メインコンテンツへスキップ
AI アプリがカリフォルニアの消費者に触れる場合、3 つの CCPA / CPRA の義務が リクエストパス自体に着地します:それを必要としないモデルに消費者の個人情報を 漏らさないこと(§1798.100)、機微な個人情報に高度な取り扱いを与えること (§1798.140)、そして規制者に示せる記録を保持すること(§1798.130)。 CCPA / CPRA パックは、それらをひとつの呼び出しでインストールする強制された コントロールに変えます — ゼロからのポリシーオーサリングは不要です。 このページは CCPA AI ランディングです:パックのインストールが実際に何を実体化 するか、ひとつの具体的なインストールフロー、そして消費者のオプトアウト権がどこに 適合するか。完全なコンテンツ層のリファレンスについては、ここで再読するのではなく リンクをたどってください。

1. CCPA / CPRA パックがインストールするもの

カタログの閲覧はどのワークスペースメンバーにも無料です;インストールは 有料プランのワークスペース管理者アクションです(ゴーライブと同じゲート — プランゲーティングを参照)。ひとつの インストールが、カリフォルニア民法のセクションにマッピングされた実在する編集可能な ガードレールの行を実体化します:
消費者の個人情報(email、電話、SSN、クレジットカード、IP)が存在するときに 入力ステージでリクエストをブロックする厳格な PII ガードレール — そのため、 それはプロバイダに決して到達しません。これはリダクタではなく、ハードリジェクト コントロールです。
機微な識別子 — SSN、クレジットカード、IBAN — を両方のステージでマスク する PII ガードレール。マスクされたエンティティは [SSN][CREDIT_CARD] のような型付きタグとしてレンダリングされるため、SPI カテゴリは高度なリダクトされた 取り扱いを得ます。
PII の出現をフラグし、すべてのガードレール決定を記録保持エビデンスとして 記録するログガードレール — トラフィックをブロックまたは変更せずに — あなたの 監査人が読む署名付きレポートに供給します。
パックはあなたが所有する出発点であり、ブラックボックスではありません。それが 書き込むすべてのルールは、後でコンソールで編集、並べ替え、再ターゲット(input / output / both)、無効化できる通常のガードレールの行です。バンドルされたエンティティ セットとエンティティごとのアクションオーバーライドは ガードレールリファレンスにあります。

2. CCPA / CPRA パックをインストールする(ひとつの具体的なフロー)

コンソールの Compliance → Packs から、有料プランのワークスペース管理者 としてサインインしてインストールします。コンソールがあなたのセッションを使って 管理ルートを駆動します — これは UserAuth ルートで、リレー(sk-orca-…)キーでは 決してありません: 
POST /api/compliance/packs/ccpa/install
Authorization: Bearer <your console session>
コミットする前に、メンバーとしてカタログを開き、どのフレームワークにマッピング しているかを正確に確認します: 
GET /api/compliance/catalog
Authorization: Bearer <your console session>

{
  "key": "ccpa",
  "name": "CCPA/CPRA",
  "framework": "California Consumer Privacy Act (as amended by CPRA)",
  "jurisdiction": "US-CA"
}
強制する前に見守りたいなら、まず観察でインストールしてください。§1798.100 コントロールはハードブロックです — 実体化されたルールを 1 週間 audit モードで動かす ことで、実際の消費者リクエストが停止される前に、それがどのトラフィックを拒否した であろうかを正確に示します。観察 vs 強制を参照。

3. リクエスト上の消費者 PII コントロール

load-bearing な CCPA コントロールは、消費者の個人情報をモデルから遠ざけることで あり、ゲートウェイ上ではそれはリクエストがプロバイダに到達する前に評価される PII ガードレールです。パックは 2 つの補完的な姿勢を出荷します:
コントロールアクション何をカバーするか
個人情報block(input)email、電話、SSN、クレジットカード、IP
機微な PImask(both)SSN、クレジットカード、IBAN
ブロックはリクエストを完全に拒否します;マスキングは機微な識別子を型付きタグに 置き換えて通します。どの姿勢がどのトラフィックに適合するかをあなたが決めます — 両方ともインストール後は通常のガードレールの行なので、エンティティを block から mask に切り替え、エンティティセットを狭め、または製品固有の識別子のために独自の カスタムエンティティパターン(regex、オプションの Luhn チェック)を追加できます。
入力ステージのコントロールは完全にライブです。ストリーミング出力のライブ マスキングはロードマップ上です — 今日、出力ステージのマスキングは非ストリーミング のみで、出力のブロックはストリーミングと非ストリーミングの両方のレスポンスで 強制されます。完全に強制される入力ステージを中心に、消費者 PII 最小化を計画して ください。

4. オプトアウト権(人間側)

CCPA の特徴的な消費者の権利 — 個人情報の販売または共有のオプトアウト(§1798.120) — と収集時通知の義務(§1798.130)は、準備状況チェックリストの組織的コントロール であり、ゲートウェイがあなたのためにオーサリングできるルールではありません。それらは リクエストパスではなく、あなたのビジネスプロセスに依存します。
OrcaRouter はこれらを準備状況項目として追跡するため、監査人は完全な CCPA 像を 見ますが、Do-Not-Sell ワークフローとあなたのプライバシーポリシー開示は あなたが運用するものです。ゲートウェイは、それが強制するもの(上記の PII と記録 保持のコントロール)を証拠立てます;あなたは、それが見られないものをアテストします。 分割は責任共有ページにマッピング されています。

5. レジデンシー、保持、消費者削除

3 つのワークスペースレベルの設定が CCPA 姿勢を仕上げます:

エビデンスのためのレジデンシー

署名付きレポートをリージョン(us / eu / uk / ap / cn / global)で スタンプして、カリフォルニアの監査人が US レジデントのエビデンスを読むように します。レポートを生成するに設定してください — それはアーティファクトを 統制し、推論がどこで動作するかは統制しません。

ログ保持

リクエストログ保持はデフォルトで 30 日180 日最大値にサーバークランプ されます。それを下げると、消費者データがログに存在するウィンドウが縮みます。
消費者の削除リクエスト(§1798.105)は、OrcaRouter のアカウントセルフ削除に マッピングします:猶予してからスクラブするフロー — リクエスト時のソフト削除と ログインブロック、キャンセル可能な 30 日ウィンドウ、それからリクエストログ、 ガードレールマッチ、ファイアウォールイベントを横断してパージをカスケードする 不可逆な PII スクラブ。完全なフローは消去権 ページにあります。 レジデンシーをワークスペース管理者として設定します — UserAuth ルートで、 コンソールから駆動します: 
PUT /api/compliance/residency
Authorization: Bearer <your console session>
Content-Type: application/json

{ "region": "us" }

6. 署名付きレポートで証明する

パックがライブになったら、コンプライアンスレポートを生成します:それは SHA-256 ハッシュ化され Ed25519 署名されているため、監査人はそれが OrcaRouter によって 生成され改変されていないことを検証できます — 公的に、ログインなしに。 
POST /api/compliance/reports
Authorization: Bearer <your console session>
Content-Type: application/json

{ "framework": "ccpa" }
誰もが公開鍵に対して署名を検証でき、監査人にスコープされた時間制限付き共有リンクを 手渡せます。仕組みは署名付きレポートレポートを検証するにあります。

7. これがどう位置づけられるか

CCPA / CPRA はより広いコンプライアンスループのひとつのフレームワークです — パックを インストールし、観察し、強制し、レジデンシーを宣言し、それから署名付きエビデンスを 出荷します。

コンプライアンス概要

完全なループ — インストール、観察、強制、署名付きエビデンスの出荷。

パックがインストールするもの

パックがどうあなたが所有するガードレールとファイアウォールの行を実体化するか。

GDPR

EU プライバシーフレームワーク — 最小化、移転、消去。

ガードレール

コンテンツ層のリファレンス — PII エンティティ、マスキング、オーバーライド。
CCPA の下でゲートウェイが強制するものとあなたのものとして残るものの境界 — オプトアウトワークフロー、あなたの開示、削除のトリガー — については、 責任共有マップが CCPA / CPRA パックを文脈に置きます。