Delete Actが実際に行うこと

Delete Actは、2020年から施行されているカリフォルニア州の既存のデータブローカー登録制度への構造的な追加です。元のフレームワークが単にブローカーに州への年次登録と個人情報のカテゴリの開示を要求していたのに対し、Delete Actは厳格なタイムライン、監査義務、および非コンプライアンスに対するペナルティを持つ一元化された削除メカニズムを追加します。

一元化された削除レジストリ

レジストリはCPPAが運営するプラットフォームで、カリフォルニア州の消費者が単一の削除リクエストを送信すると、それがすべての登録データブローカーに自動的に伝達されます。ブローカーは少なくとも四十五日ごとにレジストリを確認し、データセット内の個人に一致する新しいリクエストを特定し、規制が指定するタイムライン内で一致するレコードを削除しなければなりません。消費者はどのブローカーが自分のデータを保持しているかを知る必要はありません——レジストリがファンアウトを処理します。

データブローカーとしてカウントされるのは誰か

この法律は、データブローカーを、ビジネスが直接の関係を持たない消費者の個人情報を意図的に収集して販売するビジネスとして定義しています。この定義は聞こえるよりも狭いものです——自分のオーディエンスを販売するファーストパーティパブリッシャーはブローカーではなく、コントローラーに代わってデータを処理するプロセッサーはブローカーではありません——しかし、アイデンティティグラフプロバイダー、クロスコンテキスト広告プラットフォーム、人物検索サービス、そびパブリッシャーがプログラマティックデータをルーティングするオーディエンス拡張レイヤーの大部分を捕捉します。

登録と公開リスト

対象となるすべてのブローカーは年次登録を行い、料金を支払い、CPPAが管理する公開リストに掲載されなければなりません。2026年までに、このリストはパブリッシャーがダウンストリームのデータフローを監査するための実際の参照ポイントとなります：リスト上のベンダーはDelete Actの目的においてデータブローカーであり、そのベンダーとのパブリッシャーの契約上の義務は削除伝播の現実を反映しなければなりません。

四十五日サイクルとその運用上の結果

重要な運用規則は削除サイクルのケイデンスです。四十五日ごとに、すべての登録ブローカーはレジストリを確認し、すべての一致するレコードを削除しなければなりません。このケイデンスは、パブリッシャーが対処しなければならない新しい種類のアイデンティティ減耗を生み出します。

サイクル下でのオーディエンスの減衰

データブローカーのエンリッチメントに基づいて構築されたオーディエンスは、削除リクエストを送信したカリフォルニア州の消費者がブローカーネットワークに広がるにつれて、約六週間のサイクルで縮小します。アイデンティティ解決に依存する米国の測定を実行しているパブリッシャー——プログラマティックオーディエンスターゲティング、クロスサイト識別子に依存するアトリビューションウィンドウ、ブローカー提供のシードを使用するルックアライクモデリング——は、カリフォルニア州のオーディエンスサイズが鋸歯状パターンで下降するのを見ることになります：各サイクルがトランシュを除去し、次のサイクルまで増分訪問者が補充します。

再識別は禁止されています

この法律は、ブローカーが削除された消費者を再識別することを明示的に禁止しており、たとえブローカーがその後別のソースから同じデータを取得した場合でも同様です。この禁止は明白な抜け穴を塞ぎ、パブリッシャーが削除された消費者をブローカーにルーティングされたオーディエンスに再結合するために自分たちのファーストパーティデータに頼ることができないことを意味します。削除は永続的であることが意図されており、規制当局の監査プログラムは再識別パターンを検出するために構築されています。

パブリッシャーのファーストパーティデータはサイクルの外にあります

パブリッシャー自身のファーストパーティデータ——登録ユーザー、ニュースレター購読者、ロイヤルティメンバー——は、パブリッシャーがこれらのレコードのデータブローカーではないため、Delete Actのサイクルの対象ではありません。パブリッシャーは、別途であるCCPAとCPRAの削除権に引き続き従います。二つの制度は相互作用する可能性があります：ブローカーレイヤーでのDelete Actの削除は依然としてパブリッシャーのファーストパーティレコードをそのままにすることができ、パブリッシャーはパブリッシャー自身のインテークを通じて消費者の別個のCCPA削除リクエストを引き続き尊重しなければなりません。

新しい世界におけるGlobal Privacy Controlシグナル

Delete Actは、ブラウザやプライバシー拡張機能がユーザーがユニバーサル・オプトアウトの設定を行ったことを示すために送信するGlobal Privacy Control（GPC）ヘッダーと交差します。CPPAの規制は、パブリッシャーとブローカーがGPCを有効なCCPAオプトアウトとして尊重しなければならないことを確認し、Delete Actの一元化されたレジストリは同じ結果への並行パスを追加します。

二つのシグナル、一つの結果

カリフォルニア州の消費者には、商業データエコシステムから脱退する二つの方法があります：使用するすべてのブラウザからGPCヘッダーを送信するか、単一のDelete Actレジストリリクエストを送信するかです。二つのパスはほとんどのユースケースで同等の結果をもたらしますが、スコープが異なります。GPCは、消費者が訪問するすべてのサイトでの継続的な販売と共有を管理します。レジストリはブローカーが保持する既存のレコードを削除します。パブリッシャーは両方を権威あるシグナルとして扱い、CMPはどちらも認識するように設定する必要があります。

両方のパスを表面化させるCMPの役割

2026年のカリフォルニア州オーディエンス向けの準拠CMPは、GPC尊重状態（訪問者はGPCが設定されており、オプトアウトがアクティブ）、パブリッシャー自身のオプトアウトリンク（消費者はこのサイトで特に販売と共有を拒否できる）、そしてブローカーからの削除結果を望む消費者のためのCPPAレジストリへの明確なポインターを表示します。アーキテクチャは技術的に要求が厳しくありません——同意UIに一つではなく三つのコントロール——しかし文言が重要であり、CPPAの執行は誤解を招くまたは埋め込まれたオプトアウトパスに積極的に取り組んでいます。

パブリッシャーが行う必要があること

Delete Actはブローカーを対象とした規制であり、パブリッシャーを対象としたものではありませんが、パブリッシャーにとっての運用上の結果は現実のものであり、同意とデータアーキテクチャへの具体的な変更を必要とします。

ブローカーレジストリに対してベンダースタックを監査する

パブリッシャーの広告および分析スタック内のすべてのベンダーは、CPPAの公開ブローカーリストと照合確認する必要があります。リスト上のベンダーはDelete Act制度の対象であり、それらのベンダーとのパブリッシャーの契約は削除伝播、監査ログの保持、および四十五日サイクルのケイデンスを反映しなければなりません。主要なアイデンティティ解決ベンダーのほとんどといくつかの大きなSSPが今リストに掲載されています；監査は苦痛ではありませんが、少なくとも年に一度行う必要があります。

プライバシーポリシーと同意UIを更新する

パブリッシャーのプライバシーポリシーは、既存のCCPA削除権と並んでDelete Actレジストリパスを説明し、CPPAレジストリへの直接リンクを提供する必要があります。同意UIは、訪問者がヘッダーを設定している場合にGPC尊重状態を表示し、オプトアウトコントロールは承認コントロールと同等の目立つスタイルにする必要があります——2024年と2025年の司法長官の執行決定はダークパターンテストを明示的にしました。

オーディエンスの鋸歯状パターンを計画する

測定とオーディエンスターゲティングチームは、カリフォルニア州のオーディエンスメトリクスがサイクルケイデンスによって駆動される六週間の鋸歯状パターンに従うことを知る必要があります。ダッシュボードとビッドペーシングモデルは、各低下を欠陥として扱うのではなく、パターンに合わせて調整する必要があります。厳格なアトリビューションを実行しているパブリッシャーは、サイクル後の数字をクリーンに照合できるように、ブローカー削除パスを別個の減耗ソースとしてモデル化することも必要です。

調査結果を引き起こす一般的なDelete Actの間違い

2025年を通じたDelete ActのもとでのCPPA執行の最初の波は、パブリッシャー側の調査結果の明確なパターンを生み出しました。パブリッシャーのプライバシーポリシーはCCPAオプトアウトパスを説明しているが、Delete Actレジストリについて決して言及しない。同意バナーは販売と共有についてGPCを尊重しているが、パブリッシャーのファーストパーティ削除インテークにシグナルを伝播しない。パブリッシャーは登録ブローカーと契約を結び、Delete Actの削除伝播義務を反映するように契約を更新しない。CMPは「設定を管理する」パネルを提供するが、オプトアウトを「すべて承認」より暗いボタンの後ろに三クリック深く埋め込む。これらのそれぞれは、深いアーキテクチャの変更ではなく、ドキュメントまたはUXの修正です——しかしそれぞれは、CPPAが調査を開始する際に使用するものでもあります。

結論

Delete Actはカリフォルニア州の消費者に商業データエコシステムから抜け出す単一のボタンを与えます。2026年までにレジストリは稼働し、ブローカーリストは公開され、執行プログラムはアクティブです。パブリッシャーにとっての含意は現実ですが限定されています：Delete Actはパブリッシャーに劇的なことを行うよう要求しませんが、どのダウンストリームベンダーがブローカーであるかを知ること、新しいパスを表面化させるためにプライバシーポリシーと同意UIを更新すること、GPCを一貫して尊重すること、そして四十五日サイクルが生み出すオーディエンスの鋸歯状パターンに計画を立てることを要求します。これらのどれも技術的に難しくはありません。すべては運用上具体的です。2024年と2025年にクリーンな監査を実施したパブリッシャーは、今や定着したアーキテクチャで実行しています；Delete Actを自分たちには関係のないデータブローカー問題として扱ったパブリッシャーは、規制当局の締め切りの下で返答書を書き、プライバシーポリシーを改訂して2026年を過ごしています。