以下の内容はhttps://a1026302.hatenablog.com/entry/2025/04/09/092414より取得しました。

CCPA について調べてみました。

規格 規格-CCPA

CCPA について調べてみました。

CCPA(カリフォルニア州消費者プライバシー法)とは?

CCPA(California Consumer Privacy Act:カリフォルニア州消費者プライバシー法) は、アメリカ・カリフォルニア州の住民の個人データを保護する法律です。
2018年に成立し、2020年1月1日に施行されました。さらに、2023年1月1日 には CPRA(California Privacy Rights Act) による改正が加わり、規制が強化されました。
CCPA は、アメリカ版の GDPR とも呼ばれ、企業に対し 個人情報の収集・使用・共有に関する透明性の確保を求めています。

CCPAの適用範囲

CCPA は、カリフォルニア州の住民(消費者)の個人情報を取り扱う企業 に適用されます。
企業の所在地がカリフォルニア州外であっても、一定の条件を満たすと適用対象 になります。

対象となる企業

以下の いずれか1つ以上の条件 を満たす 営利企業 は、CCPA の適用対象になります。

  • 年間総収益が2500万ドル(約37億円)以上
  • カリフォルニア州の消費者から50,000件以上の個人情報を収集する
  • 年間収益の50%以上を個人データの販売で得ている

カリフォルニア州に拠点がない企業でも、同州の消費者のデータを扱う場合はCCPAが適用されるようです。

CCPA の主な要件

CCPA では、企業が個人情報を取り扱う際のルールや消費者の権利が定められています。

個人情報の定義

CCPA では、以下のような情報を 「個人情報(Personal Information)」 として扱います。

  • 氏名、住所、メールアドレス、電話番号
  • IPアドレス、デバイスID
  • Cookie、ブラウジング履歴
  • 購入履歴、支払い情報
  • 位置情報
  • 生体認証データ(指紋、顔認証データ)
  • ソーシャルメディアのアカウント情報
消費者(個人)の権利

CCPA では、カリフォルニア州の消費者に対し 以下の4つの権利 を保証しています。

  • 情報開示の権利(Right to Know)
    • 企業は、消費者が「どんなデータを収集しているか」を開示しなければならない。
    • 収集した個人情報の カテゴリ や 目的 を説明する必要がある。
  • 削除請求の権利(Right to Delete)
    • 消費者は、自分の個人情報の削除を求めることができる。
    • 企業は、法的に保持が必要な場合(例:税務データ)を除き、データを削除しなければならない。
  • データ販売の拒否権(Right to Opt-Out)
    • 消費者は、自分の個人情報を第三者に販売しないよう要求できる。
    • 企業は 「Do Not Sell My Personal Information」(私の個人情報を売らないで)というオプションをWebサイトに設ける必要がある。
  • 差別の禁止(Right to Non-Discrimination)
    • データの開示・削除を要求した消費者を不利に扱ってはならない。
    • 例:データ削除を要求した人に対し、サービスを提供しない・価格を上げるといった対応は禁止。

CCPA 違反時の罰則

CCPA 違反をした企業には、以下の罰則が科されます。

民事罰(罰金)
  • 意図的な違反 :1件あたり 最大7,500ドル
  • 過失による違反 :1件あたり 最大2,500ドル
消費者による集団訴訟
  • データ漏洩が発生した場合、消費者は企業を集団訴訟できる。
  • 企業側に過失があれば 1件あたり100ドル~750ドルの損害賠償 を請求可能。

CCPA と CPRA(2023年改正)

2023年1月1日から、CPRA(California Privacy Rights Act) によってCCPAが改正され、より厳しいルールが追加されました。

CPRA の主な変更点

「機密個人情報(Sensitive Personal Information)」の新設
  • 例:社会保障番号、財務情報、健康データ、性的指向、民族情報
  • 企業は「機密個人情報」をどのように扱うか明確にする必要がある。
「オプトアウト」から「オプトイン」への変更
  • 16歳未満のデータ収集には 事前の同意(オプトイン) が必要
データ保持ポリシーの明確化
  • データを保持する期間を明示する義務 が企業に課された
新しい監督機関(California Privacy Protection Agency, CPPA)の設立
  • プライバシー保護を強化するため、CCPAの施行・監査を行う専属機関が設立された。

他国と比較

項目 CCPA(カリフォルニア州) GDPR(EU) APPI(日本)
適用範囲 カリフォルニア州の住民のデータ EU市民のデータ 日本国内の企業
企業の適用条件 収益2500万ドル以上 など EU市民のデータを扱うすべての企業 日本国内で個人情報を扱う企業
消費者の権利 開示・削除・オプトアウトなど 開示・訂正・削除・データポータビリティ 開示・訂正・削除など
罰則 最大7,500ドル/件 年間売上の4% or 2000万ユーロ 最大1億円の罰金

まとめ

  • CCPA はカリフォルニア州の住民の個人情報を保護する法律
  • 企業は、個人情報の開示・削除・販売拒否の権利を尊重しなければならない
  • 2023年の CPRA 改正で、プライバシー保護がさらに強化
  • 違反すると罰金や訴訟リスクがある
  • GDPR や APPI と比較すると、消費者の「データ販売拒否権」が特徴的


以上の内容はhttps://a1026302.hatenablog.com/entry/2025/04/09/092414より取得しました。
このページはhttp://font.textar.tv/のウェブフォントを使用してます
不具合報告/要望等はこちらへお願いします。
モバイルやる夫Viewer Ver0.14