CCPAデータ要求の処理
CCPAでは、自分の個人データへのアクセスおよび管理する権利が拡大されています。このページには、以下の内容が記載されています。
- Shopifyのプラットフォームを使用してデータ要求に対応する方法
- データ要求を受けた場合に、Shopifyとは別に実施する必要がある事項
アクセス要求を完了する
GDPRと同様に、CCPAはカリフォルニア州の住民に個人情報のコピーを要求する権利を与えています。お客様が個人情報のコピーを要求した場合、45日以内にお客様にコピーを提示する必要があります。内容の複雑さやリクエスト数の多さのためにこれが可能でない場合は、追加で45日要することをお客様に通知する必要があります。要求に応じないことを決定した場合は、45日以内に要求に応じない理由をお客様に通知する必要があります。
手順:
- 要求者の身元が、データ要求対象のお客様と一致していることを確認します。
- 管理画面から顧客に移動します。
- お客様の名前を検索します。
- [顧客情報] から、[顧客データを要求する] をクリックします。
そのお客様に関する個人情報は、ストアオーナーのメールアドレスに送信されます。
あなたの要求は、ストアに現在インストールされている外部サービスのアプリに送信されます。その後、この要求について外部サービスのアプリ開発者からあなたには個別で連絡があります。
そのうえで、お客様に関して受け取った情報をあなたが保持している他の情報と組み合わせて、お客様に提供することができます。この情報を提供する際には、収集したカテゴリーと特定の情報の内容についてお客様に説明する必要があります。
CCPAの準備として、以下の質問について考えてください。
- お客様が要求した場合、必要な個人情報をすべて提供することはできますか。
お客様に関してあなた (またはShopifyなど、あなたが使用しているサービスプロバイダー) が保管しているすべての個人情報のマップを保持することで、事前に要求対応の計画を立ててみてください。
- お客様の個人情報にアクセスすることができる、その他のサービスプロバイダーを使用する可能性について検討したことがありますか。これには、外部アプリ、販売チャネル、決済サービスなどが含まれます。
- お客様の個人情報を保存する可能性がある、使用中の外部サービスの連絡先情報をすべて持っていますか。
削除要求を完了する
CCPAでは、他にもカリフォルニア州の住民が個人情報の削除を要求することができます。要求を受けた場合は、それに対応するか、または45日以内に要求に応じない理由をお客様に通知する必要があります。
手順:
- 要求者の身元が、データ削除対象のお客様と一致していることを確認します。
- 管理画面から顧客に移動します。
- お客様の名前を検索します。
- [個人データを削除] をクリックします。
あなたの要求は、ストアに現在インストールされている外部サービスのアプリに送信されます。その後、この要求に対して外部サービスのアプリ開発者が個別に対応するか、あなたには個別で連絡があります。
リクエストを取り消すことができるよう10日間のバッファ期間が設けられ、Shopifyはこの期間満了後に要求に対応します。保留中の削除要求をキャンセルするには、privacy@shopify.comまでメールでご連絡ください。その際、ストア情報に加え、関連するお客様のIDを含めてください。
削除を要求すると、Shopifyは個人を特定可能な情報 (名前や住所など) のみをリダクト(情報を秘匿化)します。匿名の注文情報は、会計目的で必要な場合に備え、そのまま保存されます。関連する個人情報が削除されると、あなたに確認メールが届きます。
デフォルトでは、お客様が過去6か月間 (180日) に注文を行った場合、Shopifyはチャージバックの発生に備えて個人情報を削除しません。削除の要求がこの期間内に送信された場合は、保留中となり、適切な期間が経過した後にShopifyがアクションを実行します。別の要求を送信する必要はありません。この遅延を無効にしたい場合は、Shopifyのprivacy@shopify.comまでメールを送信してください。
CCPAの準備として、以下の質問について考えてください。
- お客様の情報保存に自分のパソコンや印刷物を使用していますか。
- お客様の個人情報を削除するよう連絡すべき他の外部サービスはありますか。
- お客様が削除を要求した場合でも、お客様の個人情報を保持しなければならない税務法などの現地の要件はありますか。
CCPAでは、以下のいずれかの理由により情報が必要な場合、個人情報の削除義務は定めていません。
- 取引を完了する、または契約を実行するため
- セキュリティ事象や非合法なアクティビティを検出する、あるいはそれらから保護するため
- サービスの機能をデバッグまたは修復するため
- 言論の自由を行使する、他者の言論の自由の行使を支援する、または法律によって提供された別の権利を行使するため
- 被験者からインフォームドコンセントを得ている場合に、公益のために審査のある科学的、歴史的、あるいは統計的な研究に従事するため
- お客様とビジネスの関係に基づき、お客様の期待値と合致する程度に社内限定で使用するため
- 法律上の義務を果たすため
詳細については、CCPAに関するShopifyのホワイトペーパー (英語) をダウンロードしてください。