HOME
著書/論文
個人情報保護・プライバシー 2025年の振り返りと2026年の展望～米国編～

Publication

ニュースレター

2026年1月

個人情報保護・プライバシー 2025年の振り返りと2026年の展望～米国編～

著者等: 逵本麻佑子、水越政輝、早川健、木原慧人アンドリュー（共著）

全文ダウンロード（PDF）

出版社: 長島・大野・常松法律事務所

書籍名・掲載誌: NO&T Data Protection Legal Update ～個人情報保護・データプライバシーニュースレター～No.66（2026年1月）

関連情報

本ニュースレターでは、5回にわけて国・地域別に同テーマをご紹介していますので、以下もご参照ください。

No.65（2026年1月）「個人情報保護・プライバシー 2025年の振り返りと2026年の展望～日本編～」
No.67（2026年1月）「個人情報保護・プライバシー 2025年の振り返りと2026年の展望～欧州編～」
No.68（2026年2月）「個人情報保護・プライバシー 2025年の振り返りと2026年の展望～東南アジア・インド・オーストラリア編～」
No.69（2026年2月）「個人情報保護・プライバシー 2025年の振り返りと2026年の展望～東アジア編～」

ニュースレター

セミナー

データプライバシー・セキュリティの最新潮流：国内外の動向を読み解く（2026年2月）

特集

個人情報保護・データプロテクション

業務分野

キーワード

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日（作成日）時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

1. 米国における包括的データプライバシー法

(1) 2025年の包括的データプライバシー法の動向

　2025年も、連邦レベルでの包括的なデータプライバシー法の不在を背景として、州レベルでの包括的なデータプライバシー法の継続的な進展がみられます。連邦レベルでは、議会における継続的な議論にもかかわらず、2024年4月に法案が提出されたAmerican Privacy Rights Act（APRA）も成立せず、連邦レベルでの包括的なデータプライバシー法の制定は未だ見通しが立っていません。州レベルでは、これまで以下の20州において包括的なデータプライバシー法が制定されており、2025年は新たな個人情報保護法を制定した州はなかった一方、8つの州（コロラド州、コネチカット州、バージニア州、ユタ州、テキサス州、オレゴン州、モンタナ州、及びケンタッキー州）においては既に成立した包括的なデータプライバシー法に改正がなされています。

州	法令	施行日
カリフォルニア州	California Consumer Privacy Act（CCPA）、California Privacy Rights Act（CPRA）	2020年1月1日、 2023年1月1日
バージニア州	Virginia Consumer Data Protection Act（VCDPA）	2023年1月1日
コネチカット州	Connecticut Data Privacy Act (CDPA)	2023年7月1日
コロラド州	Colorado Privacy Act（CPA）	2023年7月1日
ユタ州	Utah Consumer Privacy Act (UCPA)	2023年12月31日
オレゴン州	Oregon Consumer Privacy Act (OCPA)	2024年7月1日
テキサス州	Texas Data Privacy and Security Act （TDPSA）	2024年7月1日
フロリダ州	Florida Digital Bill of Rights	2024年7月1日
モンタナ州	Montana Consumer Data Privacy Act	2024年10月1日
アイオワ州	Iowa Consumer Data Protection Act (ICDPA)	2025年1月1日
デラウェア州	Delaware Personal Data Privacy Act (DPDPA)	2025年1月1日
ネブラスカ州	Nebraska Data Privacy Act (NDPA)	2025年1月1日
ニューハンプシャー州	New Hampshire Data Privacy Act	2025年1月1日
ニュージャージー州	New Jersey Data Privacy Act	2025年1月15日
テネシー州	Tennessee Information Protection Act	2025年7月1日
ミネソタ州	Minnesota Consumer Data Privacy Act（MNCDPA）	2025年7月31日
メリーランド州	Maryland Online Data Privacy Act（MODPA）	2025年10月1日
インディアナ州	Indiana Consumer Data Protection Act (ICDPA)	2026年1月1日
ケンタッキー州	Kentucky Consumer Data Protection Act	2026年1月1日
ロードアイランド州	Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA)	2026年1月1日

(2) 各州の包括的データプライバシー法の概要

① 適用要件

　上記の各州の包括的データプライバシー法は、基本的に当該州において事業を行っている、又は当該州の住民を対象に商品若しくはサービスを提供していることがその適用の要件となっています。これに加えて、売上高、取り扱う個人情報の数、及び個人情報の販売等から得る収益の額や割合に関する要件のいずれか又は複数を満たせば法の適用を受けるという形になっている場合が多い一方、テキサス州法（TDPSA）やネブラスカ州法（NDPA）においては、当該州の居住者の個人データを処理又は販売し、米国中小企業庁（U.S. Small Business Administration）が定義する「small business」※1に該当しない者、という適用要件が定められています※2。

　なお、CCPA※3においては、CCPAの適用要件を満たす会社と支配又は被支配の関係にあり、当該会社とブランド（名称、サービスマーク及び商標を指す。）を共通にし、かつ当該会社から個人情報の共有を受けている場合は、CCPAの適用を受けることになります。したがって、米国子会社がCCPAの適用を受ける場合、米国で直接事業を行っていない日本の親会社もCCPAの適用を受ける可能性がある点には留意が必要です。

② 保護対象となる個人データ・個人情報

　保護対象となる個人データ（personal data）又は個人情報（personal information）は、各州法において、概ね、当該州の居住者（又は世帯）を識別し又は識別可能な情報と定義されています。もっとも、CCPA以外の各州法においては、雇用又はB2Bの文脈で取得される個人データ・個人情報には、原則として当該州法上の義務の適用がないものとされています※4。

　また、これまで制定されたすべての州法において、センシティブデータについてより高度な保護が定められており、多くの州法においてセンシティブデータの収集・処理のためには本人の同意が必要とされています※5。人種及び宗教的信条はすべての州法においてセンシティブデータに含まれており、この他、多くの州法において、国籍、健康情報、（個人を特定する目的での）遺伝子及びバイオメトリックデータ、性的指向、正確な位置情報、子どものデータがセンシティブデータに含まれます。2025年に制定又は改正された複数の州法では、以下のとおり、「センシティブデータ」に分類されるデータのカテゴリーを拡大したり、より厳格な規制を課しています。

バイオメトリックデータ
コロラド州（CPA）	生体認証が個人の識別に使用されない場合でも収集前の明示的な同意を要求消費者が要求した場合、バイオメトリックデータの種類又は説明、出所、収集又は処理の目的、データを受け取る第三者の特定、及び第三者に開示されたバイオメトリックデータのカテゴリーを含む、バイオメトリックデータに関するより詳細な情報を消費者に提供することを義務付けデータの保持期間のスケジュールを含む書面のポリシーを作成及び維持する義務、及び一定期間経過後の削除義務の追加
コネチカット州（CDPA）※6	一部のバイオメトリックデータ及び遺伝情報の定義から「個人を一意に識別する目的で」との限定を削除し、当該データに由来する情報もバイオメトリックデータ及び遺伝情報の対象となることを明確化
位置情報データ
オレゴン州（OCPA）	正確な位置情報データ（消費者又はデバイスの位置を1,750フィート以内で特定するデータとして定義）の販売を全面的に禁止
メリーランド州（MODPA）	位置情報データをセンシティブデータに含め、収集・処理・共有を原則として禁止
コロラド州（CPA）	未成年者からの正確な位置情報データの収集にオプトイン同意を要求し、事前の明示的な同意のないセンシティブデータ（正確な位置情報データを含む）の販売を禁止

③ 義務の内容

(i) プライバシー通知の提供

　これまで制定されたすべての州法において、管理者は消費者に対してプライバシー通知を提供することが義務付けられており、プライバシー通知には、管理する個人データの種類、個人データ収集・処理の目的、個人データを共有する第三者の種類や共有される個人データの種類、消費者の権利行使方法などを記載することが要求されています。また、多くの州法において、管理者が個人データを第三者に対して販売する場合や、ターゲティング広告やプロファイリング目的で処理する場合には、当該販売・処理を行っている旨及び消費者によるオプトアウト権の行使方法についての開示が求められています。

　なお、個人データの販売（sale）の定義については、概ね、管理者が第三者との間で個人データを金銭的対価と交換すること、としている州と、管理者が「金銭又はその他の価値のある対価」のために第三者に個人データを開示等すること、としている州があり、後者の場合、管理者が金銭的対価を受領しなくとも何らかの事業上の利益を得る場合には販売に該当し得る可能性がある点には留意が必要です。また、多くの州法において、関連会社（affiliate）（支配し、支配され又は共通支配下にあるエンティティ等と定義される場合が多い。）への個人データの開示及び処理者への個人データの開示は販売の定義から除外されています。

(ii) 処理者の義務

　多くの州法において、処理者（管理者のために個人データを処理する者）には、管理者（個人データを収集しその処理の目的及び方法を決定する者）からの指示に従う義務が課されており、また、消費者からの権利行使への対応、個人データの処理に係る安全性の確保、データ保護アセスメント等に関する管理者への協力義務が課されています。加えて、これまで制定されたすべての州法において、管理者と処理者との間でデータ処理契約を締結することが求められており、当該契約において、個人データを処理する者に対して守秘義務を課すこと、個人データを保護するために適切な技術上及び組織上の措置を講じること、サービス提供終了時に個人データを削除又は返却すること、管理者による処理者のポリシーや技術上・組織上の措置への評価に協力すること、といった内容を規定することが求められています。

(iii) データ保護アセスメント

　多くの州法において、消費者に対して高いリスクを生じさせるような個人データの処理を行う場合にはデータ保護アセスメントを行うことが求められています。また、デラウェア州法（DPDPA）、インディアナ州法（ICDPA）及びバージニア州法（VCDPA）においては、特に、ターゲティング広告、個人データの販売及びプロファイリングを行う場合にもデータ保護アセスメントを行うことが求められています。

(iv) プライバシー保護に関する責任者の任命

　ミネソタ州法（MNCDPA）では、プライバシー通知の実装、MNCDPAの遵守及び消費者の権利行使への対応について責任を負う責任者を任命すること、並びに当該責任者の連絡先を書面により開示することを求めています。今後他の州においても、プライバシーガバナンスの強化に関する規制が設けられる可能性があります。

④ 消費者の権利

　殆どの州法において、消費者の権利として個人データへのアクセス権、訂正権及び削除権が定められており、また、多くの州法において、ターゲティング広告やクロスコンテキスト行動広告、個人データの販売及びプロファイリングからのオプトアウト権が認められています。オプトアウト権の行使に関しては、近時ユニバーサル・オプトアウト・メカニズム※7が拡大しており、2025年末時点で12州※8が事業者にユニバーサル・オプトアウト信号を尊重することを要求しています。規制の対象となる事業者は、オプトアウト信号を尊重し、関連する個人データの販売又は共有を中止しなければなりません。

　また、自動意思決定技術（Automated Decision-making Technology（「ADMT」））※9に関する新たな消費者の権利を導入する動きも見られます。ミネソタ州法（MNCDPA）は、消費者に自動化された意思決定を行うためのプロファイリングからオプトアウトする権利だけでなく、そのようなプロファイリングの結果に異議を唱える権利を認めています。また、カリフォルニア州は、2025年にカリフォルニア州プライバシー保護局（California Privacy Protection Agency（「CPPA」））により最終化された規則に基づき、2027年1月1日以降、事業者がADMTを用いて、金融・融資サービス、住宅、教育への入学、雇用、医療サービス等の提供又は拒否といった「重要な決定」を行う場合に、消費者にオプトアウト権及びアクセス権を認めることとしています。

(3) プライバシー通知における米国法対応

　CCPAが州における包括的なデータプライバシー法の先駆けであったことから、これまで、米国におけるプライバシー通知に関しては、CCPAで要求される記載事項についてのみ別途の記載を設けている場合が多く見られました。上記(2)③(i)記載のとおり、概ね各州法においてプライバシー通知に記載が要求される事項は共通しているものの、州によって特有の要求が定められている場合もあり、特定の州法に対応した規定を設ける必要がないかを検討する必要があります。CCPA以外の各州法において特徴的な事項には、例えば以下のようなものがあります。

コロラド州（CPA）	個人データを共有する第三者のカテゴリーを記載する際に、第三者の種類、ビジネスモデル又は処理活動について消費者が意味のある理解をできるよう記載すること（例えばanalytics companies、data brokers、third-party advertisers、payment processors、lenders、other merchants、government agenciesなど）プロファイリングからのオプトアウトに関し、プロファイリングの対象となる決定の内容、プロファイリングに使用又は処理される個人データのカテゴリー、プロファイリングに使用されるロジック等プロファイリングの詳細を記載すること
コネチカット州（CDPA）	（2026年7月1日以降）管理者が大規模言語モデルのトレーニングのために個人データを収集、使用又は販売するかどうかを記載すること
ミネソタ州（MNCDPA）	管理者のデータ保持についてのポリシーを記載すること
ロードアイランド州（RIDTPPA）	個人データを販売する商用ウェブサイト又はインターネットサービスプロバイダの管理者は、個人データを販売し又は販売する可能性のある第三者をすべて特定すること

　オンラインで商品やサービスを提供している場合など、全米の各州の居住者から個人データを集める可能性がある場合は、各州で求められる要件を包括的にカバーするプライバシーポリシーの作成を検討することが考えられます。他方、一定の限定された州でのみ事業を行っている場合や、各州の最低限の要請にのみ従ったプライバシーポリシーを作成したいという場合は、共通のプライバシーポリシーに加えて各州の要請に従った内容を記載した別途のプライバシーポリシーを用意するという方法も考えられます。

2. その他の注目すべき法令の動向

(1) AI規制※10

① トランプ政権における連邦レベルでのAIによるイノベーションの促進の重視

　米国では、AIに関して、連邦レベルでは、米国のAI競争力確保と国家安全保障への配慮という2つの政策課題がより顕在化しています。ドナルド・トランプ大統領は、就任初日の2025年1月20日に「Executive Order 14148: Initial Rescissions of Harmful Executive Orders and Actions」（有害な大統領令及び措置の初期的撤回）を発出し、これにより、バイデン前政権が発出していた「Executive Order 14110: Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」（人工知能の安全・安心・信頼できる開発と利用に関する大統領令）等を撤回しました。そして、続く1月23日には、「Executive Order 14179: Removing Barriers to American Leadership in Artificial Intelligence」（人工知能における米国のリーダーシップに対する障壁の除去）（以下「大統領令14179」）を発出し、AI政策を経済競争力と国家安全保障の問題として明確に位置付け、AIによるイノベーションを促進し、イノベーションに対する政府の規制上の障壁や管理を排除することを示しました。

　また、2025年7月には、大統領令14179に沿ったAI政策の主要な優先事項を概説した「Winning the Race America’s AI Action Plan」と題するAI行動計画（以下「AI行動計画」）が発表されるとともに、当該計画を実施するように行政機関に指示する3つのAI関連の大統領令が発出されました。AI行動計画では、「Recommended Policy Actions」として、バイデン前政権下における連邦取引委員会（FTC）の調査を見直し、AIによるイノベーションに過度な負担をかけないことを確認し※11、また、すべてのFTCの最終命令等を見直し、AIによるイノベーションに過度な負担をかけるものを修正又は取り消すよう努めることとしています。

② 州ごとの独自のAI関連法、及びこれを制限する大統領令

　州レベルでは2025年にもAI関連法の成立に向けた活発な動きがあり※12、すべての州において何らかのAI関連法令が成立しているか、又は法案が検討されている状況です。個々の法令・法案の内容としては、各分野における具体的なリスクに対応した個別の規制を設ける傾向が見られ、データプライバシー法令のようにパッチワーク化が進行するとともに、上記の自動意思決定技術のようなデータプライバシー法令の改正と相まって規制が複雑化しています。

　一方で、2025年12月11日には、「Ensuring a National Policy Framework for Artificial Intelligence」（AIに関する国家政策枠組みの確保）の大統領令が発出されました※13。同大統領令における主な指示は以下のとおりです。

連邦政策に反する州のAI関連法に異議を申し立てるための司法省AI訴訟タスクフォースの設置を司法長官に対して指示（30日以内）
既存の州のAI関連法の評価を公表することを商務長官に対して指示（90日以内）
煩雑な（onerous）AI関連法を有する州が受給資格のないことを明記した、連邦政府の一定の助成プログラムに対する州の受給資格の条件を示す政策通知を発行することを商務長官に対して指示（90日以内）
連邦政府の政策と対立する州の規制を撤廃する制度の確立に向けた立法勧告の作成を科学技術担当大統領補佐官及びAI・暗号資産担当特別補佐官に対して指示

　州レベルでのAI関連法令の制定は2026年も積極的に行われることが見込まれますが、上記の大統領令による影響を受けるのかを含めて今後も州法の進展と連邦法のAI関連法の展開については注視する必要があります。

(2) 子どものデータ保護

　米国では、子どものデータ保護に係る規制が進んでおり、2025年の主な動きとしては以下が挙げられます。

① 連邦におけるCOPPA規則の改正

　Children’s Online Privacy Protection Act (COPPA)は、13歳未満の子どもを対象としたウェブサイト又はオンラインサービスの運営者、及び13歳未満の子どもからオンラインで個人情報を収集していることを実際に認識しているその他のウェブサイト又はオンラインサービスの運営者に対して、親権者の同意を得ること等を定めていますが、その規則であるCOPPA規則について、FTCは、2025年4月に改正を行いました（同改正の施行は、2026年4月22日）。主な改正内容は以下のとおりです。

個人情報の定義の拡大
生体認証識別子や政府発行の識別子を含める
ウェブサイト又はオンラインサービスが子ども向けであるかどうかの判断要素の追加
類似のウェブサイトやサービスにおけるユーザーの年齢などの要素を考慮する可能性があることを追加
親権者に対する直接の通知事項の追加
個人情報の開示がウェブサイト又はオンラインサービスの運営に不可欠な場合を除き、親権者は第三者への開示に同意することなく個人情報の収集と利用に同意できる旨を記載することを追加
オンライン通知事項の追加
(a)個人情報の開示先の身元と具体的なカテゴリー、(b)（親権者の同意の例外となる）内部業務をサポートするために永続的な識別子をどのように使用するか、(c)事業者が子どもの声を含む音声ファイルを収集する場合における当該音声ファイルの使用方法、及び収集の目的となった要求に応じた後直ちに事業者が当該音声ファイルを削除すること、等の事項を追加
親権者の同意を検証するための方法の追加
親権者の同意を検証するために許容される方法として、(a)子どもが回答しにくい動的な多肢選択式の質問による知識ベース認証、(b)政府発行の写真付き身分証明書の提出、(c)（個人情報を開示しない場合の）同意した個人が親権者であることを確認するためのフォローアップテキスト、手紙、電話などの追加手続を伴うテキストメッセージの利用の追加
セキュリティに関する具体的な義務の追加
子どもの個人情報に係るセキュリティプログラム（事業者の規模、複雑性、及び事業活動に適したものでなければならない）を文書化して実施する義務（プログラムの監督を行う従業員の指定、子どもの個人情報の機密性と完全性に対する内部及び外部のリスクの評価、リスクに対処するための保護措置の導入と維持、保護措置の有効性についての定期的なテスト、少なくとも年に1回のプログラムの見直しと更新を含む）を追加
データ保持期間
事業者が子どもの個人情報を無期限に保持することを禁止し、収集された特定の目的を達成するために合理的に必要な期間のみ、そのような情報を保持できることを明確化

② 子どものデータ保護に関する州法

　州法レベルでも、子どものデータ保護を目的とする立法の動きが2025年も活発であり、その内容はいくつかの類型に整理することができます。例えば、COPPAに類似して一定の年齢未満の子どもの個人情報の処理について同意取得等を要求する法律としては、アーカンソー州で2025年4月に成立した「Arkansas Children and Teens’ Online Privacy Protection Act」（2026年7月に施行予定）で「children」（13歳未満）や「teen」（13歳から16歳）に分けてそれぞれ保護を図っています。また、ニューヨーク州でも、18歳未満の未成年者のデータ保護を図る「New York Child Data Protection Act」が2025年6月に発効しています。

　また、アプリストアに関する法律として、ユタ州では、2025年3月に、「Utah App Store Accountability Act」（ユタ州アプリストア説明責任法）により、アプリストアのプロバイダーに全ユーザーの年齢確認を義務付ける全米初の州法を制定しました。同法は、2026年5月に施行されることとなっており、未成年者がアプリをダウンロード若しくは購入、又はアプリ内課金を行う前に、プロバイダーが検証可能な親権者の同意を得ることなどの義務がアプリストアのプロバイダー及び開発者に課されています。なお、これと同様の観点で、テキサス州及びルイジアナ州でもアプリストアに関する法律が制定されています。

　さらに、この他にも、未成年者のソーシャルメディアの利用を直接に規律する法律や、包括的なデータプライバシー法の中で未成年者保護の規定を設ける州法もあり、規制の切り口は多様化しています。このように、子どものデータ保護をめぐる州法の動向は、州ごとに異なる形で展開されており、関連する州法について継続的に注視していくことが必要な状況といえます。

(3) サイバーセキュリティ

　サイバーセキュリティに関連する法令として、連邦レベルでは、2025年に適用が開始されることが見込まれていたものとして、2022年3月にバイデン前大統領によって署名された Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)があります。同法は、重要インフラのサイバーインシデントについてCISA（サイバーセキュリティ及びインフラストラクチャーセキュリティ庁：Cybersecurity and Infrastructure Security Agency）への報告を義務付ける規定を置いており、CISAによる最終規則が公表されることにより、対象となるエンティティが対象となるサイバーインシデントについて72時間以内に報告すること、及び対象となるランサム支払い（ransom payment）を24時間以内に報告することが求められます。もっとも、当該最終規則は2025年10月に公表されると見込まれていましたが、現在では2026年5月に公表される見込みのようです。

　州レベルの特筆すべき動向としては、カリフォルニア州において、2025年9月に採択されたCCPAに係る規則により、サイバーセキュリティ監査に係る義務が課されることが挙げられます。初回のサイバーセキュリティ監査については、事業の収益が1億ドルを超える場合は2028年4月1日まで、事業の収益が5,000万ドルから1億ドルの場合は2029年4月1日まで、そして事業の収益が5,000万ドル未満の場合には2030年4月1日までに、それぞれサイバーセキュリティ監査の実施の証明書をCPPAに提出しなければならないこととなります。

(4) 懸念国による米国人の機微個人データのアクセス防止に関する最終規則の公表及び発効

　2024年12月に米国司法省の国家安全保障部が公表していた、2024年2月に発令されたバイデン前大統領の「懸念国による大量の米国人の機微個人データ及び米国政府関連データへのアクセス防止に関する大統領令」を実施する最終規則が、2025年4月8日に発効しました。当該最終規則は、生体認証情報やゲノムデータ、健康データ、位置情報データ等の機微情報が懸念国によって収集されることで、ビッグデータ分析やAIによる分析を経て、サイバー攻撃やスパイ活動に利用されるおそれがあるほか、米国に対する潜在的な戦略的優位性の特定につながる可能性があることから、懸念国及び懸念国の個人やエンティティ等に対して、大量の米国人の機微個人データ及び米国政府関連データの提供を制限又は禁止するとともに、特定のデータ取引に従事する企業にデューディリジェンス及びセキュリティ確保義務を課しています※14。

3. 当局による執行事例

(1) FTCによる主な執行事案

　2025年も、消費者のプライバシー保護に関するFTCの法執行権限を積極的に行使する傾向が継続しています。主な執行事案としては以下が挙げられ、子どものデータ保護に関する事案の執行に積極的であることが見受けられます。

No.	日付	事案	違反/処分内容
1.	2025年10月1日	Apitor Technology Co., Ltd.に対してCOPPA規則違反について50万ドルの民事制裁金を支払うべき等の命令を公表	アプリで子どもの位置情報を収集するにあたり、親権者の同意を得ることなく、第三者（中国所在の事業者）に子どもの位置情報を収集させていたこと等についてCOPPA規則への違反
2.	2025年12月31日	Disney Worldwide Services, Inc.に対してCOPPA規則違反について1,000万ドルの民事制裁金の支払いを行うべき等の命令を公表	親権者に対してCOPPA規則の要件を満たす直接の通知を行わなかったこと、子どもに関する個人情報の取扱いについてCOPPA規則の要件を満たすオンライン通知を行わなかったこと、及び、子どもの個人情報を収集、利用又は開示するに先立ち検証可能な親権者の同意を取得していなかったこと等についての違反

(2) 州当局における主な執行事案

　消費者のプライバシー保護に関する各州の執行に関しては、特にカリフォルニア州において、CCPA違反に関して積極的な執行が行われています。2025年のCCPAに関する主な執行事案は以下のとおりです。

No.	日付	事案	違反/処分内容
1.	2025年3月12日	CPPAが、日本の自動車会社の米国子会社がCPPAとの間で63万2,500ドルの罰金を支払うこと等で合意したことを公表	権利行使の際に必要でない個人情報を要求したことすべての権利行使について一律の本人確認用の情報入力フォームが用意されているが、販売・共有のオプトアウトやセンシティブ情報の使用制限の権利行使には本人確認の情報提供は不要であり、また、本人確認の目的からすれば不要な購入製品の入力欄がフォームに記載されていた代理人による権利行使の場合に本人に授権したことを確認したことについても同様の違反 Cookieの設定個人情報の販売・共有のオプトインとオプトアウトのしやすさが異なっていた（オプトインについては「Allow All」を押す1クリックで足りるのに対して、オプトアウトについてはアクティブボタンを外して「Confirm My Choices」を押す２クリックが必要）第三者との契約個人情報を開示する広告業者との間でCCPAに基づき求められるプライバシー保護に係る条項を含む契約を締結していなかった
2.	2025年5月6日	CPPAが、衣料販売業者のTodd Snyder, Inc. がCPPAに対して34万5,178ドルの罰金を支払うこと等に同意したことを公表	プライバシーポータルの技術インフラストラクチャを適切に構成できなかったため、40日間、個人情報の販売又は共有について消費者がオプトアウトを求めることができなくなっていた消費者が個人情報の販売又は共有を拒否する前に、本人確認を行うことを義務付けていた（すなわち、販売・共有のオプトアウトには本人確認の情報提供は不要であるにもかかわらず本人確認の情報を求めていた）消費者の権利行使に基づく要求を処理するために必要以上の情報を提出することを要求していた※15
3.	2025年7月1日	カリフォルニア州司法長官が、健康情報サイトを運営するHealthline Media LLC が155万ドルの民事制裁金を支払うこと等に同意したことを公表	消費者に対してターゲティング広告からのオプトアウトを認めておらず、また、CCPAで義務付けられているプライバシー保護措置を講じることなく第三者にデータ（個人の健康状態に関する情報も含まれていた）を共有していたとして、民事制裁金の支払い、及び、これに加えて、消費者が既に特定の医療状態と診断されている可能性があることを明らかにする記事のタイトルを第三者と共有することの禁止も同意の内容に含まれている
4.	2025年9月30日	CPPAが、米国の49州で2,500以上の店舗を運営する農村生活用小売業者のTractor Supply Companyが135万ドルの罰金を支払うべきことを公表	販売・共有のオプトアウト消費者が「Do not Sell My Personal Information」を選択した場合でも、広告目的で使用される第三者のトラッキング技術を通じて個人情報を引き続き販売・共有していたプライバシーポリシーでオプトアウトプリファレンスシグナル（Opt-out preference signal）について説明すべきであったにもかかわらず当該説明がされていなかった他社に対する個人情報の開示にあたり、CCPAに基づき求められるプライバシー保護に係る条項を含む契約を締結せずに他社に対して個人情報を開示していた消費者への通知プライバシーポリシーにおいて消費者の権利を記載していなかった採用応募者への通知カリフォルニア州の採用応募者に対してプライバシー権及び権利の行使方法を通知していなかった
5.	2025年10月30日	カリフォルニア州司法長官が、ストリーミングサービスを提供するSling TV LLCが、53万ドルの民事制裁金を支払うこと等に同意したことを公表	Sling TV LLC及びDish Media Sales LLCにおいて、消費者に対して個人情報の販売を停止するための容易に利用可能な方法を提供しておらず、また、子どもの個人情報に対する十分なプライバシー保護を講じていなかったなどとして、民事制裁金の支払い、及び、これに加えて、消費者がCCPAに基づくオプトアウトを容易に行えるようにすることとされた
6.	2025年11月21日	カリフォルニア州司法長官が、ゲーム会社であるJam City, Inc.が、140万ドルの民事制裁金を支払うこと等に同意したことを公表	ゲームアプリにおいて、個人情報の販売・共有のオプトアウトの方法を消費者に提供しなかったなどとして、民事制裁金の支払い、及び、これに加えて、個人情報の販売・共有についてオプトアウトの方法を提供すること、及び13歳以上16歳未満の消費者の個人情報を積極的なオプトインの同意なしに販売・共有してはならないこととされた

　その他の州において、2025年における特筆すべき執行事例としては、例えば、以下の事案があります。

No.	日付	事案	違反/処分内容
1.	2025年7月8日	コネチカット州司法長官がTicketNetwork, Inc.がCDPA違反で8万5,000ドルを支払うことで和解したことを公表	コネチカット州法（CDPA）に関して、プライバシー通知の大部分が判読不能であったこと、重要な権利について記載されていなかったことなどについて同社に対してCDPA違反の是正通知を行ったものの、それに対して是正がなされなかった
2.	2025年10月31日	テキサス州司法長官が、Googleが13億7,500万ドルを支払うことで和解したことを公表	テキサス州司法長官が、位置情報、シークレット（インコグニート）ブラウジングの利用状況及び生体識別子に関する利用者のデータを違法に追跡・収集したとしてGoogleを提訴し、その後和解した

　なお、2025年4月、カリフォルニア州のCPPAと、カリフォルニア州、コロラド州、コネチカット州、デラウェア州、インディアナ州、ニュージャージー州、オレゴン州の州司法長官により、消費者保護の目的でプライバシー法の執行協力を行うコンソーシアムが立ち上げられており、同年10月にはミネソタ州とニューハンプシャー州も当該コンソーシアムに加わっています。このため、今後、各州における執行の連携が積極的に行われていくことが見込まれます。

4. 2026年の展望

　2020年に施行されたカリフォルニア州のCCPAに関しては、ますます活発な執行が行われるようになっており、その後に包括的なデータプライバシー法が制定されたその他の州においても、州法の制定後には同様に次第に執行が本格化していくことが見込まれます。特に、事業者においては、データマッピングやデータ保護アセスメント、データ管理ポリシーなど、個人データに関するガバナンスを整備し書面化しておくことが重要となります。また、連邦レベルでの包括的なデータプライバシー法制定の動きも注目されますが、当面は州レベルでの規制が続くとみられ、事業者としては各州法の制定・改正及び執行の動向を注視する必要があります。

　また、本ニュースレターで紹介したとおり、データ保護・プライバシーとの関連では、包括的なデータプライバシー法に限らず、AI規制、子どものデータ保護、サイバーセキュリティといった関連する規制動向についても注視する必要があります。米国では、連邦レベル及び州レベルの動向についてそれぞれ把握しながら具体的に対応を進めていく必要があり、かつ政治的な理由により規制環境の大きな変化も生じやすい状況ですので、当事務所としても、2026年には引き続き米国の動向について事業者の皆さまの参考となる情報発信をして参ります。

脚注一覧

※1
業種毎に一定の従業員数や年間売上高の基準が定められています。

※2
この他、コネチカット州法（CDPA）においては、未成年者に対してサービスを提供する場合には一定の義務の対象となり、2026年7月の法改正以降は、一定のセンシティブデータを取り扱う場合も適用対象となるものとされています。

※3
以下、California Privacy Rights Act（CPRA）による変更を含みます。

※4
コロラド州法（CPA）においては、上記にかかわらず、従業員及び独立請負人のバイオメトリックデータには同法の適用があるとされています。

※5
CCPAにおいては本人の同意は必要とされず、本人にセンシティブ個人情報の利用を制限する権利を与えることが求められています。ユタ州法（UCPA）及びアイオワ州法（ICDPA）においても、センシティブ個人情報の収集・処理に本人の同意は求められておらず、事前の通知及びオプトアウト権の付与が求められています。他方、メリーランド州法（MODPA）においては、消費者の同意にかかわらず、センシティブデータの収集・処理は、消費者から要請される特定の製品やサービスの提供や維持のため厳密に必要な限度でのみ可能とされている点、及びセンシティブデータの販売は一切禁止されている点が特徴的です。

※6
2026年7月1日に施行される改正法に基づく。同改正法により、ニューラルデータ、政府発行の識別番号、アクセス認証情報と組み合わされた金融口座番号等がセンシティブデータのカテゴリーに追加されます。

※7
ユニバーサル・オプトアウト・メカニズム（Universal Opt-out Mechanism（UOOM））は、消費者がブラウザ又はデバイスベースの信号を通じてプライバシー設定を事前選択し、複数のウェブサイト全体での特定のデータ処理活動をオプトアウトする意図を伝えることができる機能です。消費者のオプトアウト設定を自動的に示すブラウザ拡張機能であるGlobal Privacy Controlなどがあります。

※8
カリフォルニア州、コロラド州、コネチカット州、デラウェア州、モンタナ州、ネブラスカ州、ニューハンプシャー州、ニュージャージー州、オレゴン州、テキサス州、ミネソタ州、及びメリーランド州。

※9
一般的には、自動化された手段（例えば、技術を使用して消費者の性格、興味、行動、又は位置情報を分析する）を使用して消費者を評価する技術を指し、消費者を広告のターゲットとするためのグループ配置や、従業員採用時における履歴書のスクリーニングなどが含まれます。

※10
2025年4月時点の米国AI規制の全般的な状況については、2025年4月テクノロジー法ニュースレターNo.62/米国最新法律情報No.146「＜AI Update＞米国AI規制の現在地 ―連邦及び州レベルによる規制の最新動向―」をご参照ください。

※11
実際に2025年12月22日には、2024年のAIライティングツールの販売業者に対するFair Trade Commission Act 5条違反による同意命令事案について、当該同意命令を取り消す命令を公表しています。

※12
上記の2025年4月テクノロジー法ニュースレターNo.62/米国最新法律情報No.146「＜AI Update＞米国AI規制の現在地 ―連邦及び州レベルによる規制の最新動向―」においては、各州におけるAI関連法の主な規制分野と具体例も挙げていますので、併せてご参照ください。

※13
なお、これ以前にも、連邦上院議会では州のAI規制を一時停止する条項を含む連邦法案が議論されましたが、2025年7月に最終的に当該条項は削除されました。

※14
より詳細な内容については、2025年3月米国最新法律情報No.141/個人情報保護・データプライバシーニュースレターNo.55「懸念国による米国人の機微個人データのアクセス防止に関する最終規則の公表」をご参照ください。なお、司法省は、2025年4月に、そのウェブサイトにおいて、コンプライアンスガイダンス、FAQ、実装及び執行ポリシーを公表しています。

※15
具体的には、政府の発行する文書の提出を求めたことが、本人確認において必要以上の情報の提供に該当する旨の判断が示されています。

2026年1月22日

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。

全文ダウンロード（PDF）