GDPRデータ要求を処理する

GDPRでは、自分の個人データへのアクセスおよび管理する権利が拡大されています。このページには、以下の内容が記載されています。

  • 権利についての分析
  • 各権利に基づく要求に対処するためのShopifyプラットフォームの使用法
  • 各権利に基づく要求を受けた場合、Shopifyとは別に実施する必要がある事項

主体によるアクセスとポータビリティの要求について

GDPRでは、特定の状況下で企業により処理されている個人データのコピーを要求する権利が個人に付与されています。

したがってGDPRでは、以下の形式でお客様に個人データを提供することが求められています。

  • 一般的
  • 高い可読性
  • ポータブル

これにより、お客様は異なるサービスプロバイダーで自分のデータを使用することが可能になります。Shopifyでは、大部分のデータを管理画面からCSV形式またはExcel形式で直接エクスポートすることができます (注文、支払い、商品、およびお客様に関する情報など)。

通常、30日以内に要求に応じる必要があります。要求に応じるのが非常に困難な場合、期間の延長が可能です。

主体によるアクセスとポータビリティの要求を処理する

アクセスの要求またはポータビリティの要求を受けた場合、要求者の身元を確認する必要があります (お客様の私的な個人情報を誤って別人に提供しないようにするため)。

手順:

  1. 管理画面で、[お客様] をクリックします。

  2. ログを要求するお客様の名前をクリックします。

  3. [顧客データを要求] をクリックします。

お客様の情報は、ストアオーナーにメールで送信され、要求したお客様に提供されます。

また、GDPRの15条により、提供するデータの使用法について、以下のような背景情報を追加で開示することが求められます。

  • お客様のデータが処理された目的
  • データを受け取った外部者
  • 関連する保管期間
  • 情報の収集源 (お客様から直接収集していない場合)
  • 意思決定の自動化の一環としてのデータの使用または不使用

加えて、以下に示す事項を保証する必要があります。

  • お客様が情報の訂正または消去を要求する権利
  • お客様が自身の情報の処理方法に対し異議を申し立てる権利
  • お客様が規制当局に苦情を伝える権利

以下の質問について考えてみましょう。

  • お客様から依頼があった場合、お客様のデータに関する必要な背景情報をすべて提供することができますか。あなた (またはあなたが使用している、Shopifyなどのサービスプロバイダー) が保存している、お客様に関する個人データすべてについてのマップを管理し、要求に応じるための計画を事前に立案してください。
  • お客様の個人データにアクセスすることができる、その他のサービスプロバイダーを使用する可能性について検討したことがありますか。これには、外部アプリ、チャネル、決済サービスなどが含まれます。
  • お客様の個人データを保存する可能性がある、使用中の外部サービスの連絡先情報をすべて持っていますか。

消去要求を処理する

GDPRでは、個人データの消去や企業に個人データの処理を制限するよう依頼する権利を、特定の条件下で個人に付与しています。

「個人データ」は、個人の識別に使用できる、以下の項目のようなデータです。

  • 名前
  • 住所
  • メールアドレス
  • IPアドレス
  • クレジットカード番号

純粋な財務情報や個人と紐付けできない、以下に示す情報は個人データには含まれません。

  • 特定の商品が販売された回数
  • ストアが上げた収益

消去要求 (編集または削除と呼ばれる) を受ける場合、まずお客様の身元を確認する必要があります。お客様のデータを保持しなければならない理由 (お客様が従業員でもある場合など) がないことも確認します。

手順:

  1. 管理画面で、[お客様] をクリックします。

  2. 消去をリクエストする顧客の名前をクリックします。

  3. [個人データを削除] をクリックします。

管理画面で消去を要求した後、その時点でShopifyはお客様のデータにアクセスする可能性があるインストール済みのアプリすべてに消去要求を転送します。

管理画面で消去をリクエストすると、10日間のバッファ期間が開始されます。間違ってリクエストした場合は、この期間中にリクエストをキャンセルすることができます。保留中の消去リクエストをキャンセルするには、ストア情報と関連顧客IDを記載した上で、Shopify (privacy@shopify.com) までメールでご連絡ください。

消去を要求すると、Shopifyは個人情報 (名前や住所など) のみを編集します。会計処理目的で必要となる場合に備え、匿名化された注文情報がそのまま残されます。該当する個人データの消去が完了した後、当社から確認メールを送信します。

デフォルトでは、お客様が過去6か月 (180日) 以内に注文を行っており、チャージバックが発生する場合、Shopifyが個人データを消去することはありません。消去要求がこの期間内に送信されると、保留状態になり、Shopifyは適切な時間の経過後に処理を実施します。要求を別途送信する必要はありません。

チャージバックのリスクを考慮せずにこの時間的遅延を回避を望む場合、Shopifyのprivacy@shopify.comにメールを送信してください。

以下の質問について考えてみましょう。

  • お客様のデータ保存に自分のパソコンや印刷物を使用していますか。
  • 連絡を取ってお客様の個人情報消去を依頼する可能性がある、外部のチャネルや決済サービスがありますか。
  • 削除を要求された場合、お客様の個人情報を保持することが必要な税務法などの現地の要件はありますか。データ保持の要件に精通し、この質問に回答できる現地の弁護士に相談することを検討してください。

ShopifyのGDPRに関するホワイトペーパーをダウンロードする

ShopifyがGDPRに準拠する方法、およびShopifyのご利用に際してGDPRに準拠するための詳しい情報については、ShopifyのGDPRに関するホワイトペーパードキュメント (英語) をダウンロードしてください。

Shopifyで販売を開始する準備はできていますか?

無料体験を試す