リスク管理Navi
サイバー/デジタルリスクNavi

サイバー/デジタルリスクNavi

コラム
掲載日:2025.07.16

米国のプライバシー法整備の動向と厳格化が進むCCPA

サイバーセキュリティ デジタルリスク管理 プライバシー保護 情報セキュリティ
執筆者: シニアコンサルタント 伊藤 隆
米国のプライバシー法整備の動向と厳格化が進むCCPA

世界のプライバシー法で最も厳しいといわれる欧州の「一般データ保護規則(GDPR:General Data Protection Regulation)」が2018年5月に施行されました。これに呼応するような動きを最初に見せたのは米国ではなく、米国で最大人口および経済を誇るカリフォルニア州でした。

カリフォルニア州は、米国司法省が連邦プライバシー法制定に苦しんでいる中、GDPRの厳しさを踏襲しつつも独自の観点での法整備を進め、2020年1月に「カリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)」を施行しました。

その動きに追随したのがバージニア州とコロラド州で、翌年の2021年にプライバシー法を制定し、2023年には施行を開始しています。また、これら先行3州の後を追い、米国では続々とその他の州がCCPA類似のプライバシー法を施行しており、その数既に20州に達しています。

では、なぜカリフォルニア州およびその他の州は独自で動いたのでしょうか。その背景には連邦プライバシー法整備の遅れや、米国特有の法制運用上の事情等があるようです。

本稿では、CCPAとはどんな法規制なのか、GDPRとはどう違うのか等を確認し、合わせて米国の連邦・州レベルの最新のプライバシー法規制動向を概観します。特に、グローバル企業のプライバシー実務担当者に向けて、これらの法規制への対応方針を検討する上での視点と実務上の留意点を提供します。

目次

CCPAの概要

CCPAはカリフォルニア州に居住する消費者および世帯に係る個人情報の保護を目的とした法律で、2018年6月に制定され、2020年1月1日から施行されました。このタイミングから、GDPRを意識した法制定であると伺えます。

さらに言えば、その制定を急ぎ過ぎたために一部内容に不備があったようで、CCPAの内容をさらに強化したカリフォルニア州プライバシー権法、CPRA(California Privacy Rights Act)が同年2020年11月に制定され、2023年1月1日に施行されました。名称はCPRAと変わりましたが、CCPAの改正版と位置づけられていますので、本稿ではCPRAに特化した説明以外では便宜上CCPAと表記していきます。

CCPAは、米国のGDPRともいわれますが、その要求事項には類似性も相違点も見られます。これら二つの法規制それぞれの特徴的な項目を以下比較表に簡潔に整理してみました。

【表1 CCPAとGDPR特徴一覧】

# 項目 CCPA GDPR
1 保護対象 州に居住する消費者および世帯 EEA域内*1に居住するデータ主体
2 個人情報の定義 特定の消費者・世帯に関連付けできる情報 個人を特定できるあらゆる情報
3 対象組織 特定条件(年間10万の消費者情報を購入、販売、共有するなど)を満たす「事業者」 単独でまたは他と共同して、個人データの取り扱いの目的および手段を決定する「管理者」
4 域外適用
  • 州内消費者に対する物品・サービスの提供
  • 特定の条件を満たす「事業者」と個人情報を共有する者
  • EEA域内データ主体に対する物品・サービスの提供
  • EEA域内データ主体に対する行動監視
5 本人への通知 取得個人情報の種類、販売・共有等の基本情報の取得時通知 管理者情報などの基本情報の取得時の通知
6 権利行使手段の通知
  • 権利内容と行使手段等のプライバシーポリシーでの公表と12カ月ごとの更新
  • ホームページ上への明確なオプトアウト手順などの提供
 透明性のある情報、通知および手続
7 データ保護責任者(DPO)の設置義務 対応規定無し 特定条件を満たす「管理者」
8 制裁金 違反1件当たり最高で$7,500 命令不順守に対して最大2,000万€または全世界売り上げの4%
9 執行機関 カリフォルニア州プライバシー保護庁 加盟国の監督機関
10 域外データ移転 対応規定無し 原則禁止も十分性認定やSCC等の特例あり

*1:GDPR適用対象国はEU加盟国にEEA加盟国3か国を加えた国々ですが、本稿では便宜上「EEA」と表記しています。

ここにあげている内容はこれら法規制の特徴的な部分を一覧化したもので、言ってみれば大きく違っている点を中心に整理しているといっても過言ではありません。そのため、これらを見て“本当にこの二つは似ているのか”と疑問に思う方もいるのではないでしょうか。確かにこれだけを見たらそう思われても無理はないと思います。しかし、法令には上記のほかに非常に多くの規定が存在し、類似点が多く存在しています。

では、上記の表からCCPAの特徴的でかつGDPRと大きく異なっている点に注目して深堀りしてみていきたいと思います。

(1)保護対象

まずは保護対象です。CCPAはGDPRと異なり、個人情報を提供する主体すなわち本法で保護されるべき主体を「消費者」および「世帯」としています。最初の「消費者」は、名称は異なるものの実態的には他の法令と大きな違いはないのですが、次の「世帯」というのが特徴的です。CCPAで「世帯」とは、「消費者と同居、またはサービスを共有する消費者グループ」と定義されており、昨今の家庭でのインターネット事情(Wi-fiルーターでの家内共同利用)を考慮すると非常に納得のいく対応と考えられます。

(2)対象組織

次に、法の対象組織を見てみましょう。GDPRでは「単独でまたは他と共同して、個人データの取り扱いの目的および手段を決定する組織を『管理者』」と定義しています。これに対しCCPAでは、その対象組織を「事業者」と定義していますが、この定義にはGDPRと同様の要素を含みつつ、さらに重要な基準が追加されています。その中でも特筆すべきは以下の点です。

【事業者とは】
  • ①カリフォルニア州で事業を行うものであって以下のいずれかの基準を満たすこと
    • (A)前暦年における年間総収入が2,500万米ドルを超えること
    • (B)合計かつ年間で10万の消費者または世帯についての個人情報を購入、販売または共有すること
    • (C)年間総収入の50%以上を消費者の個人情報の販売または共有から得ていること
  • ➁上記①に定める事業者を支配しまたはこれに支配され、かつ①の事業者と共通のブランドを有し、当該事業者が消費者の個人情報を共有するその相手方

①の条件は、適用除外条件が明確に示されているため、対応する企業にとって判断しやすい条件だと言えますが、問題は➁です。ここで言っていることは、共通のブランドを有し、かつ消費者の個人情報を相互に共有するグローバル企業においては、当該グループ全体がCCPAの対象となる可能性がある、ということになります。これは、日本に本社を置くグローバル企業にとっても頭の痛い内容といえるでしょう。

(3)権利行使手段の通知

GDPRでも、データ主体が持つ権利や、それらの権利行使のための手段をプライバシーポリシー等で公表することを規定していますが、CCPAでは以下の追加要件が求められています。特にホームページ開示内容の毎年更新は事業者にとって大きな負担になるといえそうです。

①プライバシーポリシーによる公表内容の12カ月ごとの更新
事業者は、消費者の権利内容とその行使手段などに加え、過去12カ月間に取得した個人情報のカテゴリー・その入手元・取得・販売・共有目的などを開示し、かつそれらの内容を12カ月毎に更新すること。
②ホームページ上でのオプトアウト手順の提供
事業者は自社のホームページ上に、”Do Not Sell or Share My Personal Information(私の個人情報を販売または共有しないで)”という文言の、視認性の高いリンクを設置し、消費者が容易に自身の個人情報の販売・共有をオプトアウトできるようにすること。
③ホームページ上での機微個人情報の利用・開示に関する制限要求手順の提供
事業者は自社のホームページ上に、“Limit the Use of My Sensitive Personal Information(私の機微個人情報の利用を制限して)”という文言の、視認性の高いリンクを設置し、消費者が容易に自身の機微個人情報の利用・開示を制限できるようにすること。

米国連邦法整備状況

それでは、米国の連邦プライバシー法の整備状況はどうなっているのでしょう。もちろん米国政府もGDPRやCCPAの動きを無視していたわけではなく、むしろ率先して連邦プライバシー法を制定すべく連邦議会が中心となって法制化に取り組んできました。しかし、連邦議会ではこれまでに2回連邦法案が提出されましたが、残念ながら上下両院の賛成を得ることはできず、現在に至っています(2025年7月時点)。現在、議会はその他法案の審議や法改正対応に追われており、しばらくは連邦プライバシー法にまで手が回らないのでは、ともいわれています。

では、なぜカリフォルニア州などの州は独自でそれだけ厳しい法令を制定・施行できたのでしょう。その背景には、米国が連邦制(Federal System)を敷いていることがあります。米国の連邦制では、連邦政府が強い力を持ち過ぎないよう、連邦政府と州政府どちらもが独立した権限を与えられています。そのため、カリフォルニア州は単独で法制度化を進めることが可能なのです。

その他州法とCCPAの動向

それではカリフォルニア州以外の州の動きを見てみましょう。前述のごとくCCPAの制定に追随して多くの州がCCPA類似のプライバシー法を制定しています。各州によって法令の適用範囲や要件が異なる(データ保護という枠組みの中に個人情報も含めている場合など)ため、正確な数を断定することは難しいものの、施行開始前のものも含めて現時点ではおよそ20州前後に達しています。

各州のプライバシー法令はCCPAに類似していますが、規定の網羅性や厳しさでいえば、依然としてCCPAが群を抜いています。ただし、CCPAは2020年のCPRAへの改正から5年が経ちその間に、最近のプライバシー保護への要求の高まりを意識した後発のプライバシー法が、違反時の制裁金を高額にするなどその規定内容を厳しくしてきています。

このような状況のなかCCPAの運用をつかさどるカリフォルニア州プライバシー保護庁(CPPA:California Privacy Protection Agency)は、CCPA規則の改正に追われています。ここでいうCCPA規則とは本来CCPAを補完するガイドラインを提供するものなのですが、現在検討されている規則には、CCPAの規定を改正する内容も含まれています。

もちろんその改正内容は厳しい方向に向かっているのですが、一部には、企業の負担軽減や運用の簡素化を意図した内容も含まれており、その改正動向が気になるところです。とは言いながら、2025年5月にパブリックコメントの募集が行われ、6月2日に締め切ったばかりで、現在もドラフト段階にあります。CPPAとしては今年の秋には制定したいと考えているようですが、今後の展開は不透明で、引き続き注視が必要です。

このように多忙なCPPAですが、この4月16日にカリフォルニア州を含めた8つの州の個人情報保護当局が、プライバシー法の実施と施行に協力する目的でコンソーシアムを設立したと発表しました。コンソーシアムは、定期的に会議を開催し、必要に応じて、メンバーの共通の利益に基づいて執行を調整するとしています。

メンバーには、CPPAと、カリフォルニア州、コロラド州、コネチカット州、デラウェア州、インディアナ州、ニュージャージー州、オレゴン州の州司法長官が名を連ねています。このような州当局の輪が強大化して大きな力を持った場合、米国の連邦プライバシー法成立にも大きな影響を及ぼすことも考えられます。今後の動きが気になるところです。

日本企業が直面する課題対応の考え方

これらの状況を踏まえ、特に米国で事業を展開している日本企業はどのようなことに留意し、どのように対応していけばよいのでしょう。大きく分けて以下二点への対応検討をお勧めしたいと思います。

(1)個人情報保護に対する基本的対応

まずは、日本の個人情報保護法に準拠した管理体制の整備と運用です。いまさらと言われそうですが、日本本社並びに海外拠点における個人情報保護管理体制の整備と運用は基本中の基本です。GDPR対応、CCPA対応と言う前にまずは足元を固めましょう。

日本がEU委員会より域外データ移転に関して十分性認定を得ているということは、日本の個人情報保護法がGDPRが要求している基本的な個人情報保護規定を網羅しているということの証でもあります。そもそも、個人情報保護法は法律ですので順守するのは国民の義務です。

法令順守をより確実なものとするには、プライバシーマーク制度に基づいてプライバシーマークを取得することも一つの選択肢ではありますが、JIS Q 15001やISO/IEC 27701規格に準じた管理体制を整備することも有効な手段と考えます。基礎が固まれば後は、個々のプライバシー法固有の要求事項への対応を導入・展開していくだけですので、効率的、効果的な導入が実現できます。

(2)CCPAに準拠したプライバシーポリシーおよびホームページの整備

次にお勧めしたいのが、CCPA固有の要求事項への対応です。それはいくつかありますが、その中で最も重要と思われるのは、本稿の(3)権利行使手段の通知で説明しています、プライバシーポリシーを含めたホームページの整備です。

ホームページは企業の顔です。消費者が欲しい情報を得たいときにまず見に行くのは会社のホームページです。そのホームページ上にCCPAが要求する情報が開示されていない、オプトアウトのためのリンクが見当たらない、というような状況を放置し続けることは会社としてリスクの増大につながります。

最後に

米国のプライバシー法規制は、州ごとに制度設計が進み、CCPAを基準とした州法制定の輪が今なお進化を続け、その動きを支援するコンソーシアムも設立されています。連邦法の成立が見通せない中、州レベルでの対応が企業のリスク管理に直結しており、特にグローバルに事業を展開する日本企業にとっては、最新の動向を継続的に把握し、柔軟に対応策を見直すことが不可欠です。

まずは自社の体制やポリシーが各州法の要件に沿っているかを点検し、特にカリフォルニア州法を基準とした整備を進めることが現実的な第一歩となるでしょう。複雑化する米国の法制度を正しく読み解き、組織としてのリスクを最小限に抑えるために、今後もこうした法規制の動向を注視し、戦略的な対応を図っていくことが求められます。

参考情報

浅井敏雄UniLaw企業法務研究所代表「注解付き California Privacy Rights Act of 2020(2020年カリフォルニア州プライバシー権法)私訳」、2023年4月5日改訂版
記事一覧

Related Articles おすすめの記事

GDPRと世界のプライバシー法規制の現在

【2024年4月】個人情報保護法 関連法令改正(Webスキミング対応)を解説

ウェブスキミング

カリフォルニア州消費者プライバシー法(CCPA)を読み解く ~日本の個人情報保護法やGDPRとの違いは何か~

グローバル越境プライバシールール(CBPR)システムの運用を開始 経産省/個人情報保護委員会

AIマネジメントシステム(AIMS)の国際規格「ISO/IEC42001」についても調査、ISMS適合性評価制度に関するアンケート調査結果を公表 ISMS-AC

個人情報の漏えい事故で重視するポイントは「丁寧な事後対応」、デジタル社会における消費者意識調査2025を公開 JIPDEC

個人データ侵害の発生、企業は何をすべきか?「Personal data breaches, what to do」を公開 EDPB

グローバル越境プライバシールール(CBPR)システムの運用を開始 経産省/個人情報保護委員会

Related Services 関連サービス

JIS Q 15001(プライバシーマーク・Pマーク) 認証取得支援サービス
サイバーセキュリティ
グローバルプライバシーデータ保護サービス
EU一般データ保護規則(GDPR)対応サービス
コンサルティング・サービス

人気記事ランキング

共同プロジェクトから19のゼロトラスト・アーキテクチャ構築例を紹介するガイダンスを公表 NIST サイバーセキュリティ格付け制度(サプライチェーン強化に向けたセキュリティ対策評価制度)の勘所と今後の展望 ~企業はどう備えるべきか~ AI規制をめぐる、世界各国と日本の動向 事業者・利用者向けフィッシング(詐欺)対策ガイドラインの2025年版を公開 フィッシング対策協議会 【共催セミナー報告】やってみよう第2弾:ランサムウェア机上訓練ワークショップ+サイバーセキュリティ関連法務~いわゆる「アクティブサイバーディフェンス」関連法にも触れて~ ISO/IEC 42001 情報技術 - 人工知能(AI)-マネジメントシステム‐ガイドライン解説 オペレジ強化に向けて「金融分野におけるITレジリエンスに関する分析レポート」を公表 金融庁 米国のプライバシー法整備の動向と厳格化が進むCCPA GSOC SOC2とは?その必要性、準拠の進め方などを解説

カテゴリ

用語集 ガイドライン コラム サイバー/デジタルリスク速報

キーワード(タグ)

サイバーセキュリティ IT-BCP デジタルリスク管理 IoT DX プライバシー保護 NIST 防衛産業 情報セキュリティ AI レジリエンス サプライチェーン 内部不正 感染症 人権

用語集

あ-か さ-な は-ま や-わ A-Z

業種(タグ)

IT 金融 卸売 製造 運輸 エネルギー 建設 医療・福祉 サービス 官公庁
メルマガバナー

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。 こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。

同意して閉じる
TOPへ戻る
Contact
Contact
お問い合わせ
Document
Document
資料ダウンロード
お電話でのお問い合わせはこちらから

03-3239-9209