自動意思決定技術の利用などを規制、サイバーセキュリティ監査の一部義務化も 米CCPA
米カリフォルニア州プライバシー保護機関(CCPA:California Privacy Protection Agency)はこのほど、2026年1月1日から発効予定の新たな規制パッケージ「CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Regulations」(CCPA更新、サイバーセキュリティ監査、リスク評価、自動意思決定技術(ADMT)、および保険規則)の条文を公開しました。この規制パッケージは、カリフォルニア州消費者プライバシー法(CCPA)およびその改正版であるCPRAに基づき、プライバシー保護の実効性を高めることを目的として策定されました。
規制パッケージは、主に5つの柱で構成されています。
1つ目は、既存のCCPA規制が更新されました。消費者が自身の権利であるアクセス権▽訂正要求▽利用と開示の制限要求—を従来よりも行使しやすくする改正がなされました。消費者がCCPAの権利を行使した際、事業者が報復措置を取ることを禁止する規定も明確化されました。
2つ目は、一定の条件を満たす企業に対して、リスク評価(RA)を義務付けます。具体的には、個人情報の販売または共有、機密性の高い個人情報(センシティブ・パーソナル・インフォメーション)の処理、自動意思決定技術(ADMT:Automated decision making Technology)の利用に当てはまる場合、対象となります。
3つ目は、重大なリスクをもたらす特定企業に対する、年次のサイバーセキュリティ監査の義務化です。具体的には、年間収益が一定額以上であり、かつ、25万以上の消費者または世帯の個人情報を処理している、あるいは5万以上の消費者の機密性の高い個人情報を処理している企業などが対象となります。
4つ目は、ADMTの活用に関する内容です。「人間の意思決定を実質的または完全に置き換える」高リスクな利用とみなされる場合に適用されます。企業は消費者に対しADMT使用を通知し、消費者はアクセスできるほか、オプトアウトできる権利を保障するよう、明確化しました。特に、消費者にとって「重大な決定」をADMTが担う場合に適用されます。重大な決定とは、入学や就職、住宅取得や保険、金融サービスなどに関する決定が含まれるとされています。
5つ目は保険会社がCCPAに準拠しなければならない場合を明確にしました。カリフォルニア州にはカリフォルニア州保険法(California Insurance Code)があります。今回の規制パッケージでは、同法に基づく規制の重複や混乱を避けるために、同法との境界線を示し、CCPA規制に従う範囲や条件を明確化しました。
