更新されたCCPA規則がカリフォルニア州行政法事務所により承認される

カリフォルニア州行政法局は、2025年7月にカリフォルニア州プライバシー保護庁によって承認されたCCPA規則の更新に承認の印を押し、改訂された規則は今後カリフォルニア州規則集（CCR）に掲載される予定である。改訂された規則には、人工知能の使用、リスク評価、サイバーセキュリティ監査にとどまらず、自動意思決定技術（ADMT）に関する新たな規則が含まれ、プライバシー通知、サービスプロバイダー契約、その他の規制要件などの分野における既存の規則の更新や明確化も行われている。改正された規制には、保険会社のみを対象とした新たな規制も含まれている。 

現行規則の変更は2026年1月1日に発効する。ただし、ADMT、リスクアセスメント、サイバーセキュリティ監査に関する特定の新しい要件は、発効日が後に設定されている：

• サイバーセキュリティ監査の発効日は企業の年間売上高によって異なり、売上高が1億ドルを超える企業は2028年4月1日、5,000万ドル以上1億ドル未満の企業は2027年4月1日、5,000万ドル未満の企業は2030年4月1日となる。 
• 改正規則に基づきリスクアセスメントを実施する必要がある企業は、2026年1月1日から遵守を開始しなければならないが、2028年4月1日までは、リスクアセスメントが完了した旨の証明書およびその結果の概要を提出する必要はない。 
• 重要な意思決定のためにADMT技術を使用する企業は、2027年1月1日までは新しいADMT規制を遵守する必要はない。 

企業への影響

企業は、すべての新規制が適用されるわけではないことに留意すべきである。新しいADMT、リスクアセスメント、サイバーセキュリティ監査の各規制が適用されるには、一定の閾値がある。例えば、ADMT規制は、ADMT（これもまた、人工知能の使用だけでなく、他のより伝統的な技術にも適用される可能性がある）が規制で定義される「重要な意思決定」に使用される場合にのみ適用される。企業は、新たな規制が自社に適用される場合（適用される可能性がある場合）には、どの規制が適用されるかを確認し、適切な場合には、遵守のための計画を開始すべきである。 

サイバーセキュリティ監査要件の対象となる比較的小規模な企業の場合）発効日が4年以上先になるものもあるが、新規制の中には、早期開始が有益となる計画やリソースを要するものもある。一方、比較的大規模な企業（年間売上高が1億ドルを超える企業）は、かなりの情報技術インフラを保有している可能性が高く、サイバーセキュリティ監査を完了するための短期間（3年未満）の猶予はあっという間に過ぎてしまうだろう。そのような企業は、期限を遵守するために直ちにリソースを割り当てる必要がある。 

カリフォルニア州プライバシー保護局（CPPA）は本日、カリフォルニア州行政法局がサイバーセキュリティ監査、リスク評価、自動意思決定技術（ADMT）、保険会社、および既存のCCPA規制の更新を対象とする規制を承認したことを発表した。

参考記事を見る