Loading…
GDPRとCCPA/CPRAは、世界で最も参照されるプライバシー枠組みです。一見すると似ていますが、域外への適用範囲、取扱いの適法根拠、オプトインかオプトアウトかという設計、漏えい通知の期間、罰則の重さで大きく異なります。本ガイドは、あらゆるプライバシーチームが手に取る正確な対比を提供します。
| 項目 | 🇪🇺 GDPR | 🇺🇸 CCPA |
|---|---|---|
| 法的根拠 | 規則(EU)2016/679 | カリフォルニア州民法第1798.100条以下(CCPA、2020年のCPRAにより改正) |
| 施行日 | 2018年5月25日 | CCPA:2020年1月1日。CPRAによる強化:2023年1月1日 |
| 地理的適用範囲 | EU域内の個人の個人データを取り扱う者すべて(第3条 — 域外適用) | カリフォルニア州で事業を行い、基準を満たす営利事業者(第1798.140条(d)) |
| 適用基準 いずれか1つの該当で適用 | あらゆる管理者/処理者 — 売上高や件数の下限なし | 売上高2,500万ドル、カリフォルニア州の消費者/世帯10万件以上、またはPIの販売/共有による売上高50%以上 |
| 同意モデル | ほとんどの取扱いでオプトイン(第6条) | 販売・共有のオプトアウト。16歳未満の未成年者はオプトイン |
| 適法根拠の要否 | 必要 — 6つのうちの1つ(第6条)または特別カテゴリーの条件(第9条) | 正式な適法根拠は不要。「事業目的」+ 収集時の通知 |
| センシティブデータ | 特別カテゴリーデータ(第9条)は明示的な同意 + 保護措置が必要 | センシティブPI(CPRA第1798.140条(ae))— 制限する権利であり、絶対的な禁止ではありません |
| 漏えい時の通知 | 監督機関へ72時間以内(第33条)。高リスクの場合は影響を受ける本人へ不当な遅延なく通知 | 具体的な期間の定めなし。カリフォルニア州民法第1798.82条に基づき「可能な限り速やかに」 |
| 最高罰金 | 2,000万ユーロまたは全世界年間売上高の4%のいずれか高い方(第83条(5)) | 故意でない違反は1件あたり2,500ドル/故意または未成年者に関する違反は1件あたり7,500ドル(レコード単位) |
| 規制当局 | 27のEU加盟国のDPA + EDPB(ワンストップショップ) | カリフォルニア州プライバシー保護局(CPPA)+ カリフォルニア州司法長官 |
| DPOの要否 | 一定の場合に義務(第37条) | 義務ではない。SDFにはリスク評価の要件あり |
| 現地代理人 | EU域外の管理者/処理者にはArticle 27のEU代理人が必要 | 不要。物理的な拠点も必須ではありません |
| DSARの対応期間 | 1か月 + 複雑な請求には2か月の延長(第12条(3)) | 45日。さらに45日延長可能(第1798.130条) |
| 越境移転 | 制限あり — SCC/BCR/十分性認定が必要(第5章) | 明示的な制限なし。分野別法令に基づく契約上の保護措置 |
| 私的訴権 | あり — 第79条(限定的)+ 第82条の損害賠償 | 第1798.150条に基づくデータ漏えいの場合のみ |
| 子どものデータ | 原則的な同意年齢は16歳未満(加盟国は13歳まで引き下げ可能) | 16歳未満は販売・共有にオプトインが必要。13歳未満は保護者の同意が必要 |
| 削除権 | 消去権(第17条)。例外あり | 削除権(第1798.105条)。例外あり |
| 知る権利/アクセス権 | 第15条 — 確認 + 写しの提供 | 第1798.110条 + 第1798.115条 — カテゴリーおよび具体的なPIの開示 |
| オプトアウトの権利 | 正当な利益に基づく取扱いまたはダイレクトマーケティングに対する異議(第21条) | PIの販売・共有のオプトアウト(第1798.120条)。GPCを尊重する必要があります |
| ポータビリティの権利 | 第20条 — 構造化され、一般的に利用され、機械可読な形式 | ポータブルな形式で受け取る権利(第1798.100条(d)) |
はい、EUの個人とカリフォルニア州の消費者の両方を対象とする場合は必要です。両者には重複する中核的な要件(通知、アクセス、削除)がありますが、同意、漏えい通知の期間、適用地域の点で異なります。マッピングした単一の管理策セットで両方に対応できます。
実質的には、はい。GDPRはすべての取扱い活動に適法根拠を求め、72時間以内の漏えい通知を義務付け、越境移転を制限し、売上高に基づく上限のない罰金を科します。CCPA/CPRAはよりオプトアウト寄りで、罰則は売上高ではなく違反ごとですが、Metaの12億ドルの和解が示すように、総額のエクスポージャーはGDPRに匹敵し得ます。
いいえ。GDPR第3条は域外適用されます。EU域内の人々に商品やサービスを提供したり、その行動を監視したりする場合は適用対象となり、Article 27のEU代理人を選任する必要があります。
正式に相当するものはありません。CCPAは指定された現地代理人を要求していません。ただし、センシティブな金融データや健康データの場合、独自の連絡窓口要件を持つ並行する連邦制度(HIPAA、GLBA)が適用される可能性があります。
GDPR:主導監督機関へ72時間以内。CCPA:固定の期限なく「可能な限り速やかに」 — ただし第1798.150条のクラスアクションにおいて原告側の弁護士は、数日を超えるものは不合理だと主張します。
はい — そうすべきです。検証可能な消費者請求のパイプラインを1つ構築し、その出力をGDPR第15条とCCPA第1798.110条の両方の開示にマッピングします。ただし、期間は短い方の枠(EU居住者は1か月、カリフォルニア州居住者は45日)に合わせてください。
コントロールを一度マッピングすれば、2つの規制に準拠できます。RegulatoryBridgeは、単一のDSARパイプライン、単一のDPO、単一の侵害対応ランブックを提供し、両方のフレームワークをカバーします。