anonym.legal

By · Last updated 2026-06-05

ブログに戻るGDPRおよびコンプライアンス

CCPA/CPRA カリフォルニア州プライバシー法準拠ガイド

カリフォルニア州のCCPA(Consumer Privacy Act)およびCPRA(California Privacy Rights Act)の企業向け実装ガイド。

June 5, 202610 分で読めます
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA:カリフォルニア州プライバシー法ガイド

2026年版に更新済み。

カリフォルニア州消費者プライバシー権利法(CPRA)は2023年に施行されました。 これによりカリフォルニア州プライバシー保護局(CPPA)が設立されました。 CPPAは米国初の州専任プライバシー規制機関です。 2024年、CPPAは1億ドルを超える制裁金を課しました。 カリフォルニア州のプライバシー法は積極的に執行されています。書面上の規則ではありません。

誰が対象となるか

法律が適用されるかどうかは3つの基準で判断します。 企業はそのうちの1つを満たせば対象となります。

  • 年間売上高2,500万ドル以上。
  • 州内の消費者または世帯10万人以上の個人情報を処理。
  • 個人情報の販売から得る収益が総収益の50%超。

この州には4,000万人の住民がいます。 世界第5位の経済規模を誇ります。 ほとんどのグローバル企業は少なくとも1つの基準を満たします。

機密個人情報の19カテゴリ

この法律は機密性の高い個人情報に特別な層を設けています。 企業は消費者に追加の通知を行い、使用を制限する権利を与えなければなりません。 19の種類は以下のとおりです:

  1. 社会保障番号、運転免許証、州ID、パスポート番号
  2. アクセスコード付きの金融口座番号またはカード番号
  3. 正確な位置情報(1,852メートル以内)
  4. 人種または民族的出身
  5. 宗教的または哲学的信念
  6. 労働組合加入状況
  7. プライベートなメールまたは郵便の内容
  8. 遺伝情報
  9. 識別用生体記録
  10. 健康または医療記録
  11. 性的指向または性生活
  12. 移民ステータス(2024年追加)
  13. 精神健康記録(2024年追加)
  14. 市民権ステータス
  15. アクセスコードなしの口座番号
  16. 障害ステータス
  17. 雇用ステータス指標
  18. 保険証券情報
  19. 犯罪または逮捕記録

各カテゴリについて、消費者は企業がそれをどのように使用・共有するかを制限できます。 この権利は、データ販売への一般的な反対権とは別のものです。

CPPAが2024年に標的にしたもの

CPPAの2024年の行動は4つの分野に分かれています。

データブローカーの登録。 州はデータブローカーにCPPAへの登録を義務付けています。 機関は消費者プロファイルを販売していた未登録のブローカーを数百社発見しました。

機能しないオプトアウトツール。 多くの同意管理プラットフォームは実際のオプトアウトを提供していませんでした。 ボタンが機能しないか、オプトアウトが一部の使用にしか適用されませんでした。

通知なしのAI決定。 2025年のAIルールは、自動化ツールが重要な決定を行う際の通知を義務付けています。 雇用、信用、住宅がすべて対象です。 2024年の複数の事例は、この通知なしで使用されたAIツールを標的にしました。

子どものデータ。 カリフォルニア州の年齢適切設計規範は、未成年者が利用する可能性のあるサービスに適用されます。 これらの企業はデータ保護影響評価を完了しなければなりません。 CPPAは多くの企業がこれを行っていないことを発見しました。

州法とGDPR:主な違い

GDPRへの準拠はカリフォルニア州での適用を保証しません。 両法は目標を共有していますが、重要な点で異なります。

オプトアウト対オプトイン。 GDPRはほとんどの機密データ使用についてオプトイン同意を要求します。 州法はオプトアウトモデルを使用します。 消費者が反対するまで処理は許可されます。

消費者の権利。 両法ともアクセス、削除、訂正の権利を与えます。 州法は自動化された決定に反対する権利を追加します。 GDPR第22条もこれをカバーしていますが、より狭い範囲です。

従業員記録。 州法は従業員の個人情報に完全に適用されます。 GDPRも同様ですが、EU加盟国には独自の雇用規則があります。 州内のスタッフのプライバシーはしばしば独自のコンプライアンストラックが必要です。

機密の種類。 19の州の種類はGDPR第9条と部分的に重複します。 移民ステータスと単独の口座番号は州固有のものです。

これらの義務がどのように重なるかは法的コンプライアンスガイドをご覧ください。

AIベンダー要件

2025年のAIルールは、消費者記録にAIツールを使用する企業に明確な義務を課しています。

ベンダー契約。 サービスプロバイダーは書面による合意書に署名しなければなりません。 合意書は4つの点をカバーしなければなりません。 第一:記録を記載された目的にのみ使用する。 第二:サービス終了時に記録を削除する。 第三:消費者権利の申請を転送する。 第四:適切なセキュリティを維持する。

自動化された決定の通知。 AIツールが信用、詐欺、雇用に関する決定を支援する場合、消費者に通知しなければなりません。 彼らはオプトアウトも受け取らなければなりません。

AIトレーニングの制限。 消費者記録がAIモデルをトレーニングした場合、そのモデルには制限があります。 元の収集理由と矛盾する目的には使用できません。

ほとんどのチームへの直接的な解決策:記録がAIシステムに入る前に個人IDを削除すること。 これはAI決定ルールを満たし、同時に機密種類のリスクを軽減します。

anonym.legalがAI処理前にIDを削除する方法は/security-complianceでご確認ください。

まとめ

州法は州内に顧客を持つほとんどのグローバル企業をカバーします。 19の機密種類、積極的な執行機関、AIの通知ルールを追加します。 GDPRへの準拠は州のコンプライアンスの代わりにはなりません。 最も明確なステップ:記録がAIツールに入る前に個人IDを削除すること。

データの最小化については/docs/faqをご覧ください。

出典

  • CPPA: California Privacy Protection Agency. cppa.ca.gov.
  • California Privacy Rights Act (CPRA)全文. leginfo.legislature.ca.gov.
  • CPPA: Automated Decision-Making Technology Regulations 2025. cppa.ca.gov.
  • California Age-Appropriate Design Code. leginfo.legislature.ca.gov.

関連する記事

GDPRおよびコンプライアンス

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPRおよびコンプライアンス

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPRおよびコンプライアンス

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

データを保護する準備はできましたか?

48言語で285以上のエンティティタイプを使用してPIIを匿名化し始めましょう。

無料トライアルを開始機能を見る

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.