ITパスポート試験結果の見方と合格証書の活用法【完全ガイド】
oufmoui
TAKE IT EASY!
【初心者向け】CCPA(カリフォルニア州消費者プライバシー法)とは?GDPRとの違いや混同注意用語をIT資格試験対策と共に徹底解説
oufmoui
IT関連の勉強をしていて、『CCPA』という言葉に出会い、『いまいちピンとこない……』と頭を悩ませていませんか?
試験では単なる用語の暗記だけではなく、その仕組みや活用シーンが問われます。せっかく勉強するなら、試験に受かるだけでなく、仕事でも役立つ『一生モノの知識』として身につけたいですよね。
この記事では、CCPAの本質を、分かりやすい『例え話』を交えながら解説します。難しい理屈を徹底的に噛み砕き、専門用語を使わずにその正体を解き明かします。
肩の力を抜いて、気楽に読み進めましょう。この記事を読み終える頃には、小難しい専門用語がスッと頭に入り、自信を持って問題に挑めるようになっているはずです。試験合格のその先を見据えた『使える知識』を、日本一分かりやすくお届けします。
| 用語 | CCPA | ||||||
|---|---|---|---|---|---|---|---|
| 正式名称 | California Consumer Privacy Act of 2018 | ||||||
| 日本語訳 | カリフォルニア州消費者プライバシー法 | ||||||
| 定義 | カリフォルニア州の消費者が自分の個人情報について知る権利・削除する権利・販売を拒否する権利などを持つことを保障し、企業に透明性と適切な管理を義務付けた米国の州法です。 | ||||||
| 試験別出題 | |||||||
| IT | △ | SG | △ | FE | △ | AP | △ |
| カテゴリ | 企業と法務 / セキュリティ | ||||||
| 関連用語 | GDPR / 個人情報保護法 / CPRA / オプトアウト / 機微個人情報 / プライバシーポリシー | ||||||
CCPAとは何か
CCPA(California Consumer Privacy Act)は、アメリカのカリフォルニア州で定められた「個人のプライバシーを守るための法律」です。日本語では「カリフォルニア州消費者プライバシー法」と呼ばれます。
一言で言うと、「私の個人情報を勝手に売ったり、知らないところで使ったりしないで」と企業に対して言える権利を、消費者に強力に与えるルールです。
IT業界では、ヨーロッパの「GDPR」と並んで、世界で最も影響力のあるプライバシー規制の一つとして知られています。カリフォルニア州の法律ですが、シリコンバレー(GoogleやMetaなど)がある場所のルールであるため、実質的に世界中のIT企業が対応を迫られています。
なぜこの法律ができたのか
インターネットが普及し、私たちの行動履歴や購買データが企業にとって「お金になる資産」として扱われるようになりました。しかし、データ流出事故や、本人の知らないところでデータが売買されるケースが増え、不安が高まりました。
そこで、「自分のデータは自分でコントロールできるようにすべきだ」という考えのもと、2020年にこの法律がスタートしました。その後、さらにルールを厳しくした「CPRA(カリフォルニア州プライバシー権法)」という改正も行われ、現在では非常に強力な法律となっています。
消費者に与えられた「3つの権利」
CCPAによって、私たち(カリフォルニア州の住民)には主に以下の権利が認められています。
1. 知る権利(Right to Know)
企業が自分について「どんな情報を」「どこから集めて」「何に使っているか」を開示するように請求できます。
2. 削除する権利(Right to Delete)
企業が持っている自分の個人データを削除するように依頼できます。
3. 売らせない権利(Right to Opt-Out)
これがCCPAの最大の特徴です。自分の個人情報を第三者に「売る(販売・共有する)」ことを拒否できます。Webサイトで「私の個人情報を売らないで(Do Not Sell My Personal Information)」というリンクやボタンを見たことがあるかもしれませんが、それはこの権利を守るために設置されています。
日本の企業にも関係があるのか
「アメリカの法律だから関係ない」とは言い切れません。以下の条件に当てはまる場合、日本の企業であってもCCPAを守る義務が発生します。
- カリフォルニア州の住民の個人情報を扱っている。
- 年間の売り上げが2,500万ドル(約30億円以上)を超えている。
- 10万人以上の消費者や世帯のデータを売買・共有している。
- 収益の50%以上を個人データの販売から得ている。
特に、越境EC(海外向け通販)や、グローバルなアプリ運営をしている企業は対応が必須となるケースが多いです。
CCPAとGDPRの違い
よく比較されるヨーロッパの「GDPR」との違いを整理しました。一番の違いは「基本のスタンス」です。
| 項目 | CCPA(アメリカ・カリフォルニア州) | GDPR(EU・ヨーロッパ) |
|---|---|---|
| 基本スタンス | オプトアウト方式 「ダメと言うまでは使っていい」 | オプトイン方式 「いいと言うまで使ってはいけない」 |
| 対象者 | カリフォルニア州の住民 | EU域内のすべての人 |
| 厳しさ | ビジネス寄り(データの販売停止が主眼) | 人権寄り(データの処理そのものを厳しく制限) |
| 守るべき情報 | 世帯やデバイス情報も含む広い範囲 | 個人を特定できるすべての情報 |
GDPRは「原則禁止」からスタートするのに対し、CCPAは「ビジネス活動は認めるけれど、消費者が嫌だと言ったら止めなさい」という、アメリカらしいビジネス重視の姿勢が見えます。
CCPAで誤解しやすいポイント
アメリカ全体の法律ではなく「州」の法律
CCPAは「カリフォルニア州消費者プライバシー法」であり、アメリカ合衆国全体に適用される連邦法ではありません。あくまでカリフォルニア州の法律です。試験問題で「アメリカの個人情報保護法」と説明されていても、それがCCPAを指しているとは限らないので注意が必要です。アメリカには連邦レベルの包括的な個人情報保護法は存在せず、各州が独自の法律を制定している状況です。
カリフォルニア州以外にも、バージニア州やコロラド州など、他の州が独自のプライバシー法を制定しています。試験では「CCPAはカリフォルニア州の法律である」という点を正確に理解しておくことが重要です。
日本企業も対象になる可能性がある
CCPAは「カリフォルニア州の法律だから日本企業には関係ない」と誤解されがちですが、実際には日本企業も対象になる可能性があります。重要なのは「企業の所在地」ではなく、「カリフォルニア州の消費者の個人情報を取り扱っているか」という点です。
例えば、日本企業がオンラインショップを運営していて、カリフォルニア州の住民が顧客として登録・購入している場合、その企業はCCPAの対象となる可能性があります。試験では「海外の法律は日本企業には無関係」という思い込みに注意しましょう。
事前同意不要の「オプトアウト方式」である
CCPAの最も誤解されやすいポイントは、個人情報の収集・利用に「事前の同意が不要」という点です。CCPAは「オプトアウト方式」を採用しており、企業は消費者に通知さえすれば個人情報を収集・利用できます。消費者は、後から「販売や共有をやめてほしい」と要求する権利(オプトアウト権)を持っています。
これは、事前に明示的な同意を得なければならない「オプトイン方式」のGDPRとは大きく異なります。試験では、「CCPAは事前同意が必要」という誤った選択肢に注意が必要です。ただし、16歳未満の未成年者の情報については例外的にオプトイン(事前同意)が必要です。
保護対象は個人だけでなく「世帯」も含む
CCPAの個人情報の定義で見落とされがちなのが、「世帯(household)」も保護対象に含まれる点です。つまり、特定の個人を識別できなくても、特定の家庭を識別できる情報であれば、CCPAの保護対象となります。
例えば、ある家庭の購買履歴やインターネット利用パターンなどの情報も、世帯レベルで識別可能であればCCPAで保護されます。日本の個人情報保護法やGDPRは基本的に「個人」を対象としているため、この点はCCPA特有の特徴として覚えておく必要があります。
適用対象企業の基準は「OR条件」である
CCPAの適用対象となる企業の条件を「AND条件(すべて満たす必要がある)」と誤解するケースがあります。正しくは「OR条件(いずれか1つを満たせば該当)」です。
| 条件 | 内容 |
|---|---|
| 条件1 | 年間総売上高が2,500万ドル超 |
| 条件2 | 年間10万件以上の個人情報を取り扱う |
| 条件3 | 収益の50%以上が個人情報の販売・共有から |
これらのうち、1つでも該当すればCCPAの対象企業となります。試験問題で「すべての条件を満たす企業」という表現があれば誤りです。
「販売」の定義が非常に広い
CCPAにおける個人情報の「販売(sale)」の定義は、一般的なイメージよりもはるかに広く解釈されています。金銭的な対価を伴う取引だけでなく、「有価的な対価(valuable consideration)」と引き換えに個人情報を第三者に提供する行為全般が含まれます。
例えば、広告配信のために第三者の広告ネットワークに個人情報を提供する行為や、Cookieを通じてユーザー行動データを共有する行為も「販売」に該当する可能性があります。「無料でデータ提供しているから販売ではない」という理解は誤りです。
罰則は「1件あたり」で計算される
CCPAの罰則は「1件あたり最大2,500ドル(意図しない違反)または7,500ドル(意図的違反)」と定められています。ここで注意が必要なのは、「1件あたり」という点です。
例えば、10万人の個人情報について違反があった場合、理論上は最大で2,500ドル×10万件=2億5,000万ドルの罰金となる可能性があります。金額自体はGDPRより低く見えますが、件数が多ければ総額は巨額になります。試験では「罰金が低いから軽微な法律」という誤解に注意しましょう。
混同注意!CCPAと間違いやすい用語
GDPR(EU一般データ保護規則)
CCPAと最も混同されやすいのがGDPR(General Data Protection Regulation)です。どちらも個人情報保護に関する重要な法律ですが、適用地域や基本的なアプローチが異なります。
| 項目 | CCPA | GDPR |
|---|---|---|
| 適用地域 | カリフォルニア州 | EU加盟国・EEA |
| 制定年・施行年 | 2018年制定、2020年施行 | 2016年制定、2018年施行 |
| 基本方式 | オプトアウト方式 | オプトイン方式 |
| 保護対象 | 個人および世帯 | 個人のみ |
| 罰則 | 最大7,500ドル/件 | 最大2,000万ユーロまたは売上高4% |
| データ主体の呼称 | 消費者(Consumer) | データ主体(Data Subject) |
試験では「個人情報保護に関する国際的な法律」という文脈で両者が出題される可能性があります。GDPRの方が先に施行され、CCPAはGDPRの影響を受けて制定された経緯がありますが、内容は異なります。特に「オプトイン(GDPR)」と「オプトアウト(CCPA)」の違いは重要なポイントです。
個人情報保護法(日本)
日本の「個人情報の保護に関する法律(個人情報保護法)」とCCPAも混同されやすい組み合わせです。どちらも個人情報を保護する法律ですが、適用範囲や規制内容が異なります。
| 項目 | CCPA | 日本の個人情報保護法 |
|---|---|---|
| 適用地域 | カリフォルニア州 | 日本全国 |
| 保護対象 | 個人および世帯 | 個人のみ |
| 匿名加工情報 | 明確な規定なし | 詳細な規定あり |
| 罰則の主体 | 州司法長官 | 個人情報保護委員会 |
| オプトアウト | 販売・共有に対して可能 | 第三者提供に対して可能 |
試験対策としては、「日本の個人情報保護法は日本国内に適用される法律」「CCPAはカリフォルニア州の法律だが日本企業も対象になりうる」という点を押さえておきましょう。また、日本の個人情報保護法には「匿名加工情報」という特殊な概念がありますが、CCPAにはこれに相当する明確な規定はありません。
CPRA(カリフォルニア州プライバシー権法)
CPRAは「California Privacy Rights Act(カリフォルニア州プライバシー権法)」の略称で、CCPAとは別の法律ではなく、CCPAを大幅に改正・強化したものです。2020年11月の住民投票で可決され、2023年1月から施行されています。
| 項目 | CCPA(原法) | CPRA(改正後) |
|---|---|---|
| 施行時期 | 2020年1月 | 2023年1月 |
| 監督機関 | 司法長官のみ | カリフォルニア州プライバシー保護庁(新設) |
| センシティブ情報 | 特別な規定なし | 新たに定義・厳格に保護 |
| 訂正請求権 | なし | あり |
| ルックバック期間 | 12か月 | 12か月 |
試験では「CCPAとCPRAは別々の法律」と誤解しないよう注意が必要です。現在は改正版であるCPRAが適用されていますが、一般的には「CCPA」という名称で引き続き呼ばれることが多いです。「CPRAはCCPAの改正版・強化版」と理解しておきましょう。
プライバシーマーク(Pマーク)
プライバシーマーク(Pマーク)は日本国内の「認証制度」であり、法律ではありません。CCPAやGDPRは「法律」であり、違反すれば罰則があります。
| 項目 | CCPA | プライバシーマーク |
|---|---|---|
| 性質 | 法律(強制力あり) | 認証制度(任意取得) |
| 運営主体 | カリフォルニア州政府 | 一般財団法人日本情報経済社会推進協会(JIPDEC) |
| 対象地域 | カリフォルニア州 | 日本国内 |
| 違反時の影響 | 罰金・訴訟 | 認証取り消し |
| 基準 | CCPA法文 | JIS Q 15001 |
試験では「個人情報保護に関する制度」という広いカテゴリーで出題される可能性があります。CCPAは法的義務であるのに対し、プライバシーマークは企業が任意で取得する認証制度です。プライバシーマークは日本の個人情報保護法をベースにしたJIS規格に基づいており、海外の法律とは直接関係ありません。
PIPEDA(カナダ個人情報保護法)
PIPEDA(Personal Information Protection and Electronic Documents Act)はカナダの個人情報保護法です。北米という地理的な近さから、CCPAと混同される可能性があります。
| 項目 | CCPA | PIPEDA |
|---|---|---|
| 適用地域 | アメリカ・カリフォルニア州 | カナダ連邦 |
| 法律レベル | 州法 | 連邦法 |
| 基本原則 | 消費者の権利重視 | OECD8原則ベース |
| 同意方式 | オプトアウト中心 | オプトイン中心 |
試験で「北米の個人情報保護法」という表現が出た場合、CCPAとPIPEDAを混同しないよう注意しましょう。PIPEDAはカナダの連邦法であり、カナダ全土に適用されます。一方、CCPAはアメリカの一つの州の法律に過ぎません。
HIPAA(医療保険の相互運用性と説明責任に関する法律)
HIPAA(Health Insurance Portability and Accountability Act)はアメリカの連邦法ですが、「医療情報」に特化した法律です。CCPAは一般的な個人情報全般を対象としています。
| 項目 | CCPA | HIPAA |
|---|---|---|
| 適用範囲 | 個人情報全般 | 医療情報(PHI)のみ |
| 法律レベル | カリフォルニア州法 | アメリカ連邦法 |
| 対象事業者 | 一定規模以上の営利企業 | 医療機関・保険会社など |
| 主な目的 | 消費者プライバシー保護 | 医療情報の機密性・完全性・可用性の確保 |
試験では「アメリカの個人情報保護関連法」として両者が登場する可能性がありますが、HIPAAは医療分野に限定された専門的な法律であり、CCPAは広く一般消費者の個人情報を対象としている点が大きく異なります。HIPAAで保護される情報(PHI: Protected Health Information)には、診療記録、検査結果、処方箋情報などが含まれます。
SOX法(サーベンス・オクスリー法)
SOX法(Sarbanes-Oxley Act)はアメリカの連邦法ですが、「財務報告の透明性」を目的とした法律であり、個人情報保護法ではありません。
| 項目 | CCPA | SOX法 |
|---|---|---|
| 主な目的 | 個人情報・プライバシー保護 | 財務報告の透明性・正確性確保 |
| 対象 | 消費者の個人情報 | 上場企業の財務報告 |
| 成立背景 | IT企業のデータ漏えい事件 | エンロン事件などの会計不正 |
| 施行年 | 2020年 | 2002年 |
試験では「アメリカの法律」という共通点から混同される可能性がありますが、SOX法は会計・監査に関する法律であり、CCPAとは目的が全く異なります。ただし、両者とも企業のコンプライアンス体制に影響を与える重要な法律という点では共通しています。
【試験別】出題傾向と対策
各試験の出題傾向と対策について解説します。受験予定のタブを切り替えて確認しましょう。
IT
SG
FE
AP
ITパスポート試験の出題傾向と対策
ITパスポート試験のシラバスVer.6.4では、CCPAは直接記載されていません。しかし、「パーソナルデータの保護に関する国際的な動向」としてGDPRが記載されており、個人情報保護法との違いを問う出題は頻出です。CCPAがもし出題される場合、GDPRと同様に「海外のプライバシー法規」として概念的に問われる可能性があります。現状では出題実績は確認されていませんが、今後のシラバス改訂で追加される可能性はあります。
CCPAの直接出題は現時点ではありませんが、もし出題される場合は「カリフォルニア州の消費者プライバシー法」という基本定義や、「GDPRとの違い(適用地域、オプトアウト方式)」を問う4択問題が想定されます。個人情報保護法の国際動向として、日本・EU・米国の比較で出題される可能性があります。
まずはGDPRと日本の個人情報保護法を確実に理解しましょう。その上で、CCPAは「アメリカ・カリフォルニア州の法律」「オプトアウト方式(GDPRはオプトイン)」という2つの特徴を覚えておけば十分です。選択肢で「事前同意が必要」と書かれていればGDPR、「後から拒否できる」と書かれていればCCPAと判断できます。現状では出題可能性は低いため、GDPRの学習を優先してください。
情報セキュリティマネジメント試験の出題傾向と対策
情報セキュリティマネジメント試験のシラバスでも、CCPAは明記されていません。ただし、国際的なプライバシー法規への対応は重要なテーマであり、特に「グローバル展開する企業の個人情報管理」や「海外拠点のデータ取り扱い」といった実務寄りのシナリオ問題では、CCPAの概念が背景知識として役立つ可能性があります。現時点では出題実績はありませんが、セキュリティ関連法規の国際動向として理解しておくと良いでしょう。
もし出題される場合は、「カリフォルニア州の消費者から個人情報の削除請求を受けた際の対応」や「Do Not Sell リンクの設置義務」など、運用上の具体的な対応手順が問われる可能性があります。また、「オプトアウト請求への対応期限(15日以内)」などの実務的な要件も狙われやすいポイントです。
CCPAは現時点で出題実績がないため、深入りは不要です。ただし、GDPRとの対比で「オプトアウト方式」という特徴を理解しておきましょう。「カリフォルニア州の消費者に対してサービスを提供する日本企業」というシナリオが出た場合、CCPA対応が必要になることを知っておけば対応できます。まずは日本の個人情報保護法とGDPRの理解を優先し、CCPAは「アメリカ版プライバシー法」として位置づけを把握する程度で十分です。
基本情報技術者試験の出題傾向と対策
基本情報技術者試験のシラバスVer.9.0でも、CCPAの記載はありません。ただし、システム開発やWebサービス設計において、国際的なプライバシー法規への準拠は重要な非機能要件です。科目A試験では個人情報保護に関する法規として日本の個人情報保護法やGDPRが出題されており、CCPAが出題される場合も同様の枠組みで「法規と技術対応」が問われると考えられます。現時点では出題実績はありません。
もし出題される場合、「CCPA・GDPR・日本の個人情報保護法の比較表」から適切な組み合わせを選ぶ問題や、「カリフォルニア州向けECサイトに必要なプライバシー対応機能」を問う問題が想定されます。技術的には「オプトアウトリンクの実装」「個人情報の削除API」などの仕組みが問われる可能性があります。
CCPAは現状出題されていませんが、もし出る場合は「GDPR=EU・オプトイン・72時間以内通知」「CCPA=カリフォルニア州・オプトアウト・適用条件あり」という対比で覚えましょう。個人情報保護法については「日本=個人情報保護委員会・要配慮個人情報」という特徴を押さえ、3つの法律を比較表で整理すると理解しやすくなります。優先順位としては、まず日本の個人情報保護法とGDPRを確実にし、CCPAは余裕があれば学習する程度で構いません。
応用情報技術者試験の出題傾向と対策
応用情報技術者試験でも、CCPAはシラバスに記載されていません。しかし、グローバルなシステム設計や情報セキュリティ戦略を扱う午後問題では、国際的なプライバシー法規への対応が論点になることがあります。特に「多国籍企業のデータ管理」や「クラウドサービスのリージョン選択」などのシナリオでは、GDPRと並んでCCPAの知識が背景として役立つ可能性があります。ただし、現時点で直接的な出題実績はありません。
もし出題される場合、午前問題では「CCPAの適用要件(年間売上2,500万ドル超など)」や「消費者の権利(開示・削除・オプトアウト)」が問われる可能性があります。午後問題では、「米国向けサービスにおけるプライバシー設計」や「データ保持期間とリスク」「第三者提供時の通知義務」など、システム設計判断に関わる論点が想定されます。
CCPAは現時点で出題実績がないため、過度な学習は不要です。ただし、応用情報レベルでは「国際的なプライバシー法規の全体像」を理解しておくことが重要です。
日本の個人情報保護法は「個人情報保護委員会による行政執行」「要配慮個人情報」が特徴、GDPRは「オプトイン方式」「72時間以内のデータ漏えい通知」「高額な罰金」が特徴、CCPAは「オプトアウト方式」「カリフォルニア州限定」「適用条件あり」という対比で整理しましょう。
午後問題対策としては、「グローバルサービスでは複数の法規制を同時に満たす設計が必要」という視点を持ち、データの保存場所・暗号化・アクセス制御・ログ管理などの技術的対策を総合的に判断できるようにしておきましょう。
例題・過去問演習
CCPAは現時点でIPA試験での出題実績が確認されていません。しかし、GDPRなど国際的なプライバシー法規は頻出テーマです。
ここでは、CCPAの理解を深めるための類題と、関連するGDPRの過去問を掲載します。
- 【Q1】CCPAに関する類題(ITパスポートレベル)
CCPA(カリフォルニア州消費者プライバシー法)の特徴として、最も適切なものはどれか。
ア)EU全域に適用され、事前同意(オプトイン)が原則必要である
イ)カリフォルニア州の消費者を対象とし、後から拒否(オプトアウト)する権利を付与する
ウ)日本国内の事業者のみが対象となり、海外事業者は適用外である
エ)13歳未満の児童のみを保護対象とする連邦法である -
CCPAは、カリフォルニア州の消費者を対象とした州法で、企業が個人情報を収集・利用することは認めつつ、消費者に「後から販売や共有を拒否する権利(オプトアウト権)」を付与している点が特徴です。アはGDPRの説明で、GDPRは事前同意(オプトイン)が原則です。ウは誤りで、CCPAは日本企業でもカリフォルニア州の消費者にサービスを提供していれば適用される可能性があります。エはCOPPA(児童オンラインプライバシー保護法)の説明で、CCPAとは別の法律です。ひっかけポイントは「オプトイン」と「オプトアウト」の違いで、CCPAは基本的にオプトアウト方式です。
Q
- 【Q2】GDPR過去問(令和5年度ITパスポート 問18より改題)
EUの一般データ保護規則(GDPR)に関する記述として、適切なものはどれか。
ア)EU域内に拠点がある事業者のみが適用対象となり、EU域外の事業者は対象外である
イ)EU域内に拠点がない日本企業でも、EU居住者にサービスを提供していれば適用対象となる
ウ)個人情報の収集後、72時間以内に本人の同意を取得すれば適法となる
エ)違反時の制裁金は最大100万円または年間売上高の1%である -
GDPRは、EU域内に拠点がある事業者だけでなく、EU域外に拠点がある事業者でもEU居住者に商品やサービスを提供している場合は適用対象となります。日本企業であってもEUの顧客データを扱っていれば適用されます。アは「EU域外の事業者は対象外」という部分が誤りです。ウは「事前の同意」が必要で、収集後の同意では不適切です。エの制裁金は最大2,000万ユーロまたは全世界年間売上高の4%のいずれか高い方で、非常に高額です。ひっかけポイントは「拠点の有無」で、拠点がなくてもEU居住者向けにサービス提供していれば適用されます。
Q
- 【Q3】CCPAとGDPRの比較(基本情報技術者レベル類題)
CCPAとGDPRの違いに関する記述として、最も適切なものはどれか。
ア)CCPAは事前同意が必要だが、GDPRは後から拒否できる方式である
イ)CCPAは州法、GDPRは規則であり、どちらも域外適用がある
ウ)CCPAの罰金はGDPRより高額で、最大5,000万ドルである
エ)CCPAは個人のみ、GDPRは世帯も保護対象に含む -
CCPAはカリフォルニア州の州法、GDPRはEU全域に直接適用される規則です。どちらも域外適用があり、現地に拠点がなくても対象地域の住民にサービス提供していれば適用される点が共通しています。アは逆で、CCPAはオプトアウト方式(後から拒否)、GDPRはオプトイン方式(事前同意)です。ウは誤りで、CCPAの罰金は1件あたり最大7,500ドル、GDPRは最大2,000万ユーロまたは売上高の4%でGDPRの方が高額です。エも逆で、CCPAは世帯も保護対象に含みますが、GDPRは個人(自然人)が対象です。ひっかけポイントは「オプトイン/オプトアウト」の逆転と「罰金額の大小」です。
Q
- 【Q4】CCPAの適用要件(情報セキュリティマネジメントレベル類題)
日本企業がCCPAの適用対象となる条件として、適切なものはどれか。
ア)カリフォルニア州に物理的な拠点を持つこと
イ)年間売上高2,500万ドル超、または年間10万件以上の個人情報を取り扱うなどの条件を満たし、カリフォルニア州で事業を行うこと
ウ)アメリカ全土で事業を行い、連邦政府に登録していること
エ)EU居住者とカリフォルニア州民の両方に同時にサービスを提供していること -
CCPAは、カリフォルニア州で事業を行い、①年間売上高2,500万ドル超、②年間10万件以上の個人情報を取り扱う、③収益の50%以上が個人情報の販売・共有から得られる、のいずれかを満たす企業が対象です。カリフォルニア州内に物理的な拠点がなくても、オンラインでカリフォルニア州の消費者にサービスを提供していれば適用される可能性があります。アは「拠点が必須」という点が誤りです。ウはCCPAが州法であることを理解していない誤答です。エは無関係で、EUとカリフォルニアの両方へのサービス提供は要件ではありません。ひっかけポイントは「拠点の有無」と「具体的な数値要件」です。
Q
- 【Q5】CCPAにおける消費者の権利(応用情報技術者レベル類題)
CCPAにおいて消費者に認められている権利として、適切でないものはどれか。
ア)企業が収集している自分の個人情報の開示を請求する権利
イ)企業が保有する自分の個人情報の削除を請求する権利
ウ)企業による個人情報の販売・共有を拒否する権利
エ)企業の個人情報管理体制について監査を実施する権利 -
CCPAで消費者に認められている主な権利は、知る権利(開示請求権)、削除請求権、オプトアウト権(販売・共有の拒否権)、訂正請求権、センシティブ情報の利用制限権などです。エの「監査を実施する権利」は消費者に認められていません。監査は企業の内部管理や外部の監査機関が行うもので、個人の権利ではありません。ア・イ・ウはいずれもCCPAで明示的に認められている権利です。ひっかけポイントは、「情報を知る権利」と「監査する権利」を混同させる点で、消費者ができるのは情報の開示請求までで、企業の管理体制を直接監査する権限はありません。
Q
まとめ
この記事の大事なポイントは以下の通りです。
- CCPAは、アメリカのカリフォルニア州で作られた「プライバシーを守る法律」である。
- 「自分のデータを売らないで」と企業に拒否する権利(オプトアウト)が特徴である。
- カリフォルニア州の法律だが、IT企業が多い場所なので世界標準のような影響力がある。
- 日本企業でも、カリフォルニア州の顧客データを持っていれば対応が必要になる場合がある。
- ヨーロッパのGDPR(オプトイン)とは違い、CCPAは「拒否権(オプトアウト)」を重視している。
ABOUT ME
会社の研修でpythonを勉強し始めました。
.png.png)
.jpeg)
