ドキュメントはじめに

CCPAへの準拠

最終更新日: 2026年6月2日

作成対象:

  • Beginner
  • Intermediate
  • Admin
  • Leader
  • User
NOTE
この情報は、Adobe Commerceのマーチャントおよび開発者がカリフォルニア州消費者プライバシー法の影響を理解するのに役立つ一連のトピックの1つです。 情報は法律のテキストに基づいています。 CCPAが自社ビジネスに適用されるかどうかを確認するには、弁護士に相談してください。

​ カリフォルニア州消費者プライバシー法 (CCPA)は、カリフォルニア州の消費者が、自身の個人情報がどのように収集、保存、使用されるかを決定する権利を拡大するものです。 その重点は、消費者を不正な販売や交換、またはその個人情報から保護することです。 CCPAは2018年に制定され、2020年1月1日に発効しました。

CCPAは、消費者に次の新しい権利を付与します。

  • 過去12か月間に収集、使用、共有、または販売された個人情報のカテゴリを​知る権利。
  • 企業やサービスプロバイダーが保有する特定の種類の個人情報を削除する権利
  • 個人情報の販売をオプトアウトする権利
  • CCPAに基づくプライバシー権を行使したことによる価格またはサービスに関する差別を受けない権利

CCPAの目的で、このコンテキストの個人情報は次のように定義されます。

特定の消費者または世帯を特定し、関連し、説明し、関連づけることができるか、または特定の消費者または世帯と直接または間接的に合理的にリンクできる情報。 (セクション 1798.140)

この点に関して、他の法律や規制の文脈で個人データと見なされない特定のデータ要素を対象としています。 加盟店は、この点に留意しながら、法律を遵守するかどうか、またどのように遵守するかを決定する必要があります。

CCPAはまた、企業に​ 合理的なセキュリティ ​を提供することを義務付けており、データ侵害が発生した場合に法的措置を講じる権利を含め、消費者に対する拡張されたデータ保護規定を含んでいます。

自社と自社ビジネスに適用される可能性のあるCCPA要件を遵守する必要があるかどうか、またどのように遵守すべきかを、法務担当者と相談しながら判断します。 これには、企業が法律に従って導入しなければならない新しい通知、オプトアウト、記録保持の要件が含まれます。

ビジネス要件

CCPAは、カリフォルニア州でビジネスを行い、次のいずれかを満たす非営利企業に適用されます。

  • 年間総収益が2,500万ドルを超える
  • 10万人以上のカリフォルニア在住の方、世帯、デバイスの個人情報を購入、受信、販売します
  • カリフォルニア在住の方の個人情報を販売することで、年間売上の50%以上を得ることができます。

CCPA コンプライアンスガイド

このセクションでは、カリフォルニア州消費者プライバシー法(CCPA)などのプライバシー規制を遵守するために必要な手順の概要を説明します。

GDPRとCCPA

ビジネスが一般データ保護規則 (GDPR)とCCPAの両方に準拠する必要がある場合は、CCPAのGDPR コンプライアンスプログラムの作業の一部を使用できます。 これらの規制にはいくつかの類似点がありますが、次のような違いがあります。

  • 個人情報の定義は、各規制によって異なります。
  • GDPRでは、消費者が個人データを特定の目的のために使用する前に、オプトインすることを義務付けており、CCPAは消費者にオプトアウトする権利を提供します。
  • CCPAには、データインベントリとマッピングの要件が追加されています。
  • この規制には、プライバシーポリシーの要件が異なります。

GDPRを遵守している企業は、CCPAにもとづいて追加の義務を負っている可能性があります。 詳しくは、CCPA ファクトシート ​を参照してください。

コンプライアンスロードマップ

コンプライアンスに対応するための計画を策定し、実施するためには、連携した取り組みが必要です。 このロードマップは、リソースを動員し、タスクに優先順位をつけるためのガイドとして利用すれば、複数の分野を先に進むことができます。 基本的に、次の例外を除いて、すべてのCommerce インストールで同じプロセスになります。

  • クラウドインフラストラクチャ上のAdobe Commerce: Adobe ​ クラウドインフラストラクチャ ​でホストされている店舗を持つマーチャントは、Adobe Commerce テクニカルアカウントマネージャーまたはカスタマーサポートに、消費者のリクエストに対応するためのサポートを求めることができます。

  • オンプレミス: Adobe CommerceまたはMagento Open Sourceをオンプレミスにインストールしているマーチャントは、プライバシー規制に関するコンシューマーの要求に対応して管理するための独自のプロセスとツールを開発する必要があります。

ステップ 1:部門横断的なチームを編成し、規制コンプライアンスに対応する

ビジネスにおける次の機能的な役割を表すチームを編成し、トレーニングセッションをスケジュールして、法規制のスピードを高めます。 次に、役割ごとに関係者に必要なタスクを割り当てます。

  • ビジネス戦略とオペレーション
  • 法務
  • It
  • ユーザーエクスペリエンス
  • カスタマーサービス
  • 管理サポート

ビジネスの観点からは、これらのプライバシー保護対策をカリフォルニア州の消費者にのみ適用するのか、場所に関係なくすべての消費者が利用できるようにするのかを判断する必要があります。

ステップ 2:デジタルプロパティの一覧表を作成する

関係者:​情報テクノロジー、法務、管理サポート

あらゆる統合機能や消費者データへのアクセス権限を含む、デジタルプロパティを包括的に把握します。

  1. web サイトとモバイルアプリケーションを通じて、どのようなパブリックおよびプライベートの個人情報が収集されるのかを把握します。 例えば、標準的なCommerce データベースには、次の種類の公開個人情報と非公開個人情報が格納されます。

    • パブリック: ウィッシュリスト、製品レビュー

    • プライベート:顧客情報、注文情報、報酬ポイント、ギフトレジストリ、アドレス帳、ストアクレジット、支払い方法、請求契約書、ニュースレター購読、招待状。

      Commerceのインストールがカスタマイズされている場合、追加の個人情報が収集される可能性があります。 個人情報は、cookie、タグ、および情報を収集するその他のテクノロジーに格納されている場合もあります。

  2. データを共有する関係者を特定する: このリストには、サービスプロバイダーと第三者が含まれている必要があります。 第三者には、広告ネットワーク、インターネットサービスプロバイダー、データ分析プロバイダー、政府機関、オペレーティングシステムおよびプラットフォーム、ソーシャルネットワーク、消費者データの再販業者などが含まれます。これらの企業は、消費者から個人情報を直接収集しません。

    • サービスプロバイダー:業務目的で消費者データにアクセスでき、お客様に代わってサービスを提供するエンティティ。 例えば、Adobeは、カスタマイズ、拡張機能、サービスの開発者と同様に、サービスプロバイダーです。

      Google Universal Analytics、Google Tag Managerなど、お客様が使用しているその他のデータサービスのデフォルト設定を確認し、この規制に準拠するために必要な変更を行います。 詳しくは、Googleのプライバシー設定を参照してください。

    • その他の第三者:消費者データを共有または販売するエンティティ。 例えば、広告と引き換えに、消費者データを広告ネットワークと共有できます。

ステップ 3:ストアでのカスタマージャーニーとデータ収集プロセスをマッピングする

関係者: ユーザーエクスペリエンス、情報技術、管理サポート

  1. 個人情報が収集される[ カスタマージャーニー]の各ポイントと、各ステップで収集される情報の種類を特定します。

    サイトへの訪問者には、事前またはデータ収集時点で通知する必要があります。 例えば、カスタム統合を持たないストアは、顧客アカウントの作成時やチェックアウト時に個人情報を収集します。 ストアにカスタム統合がある場合は、データ項目や属性が追加されていることもあります。

  2. 各バージョンに適用できるデータフロー図とデータベースエンティティのマッピングについては、次のトピックを参照してください。

    ​ ダイアグラム ​

手順4:顧客の要求に対応するための手順と仕組みの構築

関係者: カスタマーサービス、情報技術、ユーザーエクスペリエンス、管理サポート

データ管理の観点から、個人情報の請求には次の関係者が関与します。

  • データ主体 (消費者): CCPAに基づき、購入や顧客アカウントの維持のために個人情報を提供するカリフォルニア州の個人は、個人データへのアクセスまたは削除の要求を送信することができます。

  • CCPA (ブランド)の範囲内で企業として活動する法人:Commerceの販売者が、店舗で購入する顧客およびゲストから個人情報を収集して保存します。

  • データ処理者 (テクノロジーベンダー): Adobe CommerceとMagento Open Sourceは、販売者に提供されるサービスの一部として保存される個人データの処理者として機能します。 Adobeは、処理者として、ライセンス契約に従って販売者の許可と指示に従って個人データを処理します。

販売者は、次の操作を行う責任があります。

  1. データ主体アクセス要求(DSAR)に関与する関係者を特定し、知る、オプトアウト、削除を要求した人物のIDを確認します。 これは、パスワードで保護された顧客アカウントを持っている人、またはゲストとしてストアで買い物をする人が適用されます。

  2. 消費者から検証可能な消費者リクエストを受け取ってから45日以内に、権利の要求に応じて消費者に情報を開示および提供します。ただし、それが不可能な場合を除きます。 (この法律には、企業が最長45日間の遅延に対するコンプライアンスを維持するための他の要件が含まれています)。

    加盟店は、リクエストを受け取った日から45日以内に各DSARに応答する必要があります。 必要に応じて、加盟店はリクエストを受け取った日から最大90日間、対応までに最大45日かかる場合があります。 これには、加盟店が遅延の理由を説明するように顧客に通知する必要があります。

  3. ストアで必要な通知を提示し、消費者の反応を収集する仕組みを構築する。

  4. 対応手順を確立し、次の各要求を文書化します。

    • 知っておくリクエスト – お客様のストアへの訪問者には、お客様が個人情報を販売または第三者と共有する必要がある取り決めを通知し、オプトアウトを許可する必要があります。 お客様による個人情報の使用の詳細、およびお客様がデータを共有または販売する関係者は、プライバシーポリシーに維持することができます。

    • オプトアウトの要求 – 個人データが貴重な検討と引き換えに販売または第三者に転送される場合、CCPAは、収集された各時点で​個人情報を販売しない リンクを要求します。 チェックボックスやボタンなどの追加のユーザー対応の入力制御は、電子メール通信、web サイトの環境設定、またはデータ収集時にweb サイトフォームで使用して、個人が有効なオプトアウトリクエストを送信できるようにします。

    • 削除リクエスト

      • Adobe Commerce Cloudでストアをホストしている販売者は、Adobe サポートに連絡して個人情報の削除をサポートする必要があります。 詳細については、Adobeのテクニカルアカウントマネージャーまたはカスタマーサポートにお問い合わせください。
      • Adobe CommerceまたはMagento Open Sourceをオンプレミスでインストールしている販売者は、独自のプロセスとスクリプトを導入して、リクエストに応じて個人情報を削除する必要があります。

手順5:必要な顧客通知のコンテンツを作成する

関係者:​法務、カスタマーサービス、ユーザーエクスペリエンス、情報テクノロジー、管理サポート

  1. 弁護士と連携し、CCPAの要件を満たすためにweb サイトに追加する必要がある通知の種類を決定します。

    • 収集のお知らせ:消費者から個人情報が収集されるまでの間に行われる通知。 通知は平易な言葉で書かれ、平均的な人にわかりやすいものでなければなりません。 通知は目立つようにし、web サイトのコンテンツと同じ言語で提供する必要があります。

    • オプトアウト権の通知:消費者に個人情報の販売をオプトアウトする権利を通知する通知。

    • 金融インセンティブのお知らせ:会社が個人情報と引き換えに受け取る各金融インセンティブ、価格、またはサービスの差額を説明する通知。

    • 個人情報の収集および使用に関するリクエストを送信する方法:個人について収集した個人情報を開示するリクエストを送信するための個人に対する手順(以下を含む):

      • 消費者について収集した特定の個人情報
      • 消費者について収集した個人情報のカテゴリ
      • 個人情報の収集元のカテゴリ
      • 業務目的で販売または開示した消費者に関する個人情報のカテゴリ
      • 業務上の目的で個人情報を販売し、又は開示した第三者の区分
      • 企業が個人情報を収集および/または販売する理由

  2. コンテンツをチームに送信し、可能であれば法務担当者にレビューを依頼します。

  3. 通知がどこで表示されるか、どのように機能するか(各訪問、認証時、クリックスルー時)、他のコンテンツに対する通知の位置と形式を決定します。

  4. 承認されたコンテンツを開発チームに引き継ぎます。

手順6:サービスプロバイダーとの契約書の確認

関係者:​法務、管理サポート

CCPA要件を反映するために、すべてのサービスプロバイダーの契約を確認し、必要に応じて更新します。

手順7:プライバシーポリシーの更新

関係者:​法務、管理サポート

現在のプライバシーポリシーを確認し、追加の開示が必要な場合はそれを検討します。

  • 個人情報の使用:収集する個人情報と、個人情報の販売と引き換えに受け取る金銭的インセンティブを開示する必要があります。 また、CCPAに基づくインセンティブの許容の仕組み、個人情報の価値の計算方法を説明する必要があります。

  • 同意年齢:未成年者に関する個人情報を収集または使用する場合、次の要件が適用される場合があります。

    • 未成年者< 13:13歳未満の未成年者が個人情報の販売にオプトインするには、保護者の承認が必要です。

    • 未成年者13歳から16歳未満:13歳以上16歳未満の未成年者は、当該企業が当該行為を文書化するための合理的なプロセスを確立している場合、個人情報の販売をオプトインすることができます。 このプロセスは、会社の​ プライバシーポリシーに記載する必要があります。 企業が、この年齢層の未成年者からリクエストを受けた場合、後でオプトアウトする権利を未成年者に通知し、その方法を説明する必要があります。

    note important
    IMPORTANT
    販売者は、Commerce プラットフォームまたはシステムに子どもの個人データを保存することを禁止されています。 収集したデータが未成年者に属すると考えられる理由がある場合は、Adobe ライセンス条件に違反しないように、ただちにCommerce プラットフォームからデータを削除する必要があります。

手順8:関連するすべての手順を文書化し、記録を保持する

関係者: カスタマーサービス、管理サポート

個々の権利に関するリクエストを受け取ってから24か月間、リクエストと企業の対応を記録します。

recommendation-more-help
commerce-admin-help-getting-started