GDPRによるShopifyへの影響
一般データ保護規則 (GDPR) により、Shopifyでは、プラットフォームと内部のプライバシープログラムに以下の変更を行う必要があります。
Shopifyはプライバシーの取り扱いについて説明責任を果たすため、プライバシーチームを再編成し、プライバシーに関するShopifyによって下された特定の決定を文書に記録します。
Shopifyは欧州のマーチャントおよびお客様の個人データに関する権利を尊重し、Shopifyのサービスを利用する際にマーチャントが同様に権利を尊重できることを保証します。
マーチャントに対し一定の契約上のコミットメントを負い、Shopifyがサービス提供のため外部の副処理者を利用する場合は一定の契約上のコミットメントが生じます。
GDPRに備えるためのShopifyによる対応
Shopifyは、以下の対策を講じてGDPRの準備を完了しています。
ポリシーと文書
- Shopifyのプライバシーポリシーを更新し、GDPRの13条および14条に従い、GDPRにより拡張された権利についての情報、およびShopifyにおける個人データ処理方法に関する詳細な情報を記載。
- GDPRの28条に従い、Shopifyのオンライン利用規約にデータ処理に関する補遺を追加。
- データ主体からのアクセス要求、削除要求、政府によるアクセス要求に対処するための詳細な手続きを実施。
- ShopifyがGDPRに基づく義務をどのように解釈してそれに取り組んでいるかをマーチャントとパートナーが理解できるように、ホワイトペーパー (英語) を準備。
商品の機能
- GDPRの13条および14条に従ってプライバシーポリシー ジェネレーターを更新し、マーチャントが自身のプライバシーポリシーに含めることが必要な情報を記載。
- マーチャントがマーケティングを目的とする独立した合意を得ることができ、自身の要件に応じて同意チェックボックスをあらかじめチェックするか選択することができるよう、Shopifyプラットフォームに機能を追加。
- お客様がマーケティングコミュニケーションにオプトインしたかどうかに関わらず、マーチャントが紐付けできるよう、放棄されたカートの通知を更新。
アプリストア
- アプリ開発者が、アプリによって収集および処理される個人データを正確に説明するプライバシーポリシーとリンクできるように、Shopify アプリストアの表示を更新。
- GDPRに従い、マーチャントが自身のプライバシーポリシーを更新するために必要な種類の情報を含むプライバシーポリシーの下書きをサポートするため、アプリ開発者にプライバシーポリシーのテンプレートを提供。
コーポレートガバナンス
- Shopifyのデータ保護プログラムとGDPR実施プランを指揮する経験豊富なデータ保護責任者を任命。
- GDPRの30条に従い、当社のデータ処理アクティビティのレジストリを作成。
- GDPRの35条および91条に従い、データ保護影響評価プロセスを実施。
- Shopifyがプラットフォームや他のサービスを提供するために使用する副処理者を文書に記録し、技術的および組織的に堅牢な対策により個人データの保護が義務付けられていることを確かめるため、副処理者との契約内容の確認を開始。
- Shopifyのデータ処理業務をサポートするため、拘束的企業準則の承認申請プロセスを開始。
- 法的要件を把握しプライバシーを念頭に置いてShopifyの商品およびビジネスプランを作成できるように、主要なチームおよび個人に対してGDPRに焦点を合わせたトレーニングの提供を開始。
GDPRの順守に向け、Shopifyは他にどのような取り組みをしていますか?
上記の準備に加え、Shopifyは次の機能を展開しています。
- GDPRに従いマーチャントが主体からのアクセス要求を受けた場合、お客様を代理して管理画面で、Shopifyが所有するお客様についての情報すべてを要求するツール。
- GDPRに従いマーチャントが消去要求を受けた場合、管理画面でShopifyが特定のお客様に関するすべての個人情報を消去するよう要求するツール。マーチャントが消去要求のためこのツールを使用する際、マーチャントがお客様の個人情報に対しアクセス権限を与える要求を行った時点でインストール済みのアプリにも、Shopifyはこの要求を転送。
- インストール後のチャネルがアクセスする個人データをマーチャントに正確に伝える、詳細な情報を提供するチャネルインストールのプロセス。
- マーチャントが、Shopifyでのサービス提供に必要なCookieの使用を目的として有効な同意を取得し、必要な情報を有することを保証するため、Shopifyのオンラインプロパティのみならず、ShopifyストアフロントおよびモバイルアプリでShopifyが使用するCookieのカテゴリーに関係する特定の情報を含む、より堅牢なCookieポリシー。
- アプリをインストールする前に、アプリがアクセスを要求する個人データをマーチャントが完全かつ正確に理解することが可能な、アプリをインストールする際の透明化されたプロセス。
- マーチャントが特定のアプリのデータ権限限をいつでも確認できる、既にインストールされているアプリの詳細なリスト。
Shopifyはマーチャントとデータ処理契約を結びますか?
Shopifyのサービスを利用し、オンライン利用規約に従う義務があるマーチャントに対し、Shopifyはデータ処理に関する補遺を含むよう条項を改訂しました。
この条項は利用規約に追加されたものであり、Shopifyのサービスの利用を継続することにより同意したとみなされるため、この書類に署名する必要はありません。これは、GDPRの28条 (3) の要件を満たすものです。Shopifyは、各マーチャントと個別契約を結ぶことはできません。
Shopify Plusマーチャントについては、Shopifyは個人データ処理を扱うためのデータ処理契約を締結しています。詳細については、Shopify Plusサポートにお問い合わせください。
ShopifyのGDPRに関するホワイトペーパーをダウンロードする
ShopifyがGDPRに準拠する方法、およびShopifyのご利用に際してGDPRに準拠するための詳しい情報については、ShopifyのGDPRに関するホワイトペーパードキュメント (英語) をダウンロードしてください。