個人データのオンワードトランスファー

Shopifyでのサービス提供を効果的に行うため、マーチャントが契約したShopify事業体に対して提供する個人データは、以下の受信者に移行されます。

  • その他の特定のShopify事業体、および
  • 厳選された信頼性の高いサブプロセッサ

このセクションでは、オンワードトランスファーが管理される方法についての情報を提供します。

欧州経済地域 (EEA) およびイギリス (UK) からの個人データのオンワードトランスファー

アイルランドで登録されているShopify International Limitedは、EMEA (ヨーロッパ、中東、アフリカ) およびLATAM (ラテンアメリカ) に所在するマーチャントと契約を結ぶShopifyの主要な契約事業体です。International Limitedは、一般データ保護規則 (GDPR) の遵守を目的としたShopifyの主要拠点としても機能しています。

GDPRおよびこれに相当する英国の法規により、個人データをEEA域外およびイギリス域外の事業体に提供する場合は、移行先の国で本質的に同等レベルのデータ保護が必要とされます。このため、このような国際的な移行は強力な法的仕組みによって保護される必要があります。

Shopifyが国際的なデータ移行のGDPR要件を満たす方法

この要件を満たすため、Shopifyは、Shopify International Limitedが個人データをShopify Inc (カナダで登録された親会社) に移行する際、カナダにおける欧州委員会の妥当性の認定に依拠します。妥当性の認定について詳しくはこちらをご覧ください。

さらに、Shopifyでは、欧州委員会によって承認された標準的契約条項 (SCC) の最新版を取り入れた、データ移行と処理に関する包括的な契約 (DPA) を採用しています。これにより以下の取り扱いが規定されています。

  • Shopifyグループ内での移行、および
  • サブプロセッサへのオンワードトランスファー

Shopifyでは、サブプロセッサを慎重に評価しています。これにより、その組織が個人データを保護し、データ移行による影響の適切な評価を実施するため、技術的および組織的に適切な措置を講じているかを確認します。SCCについて詳しくはこちらをご覧ください。

十分性の認定とSCCの両方は、EEAと英国のデータ保護当局によって法的に有効で十分な移行の仕組みとみなされています。

補助的な措置として、Shopifyは、Shopifyグループ内のデータ移行をより厳格に管理するため、拘束的企業準則の適用を申請しました。この申請は、GDPRの適用を目的としたShopifyの主要な監督機関であるアイルランドのデータ保護委員会に提出されました。これらは、合法的な移行の付加的な枠組みとなり、Shopifyのグループ会社内における移行を保護します。この申請は最終段階に入っており、まもなく承認される予定です。

他の全地域から行われる個人データのオンワードトランスファー

EEAおよびイギリス以外の法域における特定の個人情報保護法でも、個人データの国際転送に関して特定の保護措置が求められています。これらの要件を満たすために、Shopifyグループ内のデータ移行を管理するShopify DPA、およびサブプロセッサへのオンワードトランスファーを管理するDPAには、カナダ、アメリカ (US)、シンガポールの個人情報保護法 (該当する法律) に確実に準拠するため、適切な保護措置が取り入れられています。DPAは必要に応じて更新および維持されます。

データホスティングのロケーション

Shopifyでは、複数地域のGoogle Cloud Platform間でストレージバランスを動的に再調整し、マーチャントのデータベース全体にわたる予測できないデータ量を処理できる、信頼性が高く拡張性のあるインフラを提供しています。Shopifyのサービスを運営するには、データを地理的に移動できる必要があります。Shopifyには、GDPRを含む適用法に従ってデータを移行する仕組みが整っています。

現在、Shopifyでは、特定のマーチャントおよびお客様の個人データをヨーロッパ (EEA、イギリス、スイス) に保存しています。

  • ヨーロッパの新しいマーチャントは、この新しいインフラを自動的に利用でき、デフォルトで、ストアデータ、注文データ、お客様の個人情報を欧州内で安全に保管できるようになりました。
  • 既存のすべてのShopify機能は引き続き機能します。
  • マーチャントのお客様個人データが欧州に保存されている場合でも、その個人データを処理するために国際的なデータ移行を行う必要があります。

Shopifyがサブプロセッサを選択する方法

Shopifyは、GDPRおよび適用されるその他のデータ保護法に従い、サブプロセッサに協力を求める際に、以下に記載するさまざまなベストプラクティスを採用しています。

  • 提携する会社を慎重に選択する。
  • 利用する外部のサービスプロバイダー数を制限する。
  • カナダ、アメリカ、シンガポールの個人情報保護法に確実に準拠するための適切な保護措置に加え、SCCを取り入れた包括的なDPAに署名するようサブプロセッサに要求する。
  • サブプロセッサの用途を、技術サービス (クラウドホスティング、エラーログ、ロードバランシング、コンテンツ配信、マッピング配信、データ分析、内部ログ (ログファイル)) に限定する。
  • データ移行を連続的かつ安全に行う。
  • 管理者の指示がない限り、機密性が高い個人データや、特別なカテゴリーの個人データは意図的に処理しない。
  • サブプロセッサのプライバシープログラムおよびセキュリティプログラムを慎重にチェックする。

Shopifyの主要なサブプロセッサに関する詳細はこちらを参照してください。

Shopifyで販売を開始する準備はできていますか?

無料体験を試す