CCPA(カリフォルニア州消費者プライバシー法)

「CCPA（カリフォルニア州消費者プライバシー法）」

データ活用やDX成功に必要な考え方を、各種キーワードの解説で理解できる用語解説集です。
今回はデータ活用の今後に影響がある「CCPA」（カリフォルニア州消費者プライバシー法）について解説し、それを通じてデータ活用に関連する問題について考えます。

CCPA（カリフォルニア州消費者プライバシー法）とは

CCPAとは、California Consumer Privacy Actを略した言葉です。日本語にすると「カリフォルニア州消費者プライバシー法」になります。アメリカのカリフォルニア州が定めているカリフォルニア州に住んでいる人（住民票がある人）の個人データを守るための法律です。
住民にデータに関するプライバシーの権利を与え、個人情報を取り扱う事業者に適正な利用と管理を義務付ける法律です。違反があった場合には制裁金が科せられる可能性があるほか、民事訴訟を受ける可能性もあり、カリフォルニア州に本社や支社がなくても日本企業にも影響がありうる法律です。

カリフォルニア州の法律

アメリカの一部、カリフォルニア州が独自に定めた個人に関するデータの法律（州法）が、CCPAになります。アメリカの法律ではないの？と思われるかもしれませんが、日本の都道府県とは異なり、アメリカの各州はそれぞれ独立国家のような強い権限を持っており、それぞれの州は独自に法律を定めることができます。

カリフォルニア州はもともと消費者保護について進んだ取り組みがなされてきた地域であり、たとえば食品の安全に関する取り組み（食品や飲料水に含まれている化学物質の規制や表示で厳しい規制があるなど）や、環境保護（2035年までにガソリン車の販売を禁止するなど）でも進んだ取り組みがなされてきました。個人データの利活用についても消費者を保護する取り組みが州独自で進められています。

個人データの活用において人の権利をよりしっかり保護しようとする動きは世界各国で進んでいる流れであり、EUにおける取り組みであるGDPRと併せて、時代の流れとして話題にされることが多くなっています。今後、他の地域でも同じように個人の権利保護を重視した考え方での規制が進むことも考えられますし、GDPRやCCPAについても今後その内容がより厳しいものへと整備されることも考えられます。

日本企業にも関係することがある

カリフォルニア州の法律なら日本ではほとんど関係ないのではないか、と思えるかもしれません。しかしながら、カリフォルニアに本社がある企業や、あるいはカリフォルニアに営業拠点がある企業以外にも関係することがあります。

カリフォルニア州に住む人の権利を保護するため、カリフォルニアで自社の製品やサービスが販売されていてその顧客情報を取り扱う場合にはカリフォルニアに営業拠点がなくてもCCPAの対象になることがあります。さらにはインターネット経由でのコンテンツやサービス提供を行っている場合には、カリフォルニア州からのアクセスが十分にあり得る場合にはCCPAの対象になります。

また、カリフォルニアはアメリカにおいて最も人口が多い州であり（およそ4,000万人）、さらにはITの先進地域であるシリコンバレーやコンテンツ産業のあるハリウッドもカリフォルニア州にあります。アメリカの人口のおよそ一割であり、カリフォルニア州が国家だとすると、イギリスよりも経済規模が大きく日本とドイツに次ぐ規模の経済活動があります。

州の法律と聞くと一地方の話にも聞こえるのですが、アメリカにおける経済的な重要性はもちろん、世界全体においても無視しがたいほどの存在です。さらにはシリコンバレーやハリウッドまであるとなると、インターネット上での様々な取り組みにおいても関与せざるを得ないことが多くなるでしょう。

高額の制裁金と民事訴訟のリスク

CCPAに違反した場合には高額の制裁金が科される可能性があります。さらには民事訴訟による巨額賠償に発展する可能性もあり、違反した場合のリスクが大きいことも特徴です。

違反1件ごとに最大2,500ドル、違反が故意の場合には7,500ドルの罰金が科されます。例えば問い合わせへの回答やデータ削除への対応が期限内に対応できない場合には罰金が科されます。もし個人データ1000件についての違反である場合には、故意ではなくても250万ドルもの罰金が科されうることになります。これに加えて民事訴訟による賠償金が請求される恐れもあります。

個人情報の範囲が広い

GDPRと同じく従来よりも個人情報として保護される範囲が広いのが特徴です。氏名や顔写真のような明らかにプライバシーに関するデータ以外でも、そのデータが何らかの形で個人と結びついているものであればCCPAで保護される対象になります。

例えば、IPアドレスそのものは数値ですが、それが誰かのインターネットアクセスと結びついているのならそれは個人に関するデータになります。商品の購入履歴や、地理的な移動の履歴、WebブラウズでのCookieも個人と結びついているので個人に関するデータということになります。

Cookieは、元はWeb閲覧や情報登録の利便性向上のために作られた仕組みですが、Web広告やマーケティング活動の技術的な実現手段として、インターネット上でのコンテンツの提供やサービス提供で広く使われてきました。そのCookieが保護の対象になるため、GDPRと同様にインターネット上でのビジネス活動に大きな影響が及びます。

どのような権利と義務を定めているか、GDPRとは異なる考え方

CCPAでは、消費者（カリフォルニア州の住民）にプライバシーに関する8つの権利を与え、それに対応して個人データを取り扱う事業者に8つの適正管理の義務を定めています。以下はその一部について、それらがどのようなものか紹介したものです。

開示請求権

CCPAでは、消費者が自身に関する個人データについて、どのようなデータが収集され、それはどのような目的のためであり、どのように利用されているか、また第三者へのデータの共有や販売の状況を確認できる権利を定めています。これは自分自身のデータに関する「知る権利」を実現するためのものです。

問い合わせを受けた企業はこれらに回答しなければなりません。10日以内に要求の取り扱い方針を提示し、45日以内に回答をする義務があります。オンライン以外でビジネスを行っている場合には、問い合わせを受け付ける窓口もCCPAで定める複数の受付手段（電子メール、Webフォーム、電話、書面など）で用意する必要があります。これらが満たされない場合にはCCPAの違反になり、制裁金を科される場合があり得ます。

削除権

自分自身に関するデータの削除を要求する権利です。こちらも同じく期日までに対応する必要があります。本人のデータであることを確認した上で、どのように対応したか（バックアップ以外を完全削除した、匿名化した、統計情報だけにして個人の個別データではなくした、など）も回答する必要があります。

第三者への販売を止めさせる権利

自分自身に関するデータについて、第三者への販売を止めさせる（オプトアウト）権利です。また、この要求が不可逆的な権利の喪失を生じないよう、再度許諾する（オプトイン）手段を提供することも義務付けています。

通知の義務

個人情報の収集を行う際に、そのことを通知する義務です。例えば、Cookieを取得する際には、どのような情報を取得し、何のために使うのかを通知する必要があります。

取得した情報の第三者への販売（金銭に直接変える場合だけでなく、アクセス解析サービスのようにアクセスログを使って第三者にサービス提供する場合も含まれる）を行っている場合には、それをオプトアウトする権利があることを通知する必要もあります。

良くわからないうちに結果的に同意するようなことにならないよう、解りやすい説明（技術的あるいは法律的に難解な説明ではないことなど）を示し、同意は明瞭に取る必要があります。

データのポータビリティに関する権利

自分自身に関するデータを他のサービスなどに移せる権利です。

差別の禁止

CCPAに基づく権利行使をしたことにより、商品やサービスの提供をやめることや、提供内容や条件を変えてはいけないことを定めています。

これらを実現するための義務

これらを実施するための研修を行う義務や、必要なデータを記録管理する義務、これらを実現するために合理的な水準のセキュリティを確保する義務などを負います。

GDPRとの違い

欧州のGDPRとは似ているところもありますが、保護の方針や考え方には異なるところもあります。GDPRには、政府が規制をすることで国民の権利が保護された社会を生み出そうとする傾向があるように思え、CCPAはデータに関する個人の権利を擁護する考え方があるように思え、この違いは欧州とアメリカの国家自体の考え方の違いが表れているようにも思えます。

例えば、GDPRでは域外へのデータ移転はそれそのものが違法（日本はEUと同等の保護がなされているとされてその例外になっています）とされていますが、CCPAではその個人の同意があれば可能となっています。GDPRの巨額制裁金のリスクは主として公的機関によるものが想定されるように思いますが、CCPAでは加えて消費者が自分自身で訴える権利を擁護することも想定しており、集団訴訟による巨額賠償のリスクがあります。

いずれにしても、規則細部の具体的な規定においてはGDPRとは同一ではなく違いがあるため、GDPR対応をしたのでCCPAの対応もできているとみなすことは出来ない状況にあります。

各国ごとに様々な規制がある

巨額の制裁金を科されることもあるということで欧州のGDPRやCCPAが注目されていますが、他の国（やアメリカの他の州）にもデータに関する法的規制が存在します。日本でも個人情報保護法を守らなければいけません。中国やインドなどにも独自の決まりがあり、個人情報以外に安全保障上のデータの取り扱い制限があることもあります。

各国ごとに課されるデータに関する様々な決まりを守る必要が生じてきています。さらには、GDPRやCCPAについても今後、規制の内容がアップデートされて現時点では十分な対策が十分ではなくなることもあるかもしれません。

各国でルールに違いがあると不便なので、何かしらの形で統一は進むことでしょう。しかし、データや個人の権利に関する考え方の違いが根本にある場合には、それは本質的な違いなので、今後も各国での違いは残るはずです。

データ活用でのより一層の配慮が必要に

データ活用に取り組む場合、このような各国での事情を踏まえた上で、どこから取得したどこの国や州の住民のデータを、今どこに保存しているか（保存している場所の法律）、そのデータの処理をどこでどのように行うのかを意識する必要があります。

また、データ活用で考慮すべきことは個人データの保護の観点だけではありません。データ活用が所定の成果を出すためにどのようなデータが必要か、技術的にどのようにデータを置かざるを得ないかなど技術的な観点も当然考慮する必要があります。

さらに、自社で保有するのかしないのか、クラウドに預けるならどのサービスにどのように預けるのか。大災害によるデータ喪失などにどう備えるか、他社と協力している事業でデータをどのように共有するかなど、考えなければいけないことが多々あります。

データを自在に取ってきて活用できる手段はありますか？

データ活用というと、分析機能など処理能力に注目されがちです。データとは社内外のあちこちにバラバラの形式で散在しがちであり、そのままでは十分な活用ができないことがほとんどです。

多種多様なデータソースに接続してデータを取得し、必要に応じて連携できる「つなぐ」機能の整備がデータ活用では必要になります。これはデータ活用そのものの実現のみならず、CCPAやGDPRなどに対応できる体制の実現にも必要になってきます。

しかし、そのような様々なデータ連携ニーズに対し、それを担うIT基盤を自社開発により整備すると大変なことになりがちであり、刻々発生し変化するデータのニーズに素早く対応することも困難になります。

「EAI」や「ETL」と呼ばれるソフトウェア、あるいは「iPaaS」と呼ばれるクラウドサービスが、そのような状況をうまく解決する手段として活用できます。GUI上で接続先のアイコンを配置して各種設定をするだけで、クラウドからオンプレミスまで、多種多様なデータやシステムに連携をし、データへのアクセスやデータの転送、あるいはデータを用いた処理やデータの加工などを行うことができます。

関係するキーワード（さらに理解するために）

• GDPR（EU一般データ保護規則）
  • 欧州連合（EU）における「個人に関するデータ」の取り扱いについて、配慮しなければいけないことを定めた規則です。EUの考える、人権に配慮してデータを取り扱うためには、どのようなことができていなければいけないかついて規則として定めたものと言えます。
• EAI
  • システム間をデータ連携して「つなぐ」考え方で、様々なデータやシステムを自在につなぐ手段です。IT利活用をうまく進める考え方として、クラウド時代になるずっと前から、活躍してきた考え方です。
• ETL
  • 昨今盛んに取り組まれているデータ活用の取り組みでは、データの分析作業そのものではなく、オンプレミスからクラウドまで、あちこちに散在するデータを集めてくる作業や前処理が実作業の大半を占めます。そのような処理を効率的に実現する手段です。
• iPaaS
  • 様々なクラウドを外部のシステムやデータと、GUI上での操作だけで「つなぐ」クラウドサービスのこと。

「iPaaS」や「つなぐ」技術に興味がありますか？

オンプレミスにあるITシステムからクラウドサービスまで、様々なデータやシステムを自在に連携し、IT利活用をうまく成功させる製品を実際に試してみてください。

「つなぐ」ツールの決定版、データ連携ソフトウェア「DataSpider」および、データ連携プラットフォーム「HULFT Square」

当社で開発販売しているデータ連携ツール「DataSpider」は長年の実績がある「つなぐ」ツールです。データ連携プラットフォーム「HULFT Square」はDataSpiderの技術を用いて開発された「つなぐ」クラウドサービスです。

通常のプログラミングのようにコードを書くこと無くGUIだけ（ノーコード）で開発できるので、自社のビジネスをよく理解している業務の現場が自ら活用に取り組めることも特徴です。

DataSpider / HULFT Squareの「つなぐ」技術を試してみてください：

簡易な連携ツールならば世の中に多くありますが、GUIだけで利用でき、プログラマではなくても十分に使える使いやすさをもちつつ、「高い開発生産性」「業務の基盤（プロフェッショナルユース）を担えるだけの本格的な性能」を備えています。

IT利活用の成功を妨げている「バラバラになったシステムやデータをつなぐ」問題をスムーズに解決することができます。無料体験版や、無償で実際使ってみることができるオンラインセミナーも開催しておりますので、ぜひ一度お試しいただけますと幸いです。

• 無料体験セミナーはこちら

「HULFT Square」で貴社のビジネスが変えられるか「PoC」をしてみませんか：

貴社のビジネスで「つなぐ」がどう活用できるのか、データ連携を用いた課題解決の実現可能性や得られる効果検証を行ってみませんか？

• SaaSとのデータ連携を自動化したいが、その実現可能性を確認したい
• データ利活用に向けて進めたいがシステム連携に課題がある
• DXの実現に向けてデータ連携基盤の検討をしたい

• PoCプログラム | HULFT Square

用語集 コラム一覧

英数字・記号

• 2025年の崖
• 5G
• AI
• API【詳細版】
• API基盤・APIマネジメント【詳細版】
• BCP
• BI
• BPR
• CCPA(カリフォルニア州消費者プライバシー法)【詳細版】
• Chain-of-Thoughtプロンプティング【詳細版】
• ChatGPT（Chat Generative Pre-trained Transformer）【詳細版】
• CRM
• CX
• D2C
• DBaaS
• DevOps
• DWH【詳細版】
• DX認定
• DX銘柄
• DXレポート
• EAI【詳細版】
• EDI
• EDINET【詳細版】
• ERP
• ETL【詳細版】
• Excel連携【詳細版】
• Few-shotプロンプティング / Few-shot Learning【詳細版】
• FIPS140【詳細版】
• FTP
• GDPR（EU一般データ保護規則）【詳細版】
• Generated Knowledgeプロンプティング（知識生成プロンプティング）【詳細版】
• GIGAスクール構想
• GUI
• IaaS【詳細版】
• IoT
• iPaaS【詳細版】
• MaaS
• MDM
• MFT（Managed File Transfer）【詳細版】
• MJ+（行政事務標準文字）【詳細版】
• NFT
• NoSQL【詳細版】
• OCR
• PaaS【詳細版】
• PCI DSS【詳細版】
• PoC
• REST API（Representational State Transfer API）【詳細版】
• RFID
• RPA
• SaaS（Software as a Service）【詳細版】
• SaaS連携【詳細版】
• SDGs
• Self-translateプロンプティング /「英語で考えてから日本語で答えてください」【詳細版】
• SFA
• SOC（System and Organization Controls）【詳細版】
• Society 5.0
• STEM教育
• The Flipped Interaction Pattern（解らないことがあったら聞いてください）【詳細版】
• UI
• UX
• VUCA
• Web3
• XaaS（SaaS、PaaS、IaaSなど）【詳細版】
• XML
• ZStandard（可逆データ圧縮アルゴリズム）【詳細版】

あ行

• アバター
• 暗号資産
• イーサリアム
• エラスティック（弾力性・伸縮自在）【詳細版】
• オートスケール
• オープンデータ（open data）【詳細版】
• オンプレミス【詳細版】

か行

• カーボンニュートラル
• 仮想化
• ガバメントクラウド【詳細版】
• 可用性
• 完全性
• 機械学習【詳細版】
• 基幹システム
• 機密性
• キャッシュレス決済
• 共通鍵暗号 / DES / AES（Advanced Encryption Standard）【詳細版】
• 業務自動化
• クラウド
• クラウド移行
• クラウドネイティブ【詳細版】
• クラウドファースト
• クラウド連携【詳細版】
• 検索拡張生成（RAG：Retrieval Augmented Generation）【詳細版】
• コンテキスト内学習（ICL: In-Context Learning）【詳細版】
• コンテナ【詳細版】
• コンテナオーケストレーション【詳細版】

さ行

• サーバレス（FaaS）【詳細版】
• サイロ化【詳細版】
• サブスクリプション
• サプライチェーンマネジメント
• シンギュラリティ
• シングルサインオン（SSO：Single Sign On）【詳細版】
• スケーラブル（スケールアップ/スケールダウン）【詳細版】
• スケールアウト
• スケールイン
• スマートシティ
• スマートファクトリー
• スモールスタート（small start）【詳細版】
• 生成AI（Generative AI）【詳細版】
• セルフサービスBI（ITのセルフサービス化）【詳細版】
• 疎結合【詳細版】

た行

• 大規模言語モデル（LLM：Large Language Model）【詳細版】
• ディープラーニング
• データ移行
• データカタログ
• データ活用
• データガバナンス
• データ管理
• データサイエンティスト
• データドリブン
• データ分析
• データベース
• データマート
• データマイニング
• データモデリング
• データリネージ
• データレイク【詳細版】
• データ連携 / データ連携基盤【詳細版】
• デジタイゼーション
• デジタライゼーション
• デジタルツイン
• デジタルディスラプション
• デジタルトランスフォーメーション
• デッドロック/ deadlock【詳細版】
• テレワーク
• 転移学習（transfer learning）【詳細版】
• 電子決済
• 電子署名【詳細版】

な行

• ニューラルネットワーク
• ノーコード開発（No-code development）【詳細版】

は行

• ハイブリッドクラウド
• バッチ処理
• 非構造化データ
• ビッグデータ
• ファイル連携【詳細版】
• ファインチューニング【詳細版】
• プライベートクラウド
• ブロックチェーン
• プロンプトテンプレート【詳細版】
• ベクトル化 / エンベディング（Embedding）【詳細版】
• ベクトルデータベース（Vector database）【詳細版】

ま行

• マーケットプレイス
• マイグレーション
• マイクロサービス（Microservices）【詳細版】
• マネージドサービス【詳細版】
• マルチテナント
• ミドルウェア
• メタデータ
• メタバース

や行

ら行

• リープフロッグ現象（leapfrogging）【詳細版】
• 量子コンピュータ
• ルート最適化ソリューション
• レガシーシステム / レガシー連携【詳細版】
• ローコード開発（Low-code development）【詳細版】
• ロールプレイプロンプティング / Role-Play Prompting【詳細版】

わ行

• ワークフロー

» データ活用コラム一覧

おすすめコンテンツ

Related Content