GDPR対CCPA:主要な相違点を解説(2026年)
EU規則(EU)2016/679(GDPR)は、個人データの処理を開始する前に文書化された適法根拠を必要とするため、オプトイン型の枠組みとなっている。カリフォルニア州のCCPA(カリフォルニア州民法典第1798.100条に規定)は、デフォルトでのデータ収集を認め、消費者にオプトアウトする権利を与えている。この構造上の違いが、両法を分ける根本的な線引きとなっている。
EUの一般データ保護規則(GDPR)と、カリフォルニア州消費者プライバシー法(CCPA)がカリフォルニア州プライバシー権法(CPRA)によって根本的に再構築された消費者プライバシー制度は、英語圏で最も影響力のある二つのデータプライバシーの枠組みである。両法とも、個人に対して自己の個人情報に関する実質的なコントロールを与えている。この大きな共通点を超えると、両法は適用範囲、理念、同意モデル、執行の仕組み、そして事業者に課される具体的義務において大きく異なっている。
本ガイドでは、GDPRとCCPA/CPRAのあらゆる主要な側面を比較し、CPPAが2025年9月に確定した自動意思決定に関する規則制定を織り込んだうえで、両方の枠組みを満たす必要がある事業者向けの実務的な指針で締めくくる。
クイックアンサー
GDPRは、EU/EEA居住者のデータを処理するほぼすべての組織を対象とする、オプトイン・許可制の枠組みである。CCPA/CPRAは、定められた規模基準を満たす営利のカリフォルニア州事業者を対象とする、オプトアウト型の枠組みである。GDPRの制裁金は最高額でCCPAの制裁金をはるかに上回るが、カリフォルニア州の専門執行機関であるCPPAは、2024年以降、執行のペースを大幅に加速させている。
二つの制度の概要
| 特徴 | GDPR | CCPA/CPRA |
|---|---|---|
| 制定/施行 | 2018年5月25日 | 2020年1月1日(CCPA);2023年1月1日(CPRA改正) |
| 地理的適用範囲 | EU/EEA+域外適用 | カリフォルニア州居住者+域外適用 |
| 対象となる主体 | ほぼすべてのデータ管理者・処理者 | 基準を満たす営利事業者 |
| 収益基準 | なし | 年間総収益2,500万ドル超 |
| データ量基準 | なし | 年間10万人以上の消費者または世帯 |
| 販売収益基準 | なし | 年間収益の50%以上が個人情報の販売・共有由来 |
| 同意モデル | オプトイン(適法根拠が必要) | オプトアウト |
| DPO義務 | あり(一定の組織) | なし |
| 侵害通知 | 監督機関へ72時間以内 | 「最も迅速に可能な時期」(別途カリフォルニア州法) |
| 制裁金上限 | 2,000万ユーロまたは全世界売上高の4% | 故意の違反1件につき7,500ドル |
| 個人の訴訟提起権 | 限定的、加盟国により異なる | あり、対象となるデータ侵害について |
| 専門執行機関 | EU/EEA加盟27か国以上のDPA | カリフォルニア・プライバシー保護局(CPPA) |
| ADMTオプトアウト権 | 人による審査を受ける権利(第22条) | ADMTのオプトアウト権(CPRA+2025年規則) |
適用範囲と対象事業者
GDPRの域外適用
法人設立地や物理的所在地にかかわらず、欧州経済領域内の個人の個人データを処理するあらゆる組織にGDPRは適用される。EU域内に顧客を持つシカゴ拠点のSaaS企業はGDPRの対象となる。EU消費者を対象としたウェブサイトを運営する日本の電子機器メーカーもGDPRの対象となる。第3条はこの域外適用を明確に定めており、EEA域内の個人に商品・サービスを提供する、またはEEA域内でその行動を監視する組織に本規則が適用されるとしている。
GDPRの適用範囲に該当するEU/EEA域外の組織は、狭い例外に該当しない限り、第27条に基づきEU代理人を選任しなければならない。
CCPA/CPRAの閾値モデル
2020年1月1日に施行され、CPRA(2020年11月にカリフォルニア州民の投票により承認された住民提案24号で、大半の改正は2023年1月1日に施行)により大幅に改正されたCCPAは、カリフォルニア州居住者から個人情報を収集し、かつ以下の三つの基準のうち少なくとも一つを満たす営利事業者に適用される。
- 年間総収益が2,500万ドルを超える
- 商業目的で年間10万人以上の消費者または世帯の個人情報を売買・受領・共有する
- 消費者の個人情報の販売または共有から年間収益の50%以上を得ている
非営利団体および政府機関はCCPA/CPRAの適用範囲から完全に除外される。これに対しGDPRは、純粋に個人的または家庭内の活動に対する狭い例外を除き、非営利団体、公的機関、中小企業を含む、個人データを取り扱うほぼすべての組織を対象としている。
定義:「個人データ」と「個人情報」
GDPR:広範な個人本位の定義
GDPRは「個人データ」を、識別された、または識別され得る自然人に関するあらゆる情報と定義している。この意図的に広範な定義は、氏名、識別番号、位置情報、オンライン識別子(IPアドレス、クッキーID)、および身体的、生理学的、遺伝的、精神的、経済的、文化的または社会的アイデンティティに固有の要素を対象とする。再識別できない集計・匿名化データはこの定義の対象外だが、仮名化データは一般に対象外とはならない。
第9条は、人種的・民族的出自、政治的意見、宗教的・思想的信条、労働組合への加入、遺伝データ、識別目的で処理される生体データ、健康データ、性生活または性的指向に関するデータを明らかにする情報について、より高い保護水準を持つ「特別カテゴリー」の階層を設けている。特別カテゴリーのデータの処理には、明示的な同意またはその他の特定の法的根拠が必要となる。
CCPA/CPRA:消費者および世帯情報の範囲
CCPAは「個人情報」を、特定の消費者または世帯を識別し、それに関連し、それを説明し、それに合理的に結び付けられ得る、またはそれに合理的に紐付け得る情報と定義している。GDPRの定義との顕著な違いは、CCPAが世帯レベルのデータを明示的に対象としている点、そして消費者が一般に公開することに合理的に同意していたと事業者が合理的に信じる根拠のある公開情報を除外している点である。
CPRAによる改正は、GDPRの特別カテゴリーの一部と重なる「機微個人情報」というカテゴリーを新設した。CPRA上の機微個人情報には、社会保障番号、金融口座の詳細、正確な位置情報、人種的・民族的出自、宗教的信条、通信の内容、遺伝データ、識別目的で処理される生体データ、健康情報、性生活または性的指向に関するデータが含まれる。CPPAの2025年規則は、機微個人情報の範囲をさらに拡大し、神経データおよび事業者が16歳未満であると認識している消費者の個人情報を追加した。
| データの概念 | GDPR | CCPA/CPRA |
|---|---|---|
| 中核となる保護対象データ | 個人データ(識別された/識別され得るあらゆる自然人) | 個人情報(消費者または世帯) |
| 世帯データ | 明示的には含まれない | 含まれる |
| 公開情報 | 個人を識別する場合は依然として個人データ | 定義から除外 |
| 従業員・B2Bデータ | 全面的に対象 | 対象(CPRAが2023年1月付で暫定的な適用除外を撤廃) |
| 高度な機微カテゴリー | 特別カテゴリー(第9条) | 機微個人情報(CPRA) |
| 神経データ | 健康/生体データとして対象 | 2025年CPPA規則により明示的に追加 |
同意モデル:オプトインとオプトアウト
これは両制度間で最も先鋭な理念上の分断である。
GDPR:許可制(オプトイン)モデル
GDPRは許可制のモデルで運用される。組織は、第6条に定める六つの適法根拠(同意、契約履行、法的義務、生命に関する利益、公共の任務、正当な利益)のいずれかを確立しない限り、個人データを処理することができない。適法根拠は処理を開始する前に特定され、文書化されていなければならない。
同意が選択された根拠である場合、第7条は、それが自由に与えられ、具体的であり、十分な情報に基づき、かつ不明瞭でないことを求める。あらかじめチェックが入ったボックス、沈黙、そして抱き合わせの同意は無効である。特別カテゴリーのデータおよび子どものデータについて、GDPRは明示的な同意、すなわち単に同意を示唆するにすぎない行為ではなく、積極的な意思表示を求める。
CCPA/CPRA:行為ベースのオプトアウトモデル
CCPAは、大半の処理についてオプトアウトモデルを採用している。事業者は事前の同意なしに個人情報を収集・利用できるが、(1)プライバシー通知においてデータ取扱いの実務を開示すること、(2)「私の個人情報を販売または共有しないでください」というリンクを提供すること、(3)消費者からのオプトアウト要求を尊重すること、が義務付けられている。CPRAは、機微個人情報の利用を制限する権利を追加しており、これは対象を絞ったオプトアウトとして機能する。
注目すべき二つのオプトイン例外がある。事業者は、16歳未満であると認識している消費者の個人情報を販売・共有する前にオプトイン同意を取得しなければならず(13歳未満については保護者の同意が必要)、また、少なくとも12か月間オプトアウトしていた消費者に再度アプローチするにはオプトイン同意が必要である。
| 同意の側面 | GDPR | CCPA/CPRA |
|---|---|---|
| デフォルトの姿勢 | 適法根拠が確立されるまで処理は禁止 | 処理は許可される。消費者はオプトアウト可能 |
| 同意が用いられる場面 | 自由に与えられ、具体的で、十分な情報に基づき、不明瞭でないことが必要 | 大半の処理には不要 |
| 子ども | 16歳未満は保護者の同意(加盟国は13歳まで引き下げ可) | 16歳未満のデータの販売・共有にはオプトインが必要 |
| 機微データ | 明示的な同意または特定の適用除外が必要(第9条) | 利用を制限する権利(オプトアウトモデル) |
| オプトアウト後の再アプローチ | 相当する規定なし(撤回は同意と同程度に容易でなければならない) | 12か月の待機期間の後に再度依頼可能 |
消費者の権利とデータ主体の権利の比較
両法とも、個人に一連のプライバシー上の権利を付与している。GDPRの権利はより広範であり、適用除外の根拠はより限定的である。
| 権利 | GDPR | CCPA/CPRA |
|---|---|---|
| 知る権利/アクセス権 | あり(第15条) | あり(CPRAにより12か月分をカバーするよう拡充) |
| 削除権/消去権 | あり、「忘れられる権利」(第17条) | あり、事業者側の例外がより多い |
| 訂正権 | あり(第16条) | 相当する規定なし |
| データポータビリティの権利 | あり(第20条) | あり(CPRAにより追加) |
| 処理制限権 | あり(第18条) | 機微個人情報に限定 |
| 異議申立権 | あり(第21条) | 直接相当する規定なし |
| 販売のオプトアウト権 | 「販売」という概念なし | あり、CCPAの中核的権利 |
| 共有のオプトアウト権 | 「共有」という概念なし | あり(CPRAにより追加) |
| 機微データ利用の制限権 | 第9条の制限により規律 | あり(CPRAにより追加) |
| 差別を受けない権利 | 一般的な平等原則 | 明示的な権利。開示を条件にインセンティブ制度が許容される |
| 自動意思決定 | 人による審査を受ける権利。異議を申し立てる権利(第22条) | ADMTのオプトアウト権に加えアクセス権(CPRAおよび2025年規則) |
GDPR第22条の完全な自動意思決定に対する権利は、一点においてより強力である。それはデフォルトで適用され、これを覆すには積極的な正当化が必要である。CCPA/CPRAのADMTオプトアウト権はオプトアウト型の権利であり、消費者がオプトアウトを行使するまで、事業者はADMTを利用し続けることができる。
機微個人情報
両制度とも、より高い保護を受けるデータの上位カテゴリーを設けているが、その定義と規律の方法は異なる。
GDPRのもとでは、「特別カテゴリー」のデータの処理はデフォルトで禁止されている。これを処理するためには、組織は第6条に基づく適法根拠と、第9条に基づく特定の条件、すなわち明示的な同意、雇用法上の義務、同意を得られない場合の生命に関する利益、または非営利団体の正当な活動などの双方を特定しなければならない。個人を一意に識別する目的で処理される生体データは特別カテゴリーに該当する。
CCPA/CPRAのもとでは、消費者は事業者に対し、機微個人情報の利用・開示を、収集目的またはその他特に許容された用途に限定するよう指示する権利を有する。事業者は「私の機微個人情報の利用を制限してください」というリンク(「販売または共有をしない」リンクと統合してもよい)を提供しなければならない。CPPAの2025年規則は、機微個人情報の範囲を神経データにまで拡大し、16歳未満であると認識されている未成年者の個人情報を明示的に含めた。
執行と制裁
GDPRにおける執行
GDPRは、EU/EEA加盟各国の独立したデータ保護機関(DPA)によって執行される。第83条は二段階の制裁金体系を定めている。
- 下位区分(最大1,000万ユーロまたは全世界年間売上高の2%):データ管理者・処理者の義務、認証規則、監視機関規則に関する違反
- 上位区分(最大2,000万ユーロまたは全世界年間売上高の4%):データ処理の基本原則、同意条件、データ主体の権利、国際移転規則に関する違反
2025年初頭までに、GDPR制裁金の累計総額は58億ユーロを超えていた。近年の注目すべき執行事例には、2023年5月にアイルランドのデータ保護委員会が米国への違法なデータ移転を理由にMetaに科した12億ユーロの制裁金(過去最大の単独GDPR制裁金)、そして2024年10月に行動ターゲティング広告のための違法な処理を理由にLinkedInに科された3億1,000万ユーロの制裁金が含まれる。
CCPA/CPRAにおける執行
カリフォルニア州司法長官は、2020年7月1日の執行開始日から2023年半ばまでCCPAを執行してきた。カリフォルニア・プライバシー保護局(CPPA)は2023年7月に主要な執行権限を引き継ぎ、米国初の州レベル専門プライバシー執行機関となった。
CCPA/CPRAにおける制裁金は次のとおりである。
- 過失による違反1件につき最大2,500ドル
- 故意による違反、または未成年者の個人情報に関わる違反1件につき最大7,500ドル
- CPPAは消費者物価指数の変動を反映するため、奇数年の1月に制裁金額を調整する
CPPAの執行ペースはかなり加速している。2025年の注目すべき和解事例には以下が含まれる。
- トラクター・サプライ・カンパニー: CCPA違反により135万ドル
- アメリカン・ホンダ・モーター: CCPA違反により63万2,500ドル(当時、同法の歴史上2番目に高額な制裁金)
- トッド・スナイダー: オプトアウト権を行使する前に本人確認を求めるなど、プライバシーポータルを不適切に運用したことにより34万5,178ドル
| 執行の側面 | GDPR | CCPA/CPRA |
|---|---|---|
| 執行機関 | 各国のDPA(EU/EEA域内27か国以上) | カリフォルニア州司法長官およびCPPA |
| 制裁金上限 | 2,000万ユーロまたは全世界年間売上高の4% | 故意の違反1件につき7,500ドル |
| 是正期間 | 是正期間の法定義務なし | 30日間の是正期間(司法長官による執行のみ。CPPAの執行には是正の権利なし) |
| 越境の仕組み | 主導DPAによるワンストップショップ | カリフォルニア州の管轄のみ |
| 個人の訴訟提起権 | 限定的(加盟国により異なる。第82条) | あり、対象となるデータ侵害について(カリフォルニア州民法典第1798.150条) |
個人による訴訟提起権(プライベート・ライト・オブ・アクション)
両法とも個人による一定の訴訟提起権を定めているが、その範囲は大きく異なる。
GDPR第82条
GDPR第82条は、GDPR違反の結果として物質的または非物質的損害を被った者に対し、データ管理者または処理者から賠償を受ける権利を付与している。実務上、GDPR上の損害賠償を求める集団訴訟の可否と範囲は加盟国によりかなり異なり、EU法は統一的な集団訴訟の仕組みを課していない。
CCPA第1798.150条
CCPAの訴訟提起権は、GDPRの一般的な賠償請求権よりも狭い。カリフォルニア州民法典第1798.150条のもとでは、消費者は、事業者が合理的なセキュリティを実施しなかったことに起因する、暗号化またはマスキングされていない個人情報(またはパスワードもしくはセキュリティ質問と組み合わされたメールアドレス)に関わる対象データ侵害についてのみ訴訟を提起できる。法定損害賠償額は消費者1人・1件当たり100ドルから750ドルの範囲、またはそれより高い場合は実損害額となる。
訴訟提起権は、データ侵害の文脈以外での消費者のアクセス、削除、オプトアウト、その他のCCPA上の権利に関する違反には及ばない。これらの違反は、CPPAまたは州司法長官によってのみ執行される。
2025年、カリフォルニア州の複数の連邦地方裁判所の判決は、サードパーティ・トラッキング技術が個人情報の無許可の開示を構成する状況にまで訴訟提起権が拡張される可能性を示唆した。これらの事案はプライバシー実務家によって注視されている。
CPPAによる2025年規則:ADMT、リスクアセスメント、サイバーセキュリティ監査
CPPA理事会は2025年7月24日に包括的な規則を採択した。カリフォルニア州行政法局はこれを2025年9月22日に承認・登録した。これらの規則は、CPRA施行以来最も重要なカリフォルニア州プライバシー制度の拡張を意味する。
自動意思決定技術(ADMT)
2025年のADMT規則は、CPRAによって導入された消費者の権利を実施するものである。ADMTとは、個人情報を処理し、計算を用いて意思決定を実行し、人による意思決定に代替し、または人による意思決定を実質的に補助する、あらゆる技術を意味する。
この規則は、重要な意思決定にADMTを利用する事業者に対して、消費者に二つの権利を付与している。
- オプトアウトの権利:雇用適格性、信用に関する判断、住宅、医療、教育へのアクセスを含む、消費者に影響を及ぼす重要な意思決定に事業者がADMTを利用することについて。
- アクセスの権利:関与するロジックおよび出力の重要性を含む、ADMTがどのように利用されているかに関する情報について。
重要な意思決定にADMTを利用する事業者は、2026年1月1日から遵守しなければならない。広告ターゲティングのためにADMTを利用する事業者には、規則上、別途の遵守スケジュールが定められている。
この権利は、GDPRの第22条の権利と概念的には類似しているが、構造的には異なる。GDPR第22条は、三つの特定の条件のいずれかが満たされない限り、法的効果または同様に重大な効果を生じる完全な自動意思決定を禁止する。これに対しCCPA/CPRAの権利はオプトアウト型であり、消費者がこれを行使するまでADMTは稼働し続ける。
リスクアセスメント
事業者は、消費者のプライバシーに重大なリスクをもたらす一定の処理活動に着手する前に、リスクアセスメントを実施しなければならない。リスクアセスメントは従来のプライバシー影響評価と同様に機能し、文書化され、少なくとも3年ごとに見直され、処理活動に重要な変更があった場合は45日以内に更新されなければならない。事業者は2028年4月1日までに、確認書および所見の要約をCPPAに提出しなければならない。
サイバーセキュリティ監査
定められた基準を満たす事業者は、年次のサイバーセキュリティ監査を実施しなければならない。CPPAへの認証提出は段階的に行われる。
- 2028年4月1日:年間収益が1億ドルを超える事業者
- 2029年4月1日:年間収益が5,000万ドルから1億ドルの事業者
- 2030年4月1日:年間収益が5,000万ドル未満の事業者
サイバーセキュリティ監査の要件には、GDPRに直接相当する規定はないが、GDPRは第25条および第32条のもとで適切な技術的・組織的措置を要求している。
四つの規則分野すべての一般的な発効日は2026年1月1日であり、重要な意思決定に関するADMTの遵守義務は2027年1月1日まで猶予されている。
国際的データ移転
GDPRは、EEA域外への個人データの移転を厳格に規律している。組織は、EUの十分性認定を受けた国、または標準契約条項(SCC)、拘束的企業準則(BCR)、EU-米国データプライバシーフレームワークなどの仕組みを通じてのみデータを移転できる。EUの移転制度の詳細については、EUデータプライバシー法に関するガイドを参照されたい。
CCPA/CPRAは、国際的データ移転に一切の制限を設けていない。カリフォルニア州の事業者はいかなる国にも個人情報を移転できる。「販売」または「共有」に該当する移転はオプトアウト権の対象であり続け、2025年のリスクアセスメント規則は、重大なプライバシーリスクをもたらす一定の越境移転に適用される。
データ保護責任者(DPO)とコンプライアンス体制
GDPRは、一定の組織に対し、第37条に基づきデータ保護責任者(DPO)の選任を義務付けている。対象となるのは、公的機関、その中核的活動が個人に対する大規模かつ組織的な監視を伴う組織、そして特別カテゴリーのデータを大規模に処理する組織である。DPOは経営上層部に直接報告し、独立していなければならず、DPOとしての職務の遂行を理由に不利益な扱いを受けてはならない。
CCPA/CPRAは、これに相当する役職を要求していない。事業者は、定められた期間内(45日、さらに45日の延長が1回可能)に消費者からの請求に対応し、請求記録を少なくとも24か月間保持し、合理的なセキュリティ慣行を維持しなければならないが、義務付けられた内部プライバシー・ガバナンス体制は存在しない。
両法とも記録保持を要求している。GDPRの第30条は詳細な処理活動の記録(RoPA)を要求する。CCPA/CPRAは消費者からの請求とその対応方法に関する記録を要求する。
データ侵害の通知
GDPRのもとでは、組織は、個人の権利および自由にリスクをもたらす個人データ侵害を認識してから72時間以内に、監督機関に通知しなければならない。侵害が高いリスクをもたらす場合、組織は影響を受ける個人にも直接通知しなければならない。侵害通知の要件の詳細については、GDPRの概要を参照されたい。
CCPA/CPRAは独自の侵害通知規則を持たない。カリフォルニア州は既存の侵害通知法(カリフォルニア州民法典第1798.82条)に依拠しており、これは「可能な限り迅速な時期に、不当に遅延することなく」影響を受ける州民に通知することを求めている。第1798.150条に基づくCCPAの訴訟提起権は、暗号化またはマスキングされていない個人情報の侵害と特に結び付いている。
米国におけるプライバシー法制の広がり
CCPA/CPRAは孤立して登場したわけではなく、長らく唯一の存在であり続けたわけでもない。2026年初頭時点で、約20の米国州が包括的な消費者プライバシー法を制定している。インディアナ州、ケンタッキー州、ロードアイランド州の法律は2026年1月1日に施行される。2025年は新たな包括的州プライバシー法が制定されなかった、この5年間で初めての年となったが、米国の関心の中心は立法から執行および規則制定へと移っている。
他の州法のいずれも、厳格さ、消費者の権利の広さ、そして専門執行機関の存在という点で、CCPA/CPRAに匹敵するものはない。全米で事業を展開する事業者にとって、CCPA/CPRA準拠のプログラムは、各州固有の定義、基準、オプトアウトの仕組みに応じた調整を加えることで、多州対応コンプライアンスの強固な基盤となる。
本稿執筆時点で、米国には連邦レベルの包括的プライバシー法は存在しない。
両法の適用を受ける事業者のコンプライアンス対応
EU/EEA市場とカリフォルニア州市場の双方でサービスを提供する組織は、多くの場合、GDPR準拠を基軸とした統一的なプライバシープログラムを構築している。GDPRはほとんどの分野でより厳格な枠組みであるため、GDPR準拠は通常、CCPA/CPRAの基本要件の大半を満たす。逆は成り立たない。
GDPR準拠の組織であっても残るCCPA/CPRA固有の主な義務は次のとおりである。
- ホームページおよびプライバシーポリシー上の**「私の個人情報を販売または共有しないでください」リンク**(GDPRに相当する規定なし)
- 「私の機微個人情報の利用を制限してください」リンク(または統合されたリンク)
- **金銭的インセンティブの開示:**データ収集に結び付いた特典や価格差を提供する事業者は、その価値の算定根拠を説明しなければならない
- ADMTのオプトアウトおよびアクセス通知(重要な意思決定については2027年1月1日発効)
- 一定の高リスク処理活動に対するリスクアセスメント(2026年1月1日発効)
- 収益およびデータ処理の基準を満たす場合の年次サイバーセキュリティ監査
- GDPRの処理者契約文言に加えて、CCPA固有の用語を用いたサービス提供者契約
二重コンプライアンスプログラムのGDPR側については、EUデータプライバシー法の概要およびGDPRが何を要求しているかに関するガイドを参照されたい。
最新の動向
2025年9月: CPPAはADMT、サイバーセキュリティ監査、リスクアセスメント、およびCCPA更新規則を確定した。一般的な発効日は2026年1月1日。重要な意思決定に関するADMTの遵守は2027年1月1日まで猶予。
2025年のCPPAによる執行: 同局はアメリカン・ホンダ(63万2,500ドル)、トラクター・サプライ・カンパニー(135万ドル)、トッド・スナイダー(34万5,178ドル)などと和解した。CPPAは2025年年次報告書の時点で、数百件の調査が進行中であると報告している。
2024年10月: アイルランドのDPCは、行動ターゲティング広告のための違法な処理を理由に、LinkedInに3億1,000万ユーロの制裁金を科した。2025年初頭までにGDPR制裁金の累計額は58億ユーロを超えた。
2025年1月: CPPAは消費者物価指数の上昇を反映してCCPAの制裁金額を調整した。神経データが機微個人情報の定義に追加された。
2026年1月1日: インディアナ州、ケンタッキー州、ロードアイランド州の包括的プライバシー法が施行され、包括的プライバシー法を有する米国州の総数は約20に達する。
Frequently Asked Questions
CCPA/CPRAはカリフォルニア州外の事業者にも適用されますか。
はい。CCPA/CPRAは、事業者の所在地にかかわらず、カリフォルニア州居住者から個人情報を収集し、かつ三つの基準(収益2,500万ドル超、年間10万人以上の消費者データ、または収益の50%以上がデータの販売・共有由来)のうち少なくとも一つを満たす、あらゆる営利事業者に適用される。カリフォルニア州内に物理的拠点を持たなくても、カリフォルニア州の顧客を有し、対象となるウェブサイトを運営していれば適用対象となり得る。
一つの事業者がGDPRとCCPA/CPRAの双方の適用を受けることはありますか。
はい。EU/EEA域内の個人の個人データを処理し、かつCCPAの基準を満たすカリフォルニア州居住者から個人情報を収集する事業者は、両法を遵守しなければならない。多くの多国籍企業は、GDPRの要件を基軸とした統一的なプライバシープログラムを構築し、その上にCCPA/CPRA固有の義務を積み重ねている。
どちらの法律の制裁金がより厳格ですか。
GDPRの制裁金上限ははるかに高く、2,000万ユーロまたは全世界年間売上高の4%のいずれか高い方となる。CCPA/CPRAの制裁金は故意の違反1件につき7,500ドルが上限である。しかし、CCPAの訴訟提起権に基づく集団訴訟は多額の累積損害賠償を生じさせる可能性があり、CPPAの積極的な執行は7桁規模の和解に至っている。
GDPRはすべてのデータ処理についてオプトイン同意を要求していますか。
いいえ。同意はGDPR第6条に定める六つの適法根拠のうちの一つにすぎない。事業者は契約履行、法的義務、生命に関する利益、公共の任務、または正当な利益にも依拠できる。ただし、同意が選択された根拠である場合、それは自由に与えられ、具体的で、十分な情報に基づき、不明瞭でないものでなければならない。特別カテゴリーのデータについては、第9条の他の条件が適用されない限り、明示的な同意が必要である。
CPPAのADMT規則とは何であり、いつ発効しますか。
CPPAは2025年9月22日に自動意思決定技術(ADMT)に関する規則を確定し、一般的な発効日を2026年1月1日とした。雇用適格性、信用審査、住宅、医療に関する意思決定など、消費者に影響を及ぼす重要な意思決定にADMTを利用する事業者は、2027年1月1日から消費者のオプトアウトおよびアクセスの権利を遵守しなければならない。広告ターゲティングのためにADMTを利用する事業者には、別途の遵守スケジュールが定められている。
GDPRとCCPA/CPRAのコンプライアンスにおける最大の実務上の違いは何ですか。
同意モデルである。GDPRは処理を開始する前に文書化された適法根拠を要求しており、これはしばしば事前のオプトイン同意の取得を意味する。CCPA/CPRAはデフォルトでのデータ収集を認めるが、事業者にオプトアウト要求への対応、「私の個人情報を販売または共有しないでください」リンクの掲示、そして(2025年規則のもとでは)ADMTのオプトアウトおよびアクセス通知の提供を義務付けている。この根本的な違いが、ウェブサイトの設計、クッキーバナー、プライバシー通知、そして内部のデータガバナンスを形作っている。
GDPR準拠はCCPA/CPRAの要件を満たしますか。
大部分は満たすが、完全にではない。GDPRは一般的により厳格な枠組みであるため、GDPR準拠プログラムはCCPA/CPRAの基本要件の大半を満たす。しかし、複数のCCPA/CPRA固有の義務にはGDPRに相当する規定がない。「販売または共有をしない」リンク、金銭的インセンティブの開示、ADMTのオプトアウト権、2025年規則に基づくリスクアセスメントおよびサイバーセキュリティ監査の要件、そしてCCPA固有のサービス提供者契約文言である。
Sources and References
- GDPR - 規則(EU)2016/679全文(EUR-Lex)(eur-lex.europa.eu).gov
- GDPR第3条 - 域外適用(gdpr-info.eu)
- GDPR第6条 - 処理の適法性(gdpr-info.eu)
- GDPR第9条 - 特別カテゴリーの個人データ(gdpr-info.eu)
- GDPR第17条 - 消去権(gdpr-info.eu)
- GDPR第22条 - 自動化された個別の意思決定(gdpr-info.eu)
- GDPR第37条 - データ保護責任者の指定(gdpr-info.eu)
- GDPR第83条 - 制裁金賦課に関する一般的条件(gdpr-info.eu)
- 欧州委員会 - EUにおけるデータ保護(commission.europa.eu).gov
- 欧州データ保護会議(EDPB) - ガイドライン(edpb.europa.eu).gov
- カリフォルニア州消費者プライバシー法 - 全文(カリフォルニア州民法典第1798.100条以下)(leginfo.legislature.ca.gov).gov
- カリフォルニア州民法典第1798.150条 - 個人の訴訟提起権(leginfo.legislature.ca.gov).gov
- カリフォルニア州司法長官 - CCPA/CPRA情報(oag.ca.gov).gov
- CPPA - CCPA更新、サイバーセキュリティ監査、リスクアセスメント、ADMT規則(cppa.ca.gov).gov
- CPPA発表:カリフォルニア州、消費者プライバシー強化のための規則を確定(2025年9月22日)(cppa.ca.gov).gov
- CPPA:Hondaがプライバシー違反で和解 - 制裁金63万2,500ドル(cppa.ca.gov).gov
- CPPAがTodd Snyderに34万5,178ドルの制裁金支払いおよびプライバシー慣行の全面見直しを命令(cppa.ca.gov).gov