オクラホマ州が全米20番目のデータプライバシー法を制定——AI・健康データ規定も
2026年3月、オクラホマ州のKevin Stitt知事がSB 546(オクラホマ・コンピュータ・データ・プライバシー法)に署名した。これにより、オクラホマ州は全米で20番目に包括的消費者データプライバシー法を持つ州となった。連邦レベルのプライバシー法が依然として不在の中、州単位の規制が加速度的に広がっている。
注目すべきは、SB 546がAIによるプロファイリングや健康データに関する明示的な規定を含む「最新世代」の法律であるという点だ。2018年のカリフォルニア州CCPA以降、各州の法律は世代を重ねるごとに精緻化しており、オクラホマ州法はその最先端に位置づけられる。
SB 546の主要ポイント
適用範囲と閾値
SB 546は、オクラホマ州の消費者のデータを処理する事業者のうち、以下のいずれかの条件を満たす企業に適用される。
- 年間で10万人以上のオクラホマ州消費者の個人データを処理する事業者
- 年間で2万5,000人以上の消費者データを処理し、かつ個人データの販売から売上の25%以上を得ている事業者
この閾値はコロラド州(CPA)やコネチカット州(CTDPA)と同等であり、中小企業への過度な負担を避けつつ、一定規模以上のデータ処理を行う企業には義務を課すバランス型の設計だ。
消費者の権利
SB 546は消費者に以下の権利を付与する。
- アクセス権: 事業者が保有する自分の個人データの内容を確認する権利
- 修正権: 不正確な個人データの修正を求める権利
- 削除権: 個人データの削除を要求する権利
- データポータビリティ権: 自分のデータを機械可読形式で受け取る権利
- オプトアウト権: ターゲティング広告、個人データの販売、プロファイリングを拒否する権利
特にオプトアウト権については、「ユニバーサル・オプトアウト・メカニズム」(GPC: Global Privacy Control など)への対応が求められる点が先進的だ。消費者が一度ブラウザ設定を変更すれば、対応する全サイトに自動的にオプトアウト信号が送られる仕組みである。
AI・自動意思決定に関する規定
SB 546の最大の特徴は、AIによるプロファイリングと自動意思決定に関する明示的な規定を含む点だ。
- 事業者はAIを用いたプロファイリングを行う場合、消費者に対して事前通知とオプトアウトの機会を提供する義務がある
- 雇用、信用、保険、教育、住居など「重要な意思決定」にAIを使用する場合、人間による審査を受ける権利が消費者に保障される
- プロファイリングの目的、使用するデータの種類、消費者への影響について透明性のある説明が必要
これはEUのAI規制法(AI Act)のアプローチに近く、米国の州法としては最も包括的なAI関連規定の一つと言える。
健康データの保護強化
HIPAA(医療保険の携行性と責任に関する法律)の適用対象外となる消費者健康データに対する保護も強化された。ウェアラブルデバイスのデータ、フィットネスアプリのデータ、生殖医療に関するデータなどが「センシティブデータ」として扱われ、処理には消費者の明示的な同意が必要になる。
ワシントン州の「My Health My Data Act」(2024年施行)に倣った規定で、HIPAA以外の文脈での健康データ収集が急増している現状に対応したものだ。
以下の図は、全米におけるデータプライバシー法の制定タイムラインと、2026年に交差する3つの重要な力を示しています。
全米20州のプライバシー法一覧
2026年3月時点で包括的データプライバシー法を持つ20州を以下にまとめる。
| # | 州 | 法律名 | 施行年 | 特徴 |
|---|---|---|---|---|
| 1 | カリフォルニア | CCPA/CPRA | 2020/2023 | 米国初、私的訴権あり |
| 2 | バージニア | VCDPA | 2023 | ビジネスフレンドリー型 |
| 3 | コロラド | CPA | 2023 | ユニバーサルオプトアウト必須 |
| 4 | コネチカット | CTDPA | 2023 | 子供のプライバシー強化 |
| 5 | ユタ | UCPA | 2023 | 最小限の義務型 |
| 6 | インディアナ | ICDPA | 2026 | バージニア型ベース |
| 7 | アイオワ | ICDPA | 2025 | 限定的権利 |
| 8 | テネシー | TIPA | 2025 | アフィニティベース広告除外 |
| 9 | モンタナ | MCDPA | 2024 | 人口最少の制定州 |
| 10 | オレゴン | OCPA | 2024 | 非営利団体にも適用 |
| 11 | テキサス | TDPSA | 2024 | 売上閾値なし(全事業者対象) |
| 12 | デラウェア | DPDPA | 2025 | 閾値3.5万人(最も低い) |
| 13 | フロリダ | FDBR | 2024 | 子供のプライバシーに注力 |
| 14 | ニューハンプシャー | NHPA | 2025 | コネチカット型ベース |
| 15 | ニュージャージー | NJDPA | 2025 | 閾値なし(全事業者対象) |
| 16 | ネブラスカ | NDPA | 2025 | テキサス型ベース |
| 17 | メリーランド | MODPA | 2025 | データ最小化義務が厳格 |
| 18 | ミネソタ | MCDPA | 2025 | 包括的権利セット |
| 19 | ケンタッキー | KCDPA | 2026 | バージニア型ベース |
| 20 | オクラホマ | SB 546 | 2026 | AI・健康データ規定 |
主要州法の比較
以下の図は、カリフォルニア州、コロラド州、テキサス州、オクラホマ州、そしてEUのGDPRを比較したものです。
| 比較項目 | CA (CCPA/CPRA) | CO (CPA) | TX (TDPSA) | OK (SB 546) | GDPR (EU) |
|---|---|---|---|---|---|
| 施行年 | 2020/2023 | 2023 | 2024 | 2026 | 2018 |
| 適用閾値 | $25M売上等 | 10万人以上 | なし | 10万人以上 | 全事業者 |
| オプトアウト権 | あり | あり | あり | あり | あり |
| 削除権 | あり | あり | あり | あり | あり |
| AI規定 | 限定的 | プロファイリング | 限定的 | 明示規定 | AI Act連携 |
| 健康データ | あり | あり | あり | 強化 | あり |
| 私的訴権 | 限定あり | なし | なし | なし | あり |
| 制裁金上限 | $7,500/件 | $20,000/件 | $25,000/件 | $7,500/件 | 売上4% |
連邦プライバシー法の不在が意味するもの
米国には依然として包括的な連邦データプライバシー法が存在しない。2022年に提出されたADPPA(American Data Privacy and Protection Act)は下院を通過したものの、上院で頓挫した。2024年・2025年にも複数の法案が提出されたが、いずれも成立に至っていない。
この「連邦レベルの空白」が生み出す最大の課題はパッチワーク問題だ。全米で事業を展開する企業は、20州それぞれの法律に個別に対応する必要がある。各州法は基本的なフレームワークは類似しているものの、適用閾値、消費者の権利の範囲、センシティブデータの定義、制裁金の水準などが微妙に異なる。
コンプライアンスコストの観点から見ると、IAPP(International Association of Privacy Professionals)の推計では、50州すべてが独自の法律を持った場合のコンプライアンスコストは、単一の連邦法に比べて5〜10倍になる可能性があるとされている。
2026年は「3つの力が交差する年」
IAPPの分析によれば、2026年のデータプライバシー環境は以下の3つの力が同時に作用する、過去に例を見ない年となる。
1. 新法制定の加速
オクラホマ州に続き、2026年中にさらに複数の州が新法を制定する見通しだ。ペンシルベニア州、ニューヨーク州、イリノイ州、マサチューセッツ州などで法案が審議中であり、年内に25州を超える可能性がある。
2. 既存法の改正強化
カリフォルニア州ではCPRAの追加規則が施行され、コロラド州やコネチカット州でも法改正が進行中だ。先行州が法律をアップデートすることで、規制水準の底上げが起きている。特にAI関連の規定と子供のプライバシー保護が重点領域となっている。
3. 過去最強の執行環境
法律があっても執行されなければ意味がないが、2026年は州司法長官による積極的な執行が目立つ。カリフォルニア州のCPPA(California Privacy Protection Agency)は2025年に複数の大型案件で制裁金を課し、他州にも波及効果が生まれている。FTC(連邦取引委員会)もプライバシー関連の執行アクションを強化しており、「法律があるだけ」の時代は終わりつつある。
企業が取るべき対応
コンプライアンス・チェックリスト
オクラホマ州のSB 546、および広がる州レベルの規制に対して企業が対応すべき事項を整理する。
- データマッピングの実施: どのデータがオクラホマ州消費者のものか特定する。IPアドレス、購入履歴、ウェブサイト訪問者情報を含む
- プライバシーポリシーの更新: SB 546の要件に合致するよう開示事項を追加する。特にAIプロファイリングと健康データに関する説明が必要
- オプトアウト・メカニズムの実装: Global Privacy Control(GPC)シグナルへの対応を含む。ブラウザからのオプトアウト信号を認識・処理する技術的仕組みの構築
- 同意管理プラットフォーム(CMP)の導入・更新: OneTrust、TrustArc、Cookiebotなどのツールで、州ごとの同意要件を一元管理する
- AIシステムの監査: プロファイリングや自動意思決定に使用しているAIシステムを棚卸しし、透明性要件と人間審査プロセスを整備する
日本ではどうなるか
改正個人情報保護法との比較
日本では2025年に改正個人情報保護法が施行されたが、米国の州法と比較するといくつかの違いが際立つ。
日本法はオプトイン型(同意取得が原則)であるのに対し、米国の多くの州法はオプトアウト型(消費者が拒否しない限り利用可能)を採用している。一方で、SB 546のAI規定は日本の「AI事業者ガイドライン」(2024年策定)に近い方向性を持っており、日米の規制が部分的に収斂し始めている。
日本企業への影響
米国市場でビジネスを展開する日本企業にとって、20州のプライバシー法はもはや無視できない。特に以下のケースで直接的な影響がある。
- ECサイト運営: 米国消費者向けのオンラインショップは、各州法の閾値を超えれば適用対象になる
- SaaS提供: 米国企業にSaaSを提供し、その過程で米国消費者のデータを処理する場合
- アプリ配信: App StoreやGoogle Play経由で米国ユーザーにアプリを配信する場合
- 子会社経由: 米国子会社が処理するデータも親会社の責任範囲に含まれる場合がある
GDPRとの「二重対応」から「三重対応」へ
日本企業の多くはすでにGDPRと日本の個人情報保護法への対応を進めているが、今後は米国の州法群への対応も加わり「三重対応」が必要になる。コンプライアンスツールの選定において、日本法・GDPR・米国州法群のすべてをカバーできるプラットフォームを選ぶことが合理的だ。
まとめ——アクションステップ
オクラホマ州のSB 546署名は、米国データプライバシー規制の「モメンタム」が衰えるどころか加速していることを示している。
-
即座にデータマッピングを実施する: 自社がどの州の消費者データを処理しているかを把握し、20州すべての法律への適合状況を確認する。まだ対応していない企業は、最も厳格なカリフォルニア州CPRAをベースラインとして準拠するのが効率的だ
-
AI利用の棚卸しを行う: SB 546のAI規定に限らず、EUのAI Actも含め、AIプロファイリングに関する透明性と説明責任の要件は今後グローバルに強化される。自社のAI利用状況を文書化し、リスク評価を実施する
-
2026年後半の動きを注視する: ペンシルベニア州やニューヨーク州など、経済規模の大きい州での法制化が進めば、事実上の「連邦法と同等のインパクト」が生まれる。四半期ごとに法規制の最新動向をレビューする体制を整える
-
コンプライアンス・ツールへの投資を検討する: 同意管理プラットフォーム(CMP)やプライバシー管理ツールの導入は、手動対応のコストを考えれば長期的に合理的な投資だ。OneTrust、BigID、TrustArcなどの主要ベンダーを比較評価する
パッチワーク規制が広がるほど、「最も厳しい法律に合わせて全社統一の基準を設ける」アプローチが現実的になる。プライバシー対応を経営コストではなく信頼構築への投資と捉え直す企業が、長期的に競争優位を築くだろう。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星