テキサス州データプライバシー法と20州のパッチワーク:2026年のコンプライアンス・プレイブック

約2分Mike ThriftMike Thrift
テキサス州データプライバシー法と20州のパッチワーク:2026年のコンプライアンス・プレイブック

この文章を読み終えるまでに、米国のどこかで消費者が「私の個人情報を販売または共有しないでください(Do Not Sell or Share My Personal Information)」というボタンをクリックしたはずです。もしあなたのビジネスがウェブサイトを運営し、広告を配信し、あるいは顧客のメールアドレスを保存しているなら、その一回のクリックによって、現在施行されている20の包括的な州法のうちの一つ、あるいは複数の下で、すでに義務を負っている可能性があります。そして、ほとんどの中小企業経営者はそのことに気づいていません。

テキサス州データプライバシー保護法(TDPSA)は2024年7月1日に施行され、テキサス州は包括的なプライバシー法をようやく採択した、人口の多い州の中で最後の州の一つとなりました。しかし、TDPSAだけが重要なのではありません。2026年現在、20の州で包括的な消費者プライバシー法が施行されており、12の州でグローバル・プライバシー・コントロール(GPC)のようなユニバーサル・オプトアウト信号の認識が義務付けられています。さらに、2026年1月1日には、インディアナ州、ケンタッキー州、ロードアイランド州の3つの新しい法律が施行されました。初期の州法に猶予を与えていた「是正期間(cure periods)」は2026年を通じて終了(サンセット)しつつあり、法執行はより厳格になろうとしています。

このガイドでは、不要な5万ドルのプライバシー・プログラムを購入することなく、規制当局を遠ざけるために2026年に実際に何を行う必要があるのかを解説します。

なぜテキサス州が予想以上に重要なのか

テキサス州のプライバシー法には、他のすべての州法とは異なる一つの特徴があります。それは、どれだけの収益を上げているか、あるいはどれだけの記録を保有しているかを問わないという点です。重要なのは、あなたのビジネスが米国中小企業庁(SBA)の中小企業の定義(一般的に従業員500人未満で、業界ごとの収益上限がある)に該当するかどうかだけです。

ほとんどの州のプライバシー法(カリフォルニア州のCCPA、バージニア州のVCDPA、コロラド州のCPA、コネチカット州のCTDPA)は、適用範囲を数値的な閾値に紐付けています。例えば、10万人の消費者、あるいは収益の半分以上を個人データの販売から得ている場合は2万5千人の消費者、あるいは年間総収益が2,500万ドルを超えているといった具合です。TDPSAはこれらの閾値を排除しました。

これにより、奇妙な逆転現象が生じます。従業員600人で収益が控えめなテキサスを拠点とする中堅SaaS企業はTDPSAの完全な対象となる一方で、従業員30人で高収益を上げているカリフォルニアのスタートアップは、SBAの閾値では除外されるかもしれませんが、CCPAの収益テストでは対象となります。両方の州でビジネスを行っている場合、都合の良い方を選ぶことはできません。リクエストを行う消費者が居住する州の法律に従わなければなりません。

存在しないはずのTDPSA「機微データ(Sensitive Data)」免除

ここには巧妙な落とし穴があります。たとえあなたのビジネスがSBAの規模基準で中小企業に該当し、TDPSAの対象から外れていたとしても、機微な個人データを販売する前には、消費者の同意を得なければなりません。つまり「免除」は「何でもしていい」という意味ではないのです。健康上の関心、宗教的帰属、正確な位置情報、またはバイオメトリック識別子に関連付けられたメールアドレスを販売する場合、規模に関係なくオプトインによる同意が必要です。

20州のコンプライアンス・マップ

2026年までに、包括的なプライバシー法が施行されている、あるいは施行間近なのは以下の州です:カリフォルニア、バージニア、コロラド、コネチカット、ユタ、アイオワ、インディアナ、テネシー、モンタナ、オレゴン、テキサス、デラウェア、ニューハンプシャー、ニュージャージー、ケンタッキー、ミネソタ、メリーランド、ロードアイランド、ネブラスカ、そしてメリーランド(オンラインデータプライバシー法)。

これらの法律のほとんどは「バージニア・モデル」の構造に従っています。これには、アクセス権、訂正権、削除権、ポータビリティ権、オプトアウト権に加え、通知、データの最小化、処理の制限に関する管理者の義務が含まれます。カリフォルニア州はCCPA/CPRAにより、従業員やB2Bデータまでカバーする広範な範囲、独自のサイバーセキュリティ監査、自動意思決定に関する規制など、独自路線を歩んでいます。

実務上のポイント:各州を個別に考えるのではなく、**「最も厳格な共通項」**に合わせて構築することです。カリフォルニア州、コロラド州、テキサス州の要件に合わせて調整されたプライバシー・プログラムは、他の17州の義務もほぼ網羅することになります。

45日以内に遵守すべき権利

ほぼすべての州法において、消費者には同様の核心的な権利が与えられています:

  • アクセス権 — どのような個人データを保有しているか尋ねることができます。
  • 訂正権 — 不正確なデータの修正を求めることができます。
  • 削除権 — データの削除を求めることができます(法的保持、不正防止、内部利用などの例外あり)。
  • ポータビリティ権 — 機械判読可能なコピーを要求できます。
  • 販売、ターゲティング広告、プロファイリングのオプトアウト — ほとんどの州でセットになっている3つの異なるオプトアウト権です。

ほとんどの法律では、回答までに45日の猶予が与えられており、合理的に必要な場合にはさらに45日の延長が可能です。カリフォルニア州のCCPAも、45日+45日の延長です。テキサス州も、45日+45日の延長です。あなたには、リクエストを受け付け、検証し、履行し、記録する認証済みのリクエスト・ワークフローが必要です。そして、一人の担当者のメールボックスでは処理しきれない規模に対応できる仕組みが必要です。

「認証済み」が実際に意味すること

リクエストを額面通りに受け取ることはできません。誰かがメールで「私のデータをすべて削除してください」と言ってきた場合、その人物が実際にデータ主体(本人)であることを確認する必要があります。一般的な確認方法には以下が含まれます:

  • アカウントログインによるリクエストの確認。
  • 提出された情報と登録済みの記録との照合。
  • ワンタイムコードを含む確認メールの送信。
  • 高リスクのリクエストに対する公証済み宣誓供述書の要求(稀であり、データ損失が壊滅的な結果を招く場合に限定される)。

認証を怠ると2つのリスクが生じます。なりすましのためにデータを削除してしまうこと(削除攻撃)、または個人データを誤った相手に開示してしまうこと(機密性の侵害)です。これらはいずれも違反となります。

グローバル・プライバシー・コントロール:12以上の法律をトリガーする単一のブラウザ信号

2026年に向けたコンプライアンス上の最も重要な技術的変更は、グローバル・プライバシー・コントロール(GPC)です。これはブラウザレベルの信号で、ユーザーがアクセスするすべてのウェブサイトに対して自動的に「自分の個人情報の販売または共有をオプトアウトします」と伝えます。

2026年1月1日までに、カリフォルニア、コロラド、コネチカット、モンタナ、ネブラスカ、ニューハンプシャー、ニュージャージー、ミネソタ、メリーランド、デラウェア、オレゴン、テキサスの12州が、企業に対してGPCを有効なオプトアウト・リクエストとして尊重することを義務付けます。これらの州の中には明示的にGPCを指名しているものもあれば、単に「ユニバーサル・オプトアウト・メカニズム」の承認を求めているものもあり、GPCはその主要な実装形態となっています。

これが技術的に意味することは、ウェブサイトがすべてのリクエストでSec-GPC HTTPヘッダー(または同等のnavigator API)を読み取り、信号を検知した際には、ユーザーに促すことなくデータの販売、クロスコンテキスト行動広告、および共有を抑制する必要があるということです。クッキーバナーも、追加のクリックも不要です。ただ抑制するのみです。

カリフォルニア州は2026年の表示要件を重ねて規定しました。企業は消費者のオプトアウト設定信号が処理されたかどうかを視覚的に示さなければなりません。ページ上の「オプトアウト・リクエスト受理済み(Opt-Out Request Honored)」というインジケーターが標準的な手法となりつつあります。これを怠ると、規制当局(または連続原告)から、オプトアウトが受け入れられたという通知を怠ったと主張される可能性があります。

アドテック・パイプラインの罠

ここが多くの企業が失敗するポイントです。ページレベルでGPCを尊重するのは簡単です。しかし、Google Ads、Meta Pixel、TikTok Pixel、LinkedIn Insight Tag、その他すべてのダイナミックリターゲティングベンダーといった、ダウンストリームのアドテックスタック全体で尊重するのは困難です。これらのベンダーはそれぞれ独自のオプトアウトフラグ、信号、またはピクセルパラメータを持っており、GPCが検出されたときにそれらを設定する必要があります。1つでも見落とすと、州法に違反してそのベンダーとデータを共有し続けることになります。

タグマネージャーを監査してください。サイトで作動するすべてのベンダーについて、どのようにGPCを尊重しているかを文書化してください。マーケティング上の主張を鵜呑みにせず、GPCを有効にしたブラウザとネットワークスニッファーを使用してテストしてください。

敏感なデータ:明示的なオプトインによる同意が必要

ほぼすべての州法において、敏感な個人データの処理には明示的なオプトインによる同意が必要です。敏感なデータには通常、以下が含まれます:

  • 社会保障番号、運転免許証番号、パスポート番号、金融口座の認証情報。
  • 個人の特定に使用されるバイオメトリクスデータ。
  • HIPAA(医療保険の相互運用性と責任に関する法律)の対象となっていない健康・医療情報。
  • 正確な位置情報(通常、1,750フィートまたは同様の半径以内と定義されます)。
  • 人種または民族的出自。
  • 宗教的信念。
  • 性的指向、性自認。
  • 市民権または移民ステータス。
  • 子供の個人データ(13歳未満、場合によっては16歳未満)。

同意は、自由な意思に基づき、具体的で、十分な情報が提供された上での、曖昧さのないものでなければなりません。あらかじめチェックされたボックスは認められません。一般的な利用規約への同意の中に同意を抱き合わせることも認められません。埋もれた開示も認められません。敏感なデータを処理する場合、明確な言葉を用いた専用の同意フローと、同意がいつ、どこで、どのように取得されたかの記録が必要です。

データ処理契約:ベンダー契約は今やコンプライアンス要件

すべての州のプライバシー法は、第三者ベンダー(「処理者」または「サービスプロバイダー」と呼ばれる)と個人データを共有する企業に対し、そのデータを管理する書面による契約(データ処理契約:DPA)の締結を義務付けています。

2026年において準拠したDPAは、以下の事項を満たす必要があります:

  1. 処理の性質、目的、および期間を特定すること。
  2. 関与するデータの種類と消費者のカテゴリを特定すること。
  3. 処理者に守秘義務を課すこと。
  4. 処理者が消費者の権利リクエストを支援することを義務付けること。
  5. 契約終了時に処理者がデータを削除または返却することを義務付けること。
  6. 監査を許可し、再処理者(サブプロセッサー)への義務の継承を要求すること。
  7. 国境を越えた転送を制限し、セキュリティ義務を課すこと。

Stripe、HubSpot、Mailchimp、Intercom、Slack、AWS、Google WorkspaceなどのSaaSツールを使用している場合、それらすべてとのDPAをファイルに保管しておく必要があります。主要なベンダーの多くは、クリック一つで同意できるDPAを提供しています。見落としが発生するのは、ニッチなツール、フリーランサー、請負業者、および「ベンダー」として認識されていなかった単発の統合機能などです。

データ保護アセスメント:リスクの文書化が必要な場合

ほとんどの州法では、リスクが高まる処理活動に対してデータ保護アセスメント(DPA — 紛らわしいことに、データ処理契約と同じ略称です)を義務付けています。トリガーとなる活動には以下が含まれます:

  • ターゲティング広告のための処理。
  • 個人データの販売。
  • 法的または同様に重大な影響を及ぼすプロファイリング。
  • 敏感なデータの処理。
  • 危害のリスクが高まるあらゆる処理。

テキサス、バージニア、コロラド、コネチカットなどの州はすべてこれらを要求しています。アセスメントでは、管理者、消費者、公衆、および処理者にとっての利益と、消費者に対するリスクを比較検討し、文書化された緩和策を講じる必要があります。これらをファイルに保管してください。規制当局は調査中にこれらを召喚(提出命令)することができます。

是正期間の崖:2026年がこれまでと違う理由

初期の州プライバシー法には「是正権(right to cure)」条項が含まれていました。これは、規制当局が違反通知を発行した後、企業が罰則を受ける前に問題を修正できる30日または60日の猶予期間です。これは、いわば「補助輪」として設計されたものでした。

2026年、その補助輪が外れます。コネチカット州、デラウェア州、ケンタッキー州、ミネソタ州、モンタナ州では、2026年を通じて是正期間が段階的に終了(サンセット)します。ロードアイランド州の新法には、最初から是正期間が設けられていません。カリフォルニア州の是正期間は数年前にすでに終了しています。

テキサス州は、期限を設けずに30日間の是正期間を維持していますが、これは異例なほど寛大です。しかし、その30日間の期間を過ぎた後の罰則は、違反1件につき最大7,500ドルに達します。消費者プライバシーの請求において、「違反1件につき」とは多くの場合、影響を受けた消費者1人につきを意味します。これを顧客データベースの数に掛け合わせれば、計算は瞬く間に恐ろしいものになります。

プライバシー・コンプライアンスを帳簿に結びつける

プライバシー・コンプライアンスは、多くの経営者が認識している以上に財務に関わっています。特に以下の3つの領域が重要です。

ベンダー費用の配分: 同意管理プラットフォーム(CMP)、DSAR(データ主体アクセス権)対応ツール、本人確認サービス、プライバシー顧問弁護士の顧問料などのプライバシー・コンプライアンス・ベンダーは、コンプライアンス・コストを取締役に報告し、どの法律に過剰対応し、どこでリスクを受け入れるかのROI(投資対効果)判断を下せるよう、個別に追跡すべき営業費用です。

侵害対応引当金: ほとんどの州法は、潜在的なデータ侵害に備えて資金を確保することを明示的に求めてはいませんが、機密データを大規模に処理している場合、偶発負債のリザーブ(引当金)を構築しておくことは優れた経営習慣です。小規模な侵害であっても、通知コスト、クレジット・モニタリングの提供、フォレンジック調査費用などが発生し、その額は6桁(数十万ドル単位)に及ぶこともあります。

保険の証憑書類: サイバー賠償責任保険の保険会社は、更新時に、書面によるポリシー、DPA(データ処理契約)の棚卸し、GPC(グローバル・プライバシー・コントロール)の実装テスト、DSAR対応ログなど、プライバシー・プログラムの文書化を求めるケースが増えています。正確な記録を維持しているかどうかは、保険料の交渉を有利に進める鍵となります。

プライバシー・コンプライアンス・コスト、ベンダー費用、インシデント対応リザーブを分離した明確な勘定科目表(Chart of Accounts)による正確な簿記を行えば、年次予算レビュー、取締役会報告、保険の更新といった業務の負担は劇的に軽減されます。

実践的な2026年コンプライアンス・スタック

ゼロから始める場合、2026年における米国の中小企業向けの最小限の実行可能なプライバシー・プログラムは以下の通りです。

  1. 適用される法律の特定: 顧客ベース、従業員数、収益を各州の適用基準(しきい値)に照らし合わせます。
  2. 統合された単一のプライバシー通知の公開: 適用される最も厳格な法律を満たす通知を作成します。機密データの開示、販売/共有の開示、処理目的、保存期間、消費者の権利、連絡窓口を含めます。
  3. DSARワークフローの構築: リクエストの受付、本人確認、履行、記録を45日以内に行うためのツール(または、小規模な場合は構造化されたメールとスプレッドシートの手順)を選定します。
  4. GPC(グローバル・プライバシー・コントロール)への対応: ページレベルで信号を読み取ります。信号が設定されている場合は、販売およびターゲット広告ベンダーを停止します。カリフォルニア州のトラフィックがある場合は、オプトアウトが適用されたことを示すインジケーターを表示します。
  5. 全ベンダーとDPAを締結: すべてのベンダーを棚卸しし、DPAを締結して、すぐに見つけられる場所に保管します。
  6. 高リスク処理に対するDPIA(データ保護影響評価)の実施: 各評価を文書化し、ファイルに保存します。
  7. 機密データの同意フローの確立: 明示的なオプトイン(同意)と、その証拠となる記録を管理します。
  8. セキュリティ・プログラムの文書化: ほとんどの州法は「合理的」なセキュリティを求めています。「合理的」とは、書面によるポリシー、アクセス制御、転送中および保管時の暗号化、脆弱性管理、インシデント対応手順などを指します。

中小企業が陥りやすい間違い

  • SBA(中小企業庁)の免除により、TDPSA(テキサス州データプライバシー・セキュリティ法)を完全に回避できると誤認する: そうではありません。機密データの処理には依然として同意が必要です。
  • クッキーバナーを設置すればプライバシー・プログラムは完了と考える: バナーは一つの手段に過ぎません。DSARプロセス、DPA、またはGPC対応の代わりにはなりません。
  • ベンダーへの義務の継承(フローダウン)を無視する: ベンダーとのDPAでは、そのベンダーが再処理委託先(サブプロセッサー)に対しても義務を継承させることを求める必要があります。ほとんどの標準的なDPAには含まれていますが、署名前に確認してください。
  • オプトアウトをマーケティング上の決定事項として扱う: オプトアウトへの対応は法的な要件であり、単なる好みではありません。リターゲティングのパフォーマンスが低下するとしても、データフローを停止しなければなりません。
  • 行動を起こす前に是正期間を過ぎてしまう: 違反通知を受け取った場合、猶予期間は限られています。直ちに行動し、是正内容を文書化し、規制当局から書面による確認を得てください。

初日からコンプライアンス記録を正確に保つ

複数の州にまたがる複雑なプライバシー・コンプライアンス・プログラムを構築していく中で、ベンダーの請求書、コンサルタントの顧問料、保険料、インシデント対応コストなどが蓄積され、それらを追跡、分類、報告する必要があります。Beancount.io は、財務データに完全な透明性とバージョン管理を提供するプレーンテキスト会計(Plain-text accounting)を実現します。これにより、年次の取締役会報告、保険の更新、コンプライアンス・コスト分析が、ブラックボックス化した台帳と格闘するよりも劇的に容易になります。 無料で開始 して、開発者、財務専門家、そしてプライバシーを重視する経営者が、なぜビジネスの帳簿管理にプレーンテキスト会計を信頼しているのかを確かめてください。