米国 カリフォルニア州消費者プライバシー法 2018年の2026年1月1日改正

こんにちは、丸山満彦です。

カリフォルニア州の改正版消費者プライバシー法2018年が2026年1月1日（一部は2027年1月1日）から施行されますね...

AIの進歩、子どものプライバシー保護の強化、実効性の強化等が背景にあるのでしょうかね...

 

主な改正内容...

・オプトアウト優先シグナル

ブラウザ開発者は、ユーザーが個人情報の販売または共有をオプトアウトできる「オプトアウト優先シグナル」を送信する、明確で見つけやすい設定を提供しなければならない。（ブラウザ機能要件については2027年1月1日より施行）

・機微な個人情報の定義の拡大

• 16歳未満と事業者が実際に知っている消費者の個人情報すべて
• 神経データ(neural data)も機密情報に追加

・第三者データ移転に関する契約要件

事業者は、消費者データを受け取るすべての第三者、サービスプロバイダー、または契約者と契約を締結しなければならない。（契約では、情報移転が限定された目的でのみ行われることを明記し、受領者に法律で要求される同等のプライバシー保護を提供する義務を課す）

・オプトアウト確認の義務化

消費者が個人情報の販売または共有をオプトアウトする要求を行った場合、事業者はその要求が処理されたことの確認を提供しなければならない

・開示義務の拡大

• プライバシーポリシーへのリンクを、ホームページだけでなく個人情報を収集するすべてのウェブページに設置
• 事業者は、収集時またはその前に、個人情報カテゴリーが販売または共有されるかどうかを開示しなければならない

・ダークパターンの禁止例の追加

• 消費者がデータを削除することを困難、誤解を招く、または混乱させる濫用的慣行を対象

・ 消費者の権利の明確化

• データへのアクセス、削除、訂正の権利を維持
• 事業者は検証可能な消費者要求に45日以内に応答し、合理的に必要な場合は45日間の延長が可能
• アクセス要求への応答期間が過去12ヶ月の制限を超えて拡大

新規追加...

・サイバーセキュリティ監査要件(2027.01.01以降)

・・対象企業:

• 前暦年収益の50%以上を個人情報の販売・共有から得ている事業者
• 年間総収益が2,500万ドル超で、かつ25万人以上の消費者の個人情報を処理、または5万人以上の機密な個人情報を処理する事業者

・・監査期限(企業収益別):

• 1億ドル超:2028.04.01
• 5,000万~1億ドル:2029.04.01
• 5,000万ドル未満:2030.04.01

・リスク評価要件

個人情報処理が消費者の「重大なプライバシーリスク」を伴う場合、事業者はリスク評価をしなければならない

・・重大なプライバシーリスク

• 個人情報の販売・共有
• 機微な小書院情報の処理
• 一定の条件の元での自動意思決定技術 (ADMT) の使用

・自動意思決定技術(ADMT)規制(2027.01.01日施行)

• 消費者に関する「重要な決定」を行うためにADMTを使用する企業は、事前通知、オプトアウト権、アクセス権を提供しなければならない 
• ADMTの動作方法、決定への影響、代替プロセスの説明義務

 

● California Privacy Protection Agency

・[PDF] CALIFORNIA CONSUMER PRIVACY ACTOF 2018 effective 01/01/2026 – AB 137, AB 566 

・[DOCX][PDF] 仮訳

 

参考

モバイル広告IDとオプトアウト・プラットフォーム（DROP） について

・2025.12.02 Understanding Mobile Advertising IDs and DROP

 

 

2020年のものですが、個人情報保護委員会の訳

● 個人情報保護委員会

・[PDF]「カリフォルニア州消費者プライバシー法 2018年」2020年1月1日施行版の仮日本語訳

同法施行前の米国カリフォルニア州議会上院及び下院による修正決議（上院2018年法律第1121号、下院2019年法律第25号、同2019年法律第874号、同2019年法律第1146号、同2019年法律第1355号及び同2019年法律第1564号）の修正条項を反映したもの

 

 

牛島総合法律事務所が簡単な改正の記事をかいていますね...

● 牛島総合法律事務所

・2025.11.17 2025年におけるCCPA（カリフォルニア州消費者プライバシー法）及びCCPA規則の改正