カリフォルニア州消費者プライバシー法（CCPA）は、カリフォルニア州の消費者に個人情報に対する権利を付与する州法です。収集されるデータを知る権利、削除する権利、販売をオプトアウトする権利が含まれます。

参照: [カリフォルニア州司法長官、CCPA](https://oag.ca.gov/privacy/ccpa)

## 消費者の権利のマッピング

CCPAは個人情報に関する消費者の権利に焦点を当てています。Rediaccはお客様のインフラストラクチャにデプロイされるセルフホスト型ツールであり、消費者データを収集または販売するサードパーティサービスではありません。以下の表は、Rediaccがお客様の組織のCCPAコンプライアンスをどのようにサポートするかを示しています。

| CCPAの権利 | 要件 | Rediaccの機能 |
|-----------|------|--------------|
| 知る権利（1798.100） | 収集されたデータのカテゴリと目的の開示 | 監査ログがすべてのデータ操作を追跡します。セルフホスト型：お客様の組織が各リポジトリに存在するデータの完全な可視性を保持します。 |
| 削除する権利（1798.105） | 要求に応じて消費者の個人情報を削除 | `rdc repo destroy`がLUKS暗号化ボリュームを暗号学的に消去します。フォークの削除でクローンされたコピーが完全に除去されます。 |
| オプトアウトする権利（1798.120） | 個人情報を販売または共有しない | セルフホスト型アーキテクチャ：Rediaccやサードパーティへのデータ転送はありません。データはお客様のサーバーに留まります。設定ストアの同期はゼロ知識暗号化を使用します。同期サーバーでさえデータを読み取ることはできません。 |
| データセキュリティ（1798.150） | 合理的なセキュリティ対策の実施 | LUKS2 AES-256暗号化、ネットワーク分離、SSHのみのアクセス、分離されたDocker daemon、監査ログ。設定ストアは分割鍵導出とローテーションする使い捨てトークンによる三層暗号化を使用します。 |

## サービスプロバイダーのステータス

ソフトウェアとしてのRediaccは、消費者データにアクセス、処理、または保存しません。お客様のITチームがお客様自身のインフラストラクチャでRediaccを運用します。Rediacc社にデータが流れることはありません。その意味：

- RediaccはCCPAにおける「サービスプロバイダー」ではありません（お客様に代わってデータを処理しないため）
- セルフホスト製品についてRediaccとのデータ処理契約は不要です
- お客様のCCPA義務はお客様の組織と消費者の間にあります

## データインベントリ

各Rediaccリポジトリは、固有のGUIDを持つ個別の暗号化されたデータユニットです。どこにどのようなデータが存在するかを正確にインベントリできます：

- `rdc machine query <machine> --repositories`がマシン上のすべてのリポジトリをサイズとマウント状態とともに一覧表示します
- 各リポジトリはファイルシステム、ネットワーク、コンテナレベルで分離されています
- フォーク関係が追跡されるため、データセットのすべてのコピーを特定できます

CCPAはデータマッピングを要求します。Rediaccのリポジトリモデルがそれを提供します：データセットごとに1つのGUID、マシンごとに列挙可能、フォークの系譜が追跡されます。