかる人件費や弁護士費用、和解金・賠償金などは多額になりやすく、経営へのダメージも無視できない水準といえるでしょう。
このように、CPRA違反は法務リスクにとどまらず、社会的信用や経営基盤にも直接的な打撃を与えかねません。だからこそ、インシデントを未然に防ぐための予防的な取り組みと、万一発生した場合の対応体制をあらかじめ整えておくことが重要です。
CPRA/CCPAにおける個人情報の定義
CPRAおよびCCPAにおける「個人情報(Personal Information)」とは、特定の個人または世帯を直接または間接的に識別できるあらゆる情報を指します。これは、単なる氏名や住所にとどまらず、オンライン識別子や位置情報、購買履歴、行動履歴なども含まれる幅広い概念です。
この定義は、特定のデータ単体では個人を識別できなくても、他の情報と組み合わせることで個人が特定できる場合も対象に含まれる点が特徴です。たとえば、クッキーIDや広告識別子なども、個人情報として扱われる場合があります。
また、CPRAでは「センシティブな個人情報(Sensitive Personal Information)」という新しい区分が導入されました。
これは、社会保障番号、運転免許証番号、金融口座やクレジットカード情報、正確な位置情報、人種や民族的出自、宗教や哲学的信条、遺伝情報、生体情報、健康情報、性的指向など、特にセンシティブとみなされる情報を指します。
企業はこれらの情報について、利用目的の制限や「限定利用リクエスト(Limit the Use of Sensitive Personal Information)」に対応する義務を負います。
一方で、統計目的で匿名化されたデータや、合理的に個人を識別できないように加工された情報(匿名化情報・集計データ)は、原則としてCPRA/CCPAの適用対象外です。ただし、匿名化の方法が不十分な場合や、容易に再識別できる形で保存されている場合は、依然として規制の範囲に入るおそれがあります。
このように、CPRA/CCPAでは個人情報の範囲を広く捉え、データの性質や利用目的に応じた管理を求めています。企業は自社が保有するデータがどの範囲に該当するかを正確に把握し、適切な取り扱いを行うことが重要です。
企業が取るべきCPRA対応と事業者の義務
CPRAの施行により、企業には透明性・安全性・説明責任を強化するための具体的な対応が求められています。
ここでは、企業が遵守すべき主な義務と、その実務上のポイントを整理。法令対応を通じて、信頼されるデータ管理体制をどのように築くかを解説します。
プライバシーポリシーと通知義務の整備
企業は、どのような個人情報をどの目的で収集し、誰と共有し、どのくらいの期間保持するのかを示したプライバシーポリシーを整える必要があります。単に法的要件を満たすだけでなく、利用者が読んで理解できる平易な言葉で公表し、実態に合わせて定期的に見直すことが重要です。
あわせて、新たに情報を収集する場面では「収集時の通知(Notice at Collection)」も求められます。この通知には、収集目的や各カテゴリの販売・共有の有無に加え、保存期間またはその決め方、権利の行使方法、センシティブ個人情報の限定利用に関する説明などをあらかじめ示しておく必要があります。
DSAR(消費者要求)対応プロセスの構築
CPRAでは、消費者が自分の情報について開示・削除・訂正を請求する権利を持っています。このため企業側には、これらの要求に適切かつ期限内に対応するためのプロセスを整えることが求められています。
具体的には、本人確認の方法や回答期限(通常は45日以内)、回答フォーマットなどをあらかじめルールとして明確にし、社内で迷わず運用できる体制を構築することが重要です。また、消費者からの要求内容と対応状況の記録については、少なくとも24ヵ月間保存することが求められています。
未成年データの適法なオプトイン運用
16歳未満の未成年者のデータを扱う場合は、原則として事前の同意(オプトイン)が必要になります。なかでも13歳未満の子どもについては保護者の同意が前提となり、13歳から15歳までは、個人情報の販売や共有を行う際に本人による明示的なオプトイン同意が求められる仕組みです。
こうしたルールを守るために、企業は年齢確認の方法や同意の取得・管理プロセスを明確に設計しておくことが欠かせません。同意の取り消しに応じられる仕組みを用意しておけば、より安心してサービスを利用してもらえるでしょう。特に、教育関連サービスやSNS、ECサイトのように未成年者が利用しやすいサービスでは、一層慎重な運用が求められます。
セキュリティ対策と漏えい時の法的責任の明確化
CPRAでは、合理的なセキュリティ対策の実施が企業の義務として明示されています。不正アクセスやデータ漏えいを防ぐため、技術的・組織的な安全管理措置を講じる必要があります。
万が一漏えいが発生した場合は、被害を受けた消費者への通知が義務付けられ、影響を受けたカリフォルニア居住者が500人以上の場合はカリフォルニア司法長官への報告が必要です。
対応の遅れや不備があった場合、罰則や訴訟のリスクが高まるため、事前のインシデント対応計画を策定しておくことが望ましいです。
オプトアウト対応とデータ削除プロセスの整備
消費者がデータの販売や共有を拒否した場合、企業は速やかにオプトアウトを反映しなければなりません。
Webサイト上に「Do Not Sell or Share My Personal Information」リンクを設け、ブラウザ等のオプトアウト優先シグナル(Global Privacy Control)を認識・尊重する必要があります。センシティブ個人情報を取り扱う場合は「Limit the Use of My Sensitive Personal Information」への導線も用意します。
また、削除要求に対応するためのプロセスも重要です。削除対象となる情報の範囲を明確化し、サービスプロバイダーやコントラクター、第三者に対しても、該当する削除要求を伝達し履行させる義務があります。
削除後の証跡を適切に残すことで、監査やトラブル時にも説明責任を果たせます。
社内体制とデータガバナンスの強化
法令遵守を継続的に実現するためには、個人情報保護を一過性の取り組みではなく、経営レベルの課題として位置づけることが不可欠です。そのうえで、プライバシー担当者の配置や定期的な教育・研修を通じて、社内の意識とスキルを継続的に高めていく必要があります。
こうした取り組みを支える土台として、データの分類やアクセス権限、保存期間などを一元的に統制するデータガバナンス体制を整えることも重要です。加えて、社内監査や第三者評価を取り入れることで、コンプライアンスの実効性を客観的に確認し、継続的な改善につなげられます。
今後の展望と他州・他国の動向
CPRAの施行をきっかけに、米国全体や世界各国でプライバシー保護の流れが一層強まっています。今後は、各地域の法制度が相互に影響し合いながら、より厳格なルール形成が進むでしょう。
ここでは、カリフォルニア州以外の州における法制化の動き、欧州GDPRとの関係、そして企業が取るべき中長期的なデータ戦略について整理します。
カリフォルニア州以外で進むプライバシー法制化
カリフォルニア州のCPRAをモデルに、他の州でも同様のプライバシー法が次々と成立しています。バージニア州のVCDPA(Virginia Consumer Data Protection Act)やコロラド州のCPA(Colorado Privacy Act)、コネチカット州のCTDPA(Connecticut Data Privacy Act)、ユタ州のUCPA(Utah Consumer Privacy Act)などがその代表例です。
これらの州法はいずれも、消費者のアクセス権・削除権・オプトアウト権を中心に据えつつ、企業に透明性とセキュリティ強化を求める点で共通しています。
ただし、州ごとに定義や要件が微妙に異なるため、全米で事業を展開する企業は各法域ごとの対応が必要です。今後、連邦レベルでの包括的なプライバシー法(ADPPA:American Data Privacy and Protection Act)の成立が検討されていますが、現時点では法案段階にとどまっています。
GDPRをはじめとした世界的潮流との関係
CPRAは、欧州のGDPRの影響を強く受けており、消費者の権利保護や企業の説明責任といった基本理念を共有しています。GDPRでは「データ最小化」や「目的限定」などの原則が明確に定められており、CPRAでも同様の概念が導入されています。ただし、GDPRのような明文化された原則としては規定されていません。
一方で、GDPRが国境を越えたデータ移転や越境取引を包括的に規制しているのに対し、CPRAは州内法としての適用範囲にとどまります。
しかし、米国企業がグローバルにビジネスを展開する場合、両制度の要件を同時に満たす必要があるため、今後は「グローバル準拠」を意識したデータ管理が主流になると考えられます。
将来を見据えた企業のデータ戦略
プライバシー規制の強化は、単に法的リスクを避けるための対応にとどまりません。消費者との信頼関係を築くうえで、データ保護は企業価値を高める重要な戦略要素となっています。
今後は、データの利活用と保護を両立させる「プライバシー・バイ・デザイン」への取り組みが求められます。データガバナンス体制の整備や、AI・自動化技術を活用した管理の効率化も重要です。
グローバル基準のプライバシー対策を先んじて導入することで、企業はリスクを抑えつつ、新たなビジネスチャンスを創出できるでしょう。
まとめ:CCPAを理解し、自社のデータ活用とリスク管理に活かす
CCPAおよびCPRAは、カリフォルニア州の消費者の個人情報を取り扱う事業者に対し、「個人情報をどう扱うか」という姿勢を明確にすることを求めています。単なる法令遵守にとどまらず、消費者との信頼関係を築くためにも、個人情報の取り扱いは重要な基盤です。
今後は、プライバシー保護とデータ活用を両立させる体制づくりが欠かせません。自社のデータフローを洗い出し、収集目的や利用範囲を明確にしたうえで、ポリシーや運用体制を定期的に見直すことが重要です。
「データの管理方法について相談したい」という方は、データ管理の実績豊富な弊社、データビズラボにお気軽にご相談ください。
貴社の課題や状況に合わせて、データ管理方法をご提案させていただきます。
