GDPR遵守のためにShopifyを使用する
Shopifyを使用すると、一般データ保護規則 (GDPR) への準拠を支援するためのツールや情報にアクセスできます。Shopifyを使用することでGDPRの遵守を支援することはできますが、GDPRにおける自身の義務を理解し、プラットフォームを適切に設定・運用し、GDPRおよびその他の適用されるデータ保護法の要件に準拠するようにする責任はあなたにあります。
目次
データの処理や保存に関するGDPRの地理的要件
GDPRは、個人データを欧州で処理したり保存したりすることを求めていませんが、欧州の居住者の個人データを欧州の外に持ち出す場合、適用法に従ってそのデータを保護するよう求めています。国際的なデータ移行について詳しくはこちらをご覧ください。
顧客情報
管理画面で、[設定] > [お客様のプライバシー] に移動して、プライバシーポリシー、Cookieバナー、データ販売のオプトアウトページなどのプライバシー設定を行い、インストール済みのプライバシーアプリを表示し、マーケティング設定の一部を管理します。お客様プライバシー設定の管理について、詳しくはこちらをご覧ください。
データ処理に関する補遺
Shopifyのデータ処理に関する補遺には、あなたとShopifyの間における責任が明記されています。Shopifyがデータ処理者またはサービスプロバイダーとして機能する場合、Shopifyはお客様の個人データの取り扱いについて、あなたの指示に従います。この契約は、個人データが欧州のデータ保護法およびその他の適用される国際的なデータ保護法に従って適切に処理されることを保証するためのものです。
さらに、Shopifyのデータ処理に関する補遺の付録Eでは、強化サービスを利用する場合の、Shopifyのデータ管理者または事業者としての役割が明確に記載されています。
Shopify Network Intelligence
Shopify Network Intelligenceを有効にし、強化サービスを利用している場合、GDPRに基づく追加のプライバシーコンプライアンス義務が発生します。以下を行う必要があります。
- ストアのプライバシーポリシーに、Shopifyのお客様プライバシーポリシーへのリンクを含め、さらにホームページの下部など目立つ場所にプライバシーポリシーへのリンクを掲載することをおすすめします。
- 利用規約とプライバシーポリシーに、あなたのストアがShopifyでホストされていること、そしてShopifyが強化サービスを含む目的でお客様の個人データを収集・処理することを明記してください。これらの強化サービスは、(i) お客様によりカスタマイズされた体験を提供する、(ii) お客様により関連性の高い広告を表示する、(iii) お客様がストアや広告とどのように関わるかを理解する、という目的で活用できます。
- お客様に対し、ストアでの活動に関する情報がShopifyおよび他国に所在する可能性のある外部サービスと共有されることを通知してください。これは、強化サービスを含む各種サービスを提供するために行われます。
- お客様がご自身の管轄区域に応じて、Shopifyによる特定のデータ利用に対する処理の拒否やオプトアウトを行う方法については、こちらのリンクからご確認いただけます:https://privacy.shopify.com.
Shopify Network Intelligenceを有効にし、強化サービスを利用する際の義務の概要については、追加サービス条件をご確認ください。ビジネスが適用される法律を遵守していることを確認するために、独自の法務担当者に相談することを推奨します。
GDPRの法的根拠
GDPRでは、ユーザーの個人データを処理する際に依拠する法的根拠を明示することが求められています。以下は、オンラインのマーチャントが依拠する一般的な法的根拠を説明するサンプルの法的根拠開示です。このテキストは情報提供のみを目的としています。適切な法的根拠を判断するために、独自の法律顧問にご相談ください。
私たちは、契約上の義務を果たすため (たとえば、お客様の商品の決済を処理するため) に必要な場合や、私たち、パートナーのShopify、または協力先がビジネス上の理由でお客様の個人データを使用する必要がある場合 (たとえば、サービスを提供するため) に、お客様の情報を処理します。欧州経済地域 (以下「EEA」) および英国 (以下「UK」) の法律では、これらの理由を「正当な利益」と呼んでいます。これらの「正当な利益」には以下が含まれます。
- リスクや不正注文の防止
- お問い合わせへの対応やその他のサポートの提供
- マーチャントが当社のアプリストアを通じてアプリを見つけ、利用できるよう支援する
- 当社の商品およびサービスの提供と改善
- レポートとストア分析の提供
- 機能または追加サービスのテスト
- マーケティング、広告、その他のコミュニケーションの支援
私たちはこれらの「正当な利益」に基づく個人データの処理を行う際、お客様のプライバシーに対する潜在的なリスクを慎重に検討し、以下のような対策を講じてリスクを適切にバランスさせています。—たとえば、プライバシーの取り扱いをわかりやすく公開し、必要に応じてお客様が個人データをコントロールできるようにし、保持する情報を限定し、情報の利用範囲や送信先、保管期間を制限し、情報保護のための技術的対策を実施するといったことです。お客様は、特定の目的での個人情報の処理を停止または制限するよう私たちに求める権利を有している場合があります。
お客様が同意を提供した場合、私たちはお客様の個人データを処理することがあります。特に、お客様の個人データを使用してお客様にパーソナライズされた広告を表示する場合、処理のために代替の法的根拠を依拠できない場合、または適用される法律によりお客様の同意を求める必要がある場合が該当します。お客様はいつでも、こちらで設定を変更することにより同意を撤回する権利があり [マーチャントへの注: お客様が同意を撤回する権利を行使できる関連ポータルのリンクを挿入]、または私たちに連絡することで対応可能です。
Shopifyが強化サービスを提供する際、Shopifyはお客様の個人データを処理し、パーソナライズされた広告を表示するために同意を取得します。
Shopifyは、自社の正当な利益に基づいて、以下のことも行う場合があります:
- 商品とサービスの提供と改善
- レポートとストア分析の提供
- 機能や追加サービスのテスト
- マーケティング、広告、その他のコミュニケーションの支援
Shopifyがどのようにお客様の個人データを収集・利用するかの選択については、Shopifyのプライバシーコントロールをご覧ください。
データアクセスとデータ削除
Shopifyでは、お客様データにアクセスしたり、お客様データを編集・削除したりできるツールをリクエストに応じて提供しています。このツールは、GDPRの求めるところに従い、お客様の個人データにアクセスしたり、それを修正・消去したりするお客様の権利の行使を可能にするのに役立ちます。お客様データに関するリクエストの処理について詳しくはこちらをご覧ください。
Shopify Network Intelligenceを有効にし、強化サービスを利用している場合、お客様はShopifyに対して直接の権利を持ちます。お客様に対し、Shopifyの強化サービスで説明されている権利とShopifyのデータ処理について認識してもらう必要があります。
プライバシーポリシーのテンプレート
管理画面で、[設定] > [お客様のプライバシー] に移動して、プライバシーポリシーを設定します。オンラインストアにプライバシーポリシーを追加する方法について、詳しくはこちらをご覧ください。
または、自動化されたプライバシー設定を使用し、Shopifyが提供している事前に作成されたポリシーテンプレートを使用およびカスタマイズして、データ処理を実施していることを伝えることができます。Shopifyの自動化されたプライバシーポリシーを使用して、ストアまたはおお客様が英国、EEA、またはスイスにある場合は、自動化されたプライバシーポリシーに次の更新を含める必要がある場合があります (当社では自動化することはできません)。
- 処理する個人データのそれぞれの目的の法的根拠を含めます。個人データの処理に関する適切な法的根拠が不明な場合は、法務顧問にご相談ください。
- 任命した場合は、データ保護責任者 (DPO) の連絡先情報、EEA、英国、またはスイスに拠点がない場合は EEA、英国またはスイスの代表者の連絡先情報を含めてください。
これらのテンプレートをカスタマイズすることで、お客様の個人データの収集、使用、および保護について透明性を保つことができます。ストアポリシーの追加について詳しくは、こちらをご覧ください。
セキュリティ対策
Shopifyは、暗号化、ファイアウォール、定期的なセキュリティ監査など、個人データを保護するための強力なセキュリティ対策を実施しています。Shopifyのセキュリティ認証と基準について詳しくはこちらをご覧ください。Shopifyのセキュリティ認証と基準について詳しくはこちらをご覧ください。