GDPRに関するよくある質問

GDPRに関するよくある質問をご確認ください。これらの説明は情報提供のみを目的としており、専門的な法的助言ではありません。お住まいの国や状況によって異なる情報については、別途、法的助言を得るようにしてください。

チェックアウト時に「利用規約とプライバシーポリシーに同意する」チェックボックスがShopifyに含まれていないのはなぜですか?

ShopifyはGDPRについて非常に慎重に検討し、GDPRを始めとするプライバシーとデータ保護の法律に準拠できる最高クラスの商取引をマーチャントに提供できるようプラットフォームを設計しています。

顧客からデータ処理について明示的かつ肯定的な同意を得て、適切に実施すれば、透明性の実現と顧客からの信頼確保につながります。しかし適切に実施しなければ、チェックボックスは顧客を混乱させ、期待内容の不一致やGDPRの下でマーチャント側に法的な問題をもたらす可能性すらあります。これらの懸念から、当社は、チェックアウト時に「利用規約とプライバシーポリシーに同意する」チェックボックスを含めるチェックアウトワークフローに変更しないことを選択しました。

特に、GDPRでは、顧客がインフォームドコンセント (情報に基づく同意) を示した場合などのさまざまな理由に基づき、マーチャントが顧客の個人データを収集し処理できることを明確に定めています。しかし、GDPRは、以下のように、顧客の同意にかかわらず個人データを処理する必要があるケースが数多くあることを認識しています。

マーチャントは、顧客データ処理の各種方法に関して、これらの法的根拠の多くに依存している可能性があります。たとえば、マーチャントは、実際に注文をフルフィルメントし、顧客とマーチャントの契約を履行するために、顧客の配送先住所を使用しなければならない場合があります。同様に、召喚令状への対応や税務調査の状況において、マーチャントが個人データの処理を法的に義務付けられる場合があります。他にもあらゆる正当な利益のために、マーチャントが個人データを処理するケースがあります。

同時に、欧州の規制当局は、こうしたさまざまな正当な理由において同意が最も重要な要素であることを明確に示しています。特に、規制当局は、マーチャントが特定目的のデータ処理に対する同意を求めると、上記の法的根拠 (契約や正当な利益など) に依存することができなくなる可能性を示唆しています。さらに、規制当局は、同意を商品やサービス受領の条件にすることはできないと警告を発しています。

これらの点が重要なのはなぜでしょうか。マーチャントがチェックアウト時に「利用規約とプライバシーポリシーに同意する」チェックボックスを追加した場合の状況を考えてみましょう。お客様が同意を選択しなかった場合 (または、GDPRに則り個人に提供される権利である、同意後の撤回を行った場合)、マーチャントは上記の他の正当な理由に依存することができなくなる可能性があります。したがって、マーチャントは、GDPRに則り、顧客の個人データの正当な処理や注文のフルフィルメントができない立場に置かれる可能性があります。同様に、マーチャントがチェックアウトを変更して、チェックボックスを取引完了の必須条件とした場合についても、同意は商品やサービスを受け取る前提条件になるため、そもそもGDPRの下では有効性がない可能性があります。

このような複雑さにより、多くの規制当局が、適切性を欠くような同意を求めたり、同意に依存したりすることに対して注意を促すようになりました。たとえば、英国情報コミッショナーオフィスは以下のように勧告しています

「同意は、データの使用方法を実際に選択して管理する手段を人々に提供し、信頼と関与の構築を希望する場合には適切です。しかし、真の選択肢を提供できない場合、同意は適切ではありません。同意のあるなしにかかわらず個人データを処理する意向であるならば、同意を求めることは誤解を招く行為であり、本質的に不公平です。

同意をサービスの前提条件とした場合、最も適切な法的根拠とはならないものと考えられます。

個人に対して権力を持つ立場にある公的機関、雇用主および他の組織は、自由意志で提供されていることを確信して証明できない限り、同意への依存を回避すべきです。」

Shopifyはマーチャントをサポートし、問題のある法的影響をマーチャントが回避できるよう最善を尽くす意向です。しかし同時に、最終的には、顧客の信頼を得ていることをマーチャント自身が確信する必要があると考えています。そのため、Shopifyでは、マーチャントがカートページに (チェックアウトページではなく)「利用規約に同意する」チェックボックスを追加できるように設定しました。方法の詳細については、ヘルプドキュメントを参照してください。

Shopifyのデータ処理契約 (DPA) に署名できないのはなぜですか?

GDPRは、個人データの処理にあたり、各データ管理者と書面で契約を締結すること (電子形式の契約を含む) をデータ処理者に義務付けています。契約には、処理される個人データの内容、処理者と管理者の義務と権利を明記する必要があります。これらの契約は通常、データ処理契約 (DPA) と呼ばれます。本質的に、DPAは、マーチャントがデータの管理者であることをふまえ、Shopifyはマーチャントが指定する方法でのみ提供個人データを処理するという合意を示すものです。

この要件を満たすために、Shopifyはデータ処理補遺を利用規約に追加しました。(それ自体が契約ではなく、利用規約に追加されたものであるため、「契約」ではなく「補遺」と呼ばれます)。

Shopifyのサービスに登録する際、マーチャントとして利用規約さらにはデータ処理補遺に同意し、サービスの利用を継続することにより、利用規約の更新 (データ処理補遺に追加される更新事項等) に同意することになります。

利用規約は、居住地の司法管轄の法律ではなくオンタリオ州法に準拠するという点に必ず留意してください。したがって、当然ながらGDPR等の他の地域法でご自身のビジネスやデータ処理方法が規定され、サービスプロバイダー (Shopify等) との法的拘束力のある契約の締結を義務付けられるとしても、こうした地域法で契約の法的拘束力の有無が必ずしも決定されるわけではありません。Shopifyとの契約の場合、DPAの法的拘束力の有無はオンタリオ州法に準じて決定されます。

したがって、ご自身の司法管轄区域で契約 (DPA等) の署名が義務付けられるとしても、ご自身のDPAに関しては対象外となる場合もあります。オンタリオ州法に則り、利用規約の更新後も引き続きサービスを利用することにより、Shopifyとお客様の両者が修正後の新しい利用規約に拘束されることになるものと考えられます。Shopifyの利用を継続する場合、GDPRの規定に則り、データ処理補遺を含む法的拘束力のある契約をお客様が当社と締結したものとみなされます。

GDPRや地域のプライバシー法についてさらに質問がある場合、どうしたらよいですか?

プライバシーまたはデータ保護法を専門とするお近くの弁護士にお問い合せください。

Shopifyの業務詳細について、どこに問い合わせればよいですか?

Shopifyの業務詳細については、privacy@shopify.comにお問い合わせください。

Shopifyを使用してストアをホストする場合、私のビジネスはGDPRを順守していますか?

自動的に順守することにはなりません。Shopifyの業務はGDPRを順守し、Shopifyはマーチャントが順守できるようサポートするツールを提供しますが、営業地域の司法管轄の法律順守の徹底は各マーチャントの責任となります。

Shopifyプラットフォームを使用するだけでは、会社がGDPRを順守している保証にはなりません。

Shopifyは、標準契約条項に署名する予定ですか?

いいえ。当社のホワイトペーパー (英語) のデータ移行セクションに記載されているとおり、Shopifyでは、マーチャントが欧州でShopifyのアイルランド系アフィリエイトにデータを移行するようデータフローを構築しています。そのため、欧州の当事者と欧州以外の当事者との間の移行が承認されていることから、標準契約条項は適切ではありません。

さらに、Shopify Inc.への直接の移管に関しては、カナダのプライバシー法に関する欧州委員会の妥当性決定に依存することになります。これは、カナダ企業であるShopify Inc.にカナダ法が拡大適用されるためです。

Shopifyで販売を開始する準備はできていますか?

無料体験を試す