コンプライアンス2026年5月7日 | FlexyConsent

CCPA・CPRAクッキー同意:カリフォルニア州プライバシー法があなたのウェブサイトに意味すること

カリフォルニア州のプライバシー制度を理解する

カリフォルニア州は、消費者プライバシー法制において米国をリードしており、その法律は世界中のウェブサイトに影響を与えています。California Consumer Privacy Act(CCPA)は、2023年1月に施行された California Privacy Rights Act(CPRA)によって大幅に改正され、カリフォルニア州在住者の個人情報を収集するあらゆる企業に義務を課しています — その企業が物理的にどこに所在しているかに関係なく適用されます。

ウェブサイト運営者にとって、実務的な影響はクッキーやトラッキング技術、そしてユーザーデータが第三者とどのように共有されるかに集中します。カリフォルニア州のモデルは欧州のGDPRとは根本的に異なりますが、それでも同意メカニズムやユーザーの権利に細心の注意を払う必要があります。

CCPA/CPRA:誰が対象になるのか?

この法律は、以下のいずれか1つの基準を満たす営利企業に適用されます。

2つ目の基準は、広告を掲載しているウェブサイトにとって特に重要です。あなたのサイトがターゲティング広告のために第三者クッキーを使用し、カリフォルニア州からのトラフィックが多い場合、クッキーだけで年間10万件をはるかに超えるカリフォルニア州ユーザーのデータを処理している可能性があります。

オプトアウト vs オプトイン:GDPRとの根本的な違い

これはウェブサイト運営者が理解すべき最も重要な違いです。GDPRの下ではデフォルトはオプトイン���あり、ユーザーが積極的に同意するまで、必須ではないクッキーを設定することはできません。一方、CCPA/CPRAの下ではデフォルトはオプトアウトであり、ユーザーから停止の意思表示があるまで(クッキーを通じたものを含め)個人情報を処理することができます。

このため、カリフォルニア州の訪問者に対する同意体験は、根本的に次のように異なります。

ただし、重要な例外があります。16歳未満の未成年については、CCPA/CPRAはオプトインモデルに切り替わります — その個人情報を販売または共有する前に、明示的な同意���取得しなければなりません。13歳未満の子どもについては、保護者が同意を与える必要があります。

「Do Not Sell or Share」要件

CPRAは、元々CCPAにあった「Do Not Sell」の権利を「sharing(共有)」にも拡大しました。これは、第三者広告クッキーを通じて行われるデータ交換のような行為を、まさに標的とするものです。ユーザーがあなたのサイトを訪問し、クッキーがその閲覧データを広告ネットワークに送信する場合、たとえ直接的な金銭のやり取りがなくても、CPRAの下ではそれはsharing(共有)に該当します。

あなたの義務には次のようなものが含まれます。

Global Privacy Control(GPC)

Global Privacy Controlは、ユーザーが一度有効化することで、訪問するすべてのウェブサイトに対して自動的にオプトアウトの希望を伝える、ブラウザレベルのシグナルです。FirefoxやBraveなどの主要ブラウザはGPCをネイティブにサポートしており、ブラウザ拡張機能を利用することでChromeなどにも対応を追加できます。

CPRAの規則の下では、企業はGPCシグナルを有効なオプトアウト要求として尊重しなければなりません。これは実務上、大きな意味を持ちます。

GPCの採用率は着実に伸びています。推計では、現在のウェブトラフィックの5〜10%がGPCシグナルを伴っており、カリフォルニア州のプライバシー意識の高いユーザーに限れば、この割合はさらに高くなります。

カリフォルニア向けにクッキーバナーが本当に必要になるのはいつか?

多くの企業が混乱するのはこの点です。厳密に言えば、CCPA/CPRAはオプトアウトモデルであるため、欧州型のクッキー同意バナーを義務付けてはいません。しかし、次のものは必ず必要です。

実務上、欧州とカリフォルニアの両方のユーザーにサービスを提供しているウェブサイトの多くは、訪問者の所在地に応じて挙動を切り替える統一��な同意インターフェースを実装しています。これにより、まったく別々の同意システムを2つ維持する必要がなくなります。

実装上の実務的なポイント

CCPA/CPRAへの対応をGDPR対応と並行して行うと、二重モードの課題が生じます。あなたの同意管理プラットフォームは、次のことを行う必要があります。

  1. 訪問者の所在地を正確に検出する(IPベースのジオロケーションを使用)。
  2. 適切な法的枠組みを適用する — EEA/英国の訪問者にはオプトイン、カリフォルニア州の訪問者にはオプトアウト、その他の地域の訪問者には要件なし、というように。
  3. カリフォルニア州の訪問者向けに、バナー内または独立したページ要素として、「Do Not Sell or Share」リンクを管理する。
  4. 第三者クッキーが設定される前に、GPCシグナルを検出して尊重する。
  5. クッキーの挙動をそれに応じて制御する — オプトアウトしたユーザーに対しては第三者の広告クッキーをブロックしつつ、第一者のアナリティクスクッキーは継続して許可��る、など。

技術的な実装では、第一者アナリティクスクッキー(一般的にはCCPA/CPRAの下で「ビジネス目的」として許容される)と、第三者広告クッキー(共有に該当し、オプトアウトの対象となる)との区別も考慮しなければなりません。

FlexyConsentによるカリフォルニア訪問者向けジオターゲティング

FlexyConsentは、自動ジオターゲティングによって、この二重モードの課題に対応します。カリフォルニア州の訪問者があなたのサイトにアクセスすると、FlexyConsentはその挙動をCCPA/CPRAの要件に合わせて調整します。

Google認定CMPとして、IAB TCF 2.3およびConsent Mode V2をサポートするFlexyConsentは、どの法的枠組みが適用される場合でも、同意シグナルがGoogleサービスに正しく伝達されるようにします。これにより、オプトインした欧州ユーザーと、オプトアウトしていないカリフォルニア州ユーザーの双方に対して、Google AnalyticsやGoogle Adsの設定が正しく機能します。

重要なポイント:カリフォルニア州のオプトアウトモデルは、GDPRのオプトインアプローチと比べて制限が緩いように見えるかもしれません。し��し、GPCシグナルや「sharing(共有)」の広い定義を踏まえると、広告収入に依存するほとんどのウェブサイトには、高度な同意管理ソリューションが必要になります。両方の枠組みに適応するジオターゲティング型の同意管理を実装する方が、単一のアプローチを世界中に一律適用しようとするより、はるかに信頼性が高いのです。
← ブログ すべて読む →