米カリフォルニア州プライバシー保護局(CPPA)は、2026年1月1日に発効する一連の強化されたカリフォルニア州消費者プライバシー法(CCPA)要件を発表した。Secure Privacyが詳細を解説している。
これらの変更は、自動意思決定技術やオプトアウト確認の義務化など、幅広い分野を対象としている。新しい規制は、プライバシーチーム、法務部門、コンプライアンス責任者に大きな影響を与えると予想されており、コストのかかる執行措置を回避するために、これらの変更を十分に理解し、実装する必要がある。
CPPAは、2025年には記録的な罰金が130万ドルを超え、複数の州にまたがる企業を対象とした共同調査が実施されるなど、執行が強化されていることを明確に示している。規制環境は根本的に変化しており、企業はコンプライアンスを維持するためにこれらの変化に適応する必要がある。主な変更点としては、オプトアウト確認要件を任意から必須に変更すること、データアクセス期間を延長すること、そして保険会社に対するCCPAの明示的な適用範囲を初めて導入することなどが挙げられる。
新規制では、自動意思決定技術(ADMT)要件とサイバーセキュリティー監査の段階的な実施期限も導入される。データブローカーに追加の義務を課すDELETE法も施行される。企業は2026年8月1日から45日ごとに削除リクエストオプトアウトプラットフォーム(DROP)システムにアクセスする必要がある。
カリフォルニア州の消費者は、2026年に重要な新たな能力を獲得する。企業が金融サービス、住宅、教育、雇用、医療に関する重要な意思決定にテクノロジーを利用する場合、自動化された意思決定からのオプトアウト権が適用される。消費者はまた、ADMT手法に関する情報の請求、自動化された意思決定への異議申し立て、そして限られた例外を除きADMT処理からの完全なオプトアウトが可能になる。センシティブな個人情報の定義も拡大され、神経データも含まれるようになる。これは、新興技術とプライバシー権の交差を反映している。
新たな規制の下、企業はより広範な義務を負うことになる。プライバシーポリシーでは開示内容の拡大が求められ、サービスプロバイダーとの契約は、新たなADMT義務およびサイバーセキュリティー監査協力要件に対応するために改訂される必要がある。6つの「重大なリスク」活動のために個人情報を処理する企業は、正式なリスク評価を実施する必要があり、より大規模な組織はサイバーセキュリティー監査の実施が義務付けられる。
新しい規制は、3つの基準のいずれかを満たす営利企業に適用される。これらの基準には、年間総売上高が2,662万5,000ドルを超える企業、年間売上高の50%以上を個人情報の販売または共有から得ている企業、および年間10万人以上のカリフォルニア州居住者または世帯の個人情報を処理する企業が含まれる。CCPAの管轄権は、事業拠点を問わず、これらの基準を満たし、カリフォルニア州居住者のデータを処理する全ての企業に適用される。
新しい規制は、カリフォルニア州のプライバシー法における重大な転換を表しており、事後対応型のコンプライアンスから戦略的なガバナンス要件へと移行している。企業は、消費者の信頼を築き、強制措置を回避し、プライバシーをコストセンターではなく競争上の優位性として位置付けるために、これらの要件をコンプライアンス上の負担ではなく、業務上の必須事項として扱う必要がある。
この製品の詳細については、Secure Privacy製品ページをご覧ください。
