GDPRによるあなたへの影響
一般データ保護規則 (GDPR) は、欧州に拠点を置く、または欧州の顧客にサービスを提供するShopifyのマーチャントに影響する規則です。2018年5月25日現在、ShopifyはGDPR順守とマーチャントによるGDPR順守徹底に向け鋭意尽力しています。その一方で、GDPRでは、Shopifyプラットフォームとは別にお客様自身が措置を講じることも義務付けることになりますので、ご注意ください。
Shopifyは、マーチャントが法を遵守するために最良の状態を維持できるサポートの実現に取り組んでいます。この記事には、法に遵守した形でストアを設定したことを確認するため、自身の義務を評価する際に考慮すべき質問が含まれています。
つまり、これは法的助言ではありません。GDPRは複雑な規則であり、マーチャントによって適用の仕方は異なります。具体的な義務を把握するには、弁護士に相談する必要があります。
データ要求処理に関する情報については、「GDPRデータ要求を処理する」を参照してください。
ShopifyがマーチャントのGDPRコンプライアンスを管理できない理由
GDPRではデータの管理者と処理者に対して、異なる義務を課しています。データの処理者として、ShopifyはGDPRに従って自身の法的義務を果たします。しかし、マーチャントも管理者として独自に考慮する必要がある別の義務を負います。
ShopifyはGDPRに準拠するよう設定可能なプラットフォームをマーチャントに提供しますが、あなた自身がビジネスのあり方を注意深く考える必要があります。
その他のガイダンスについては、以下の欧州連合内の規制機関により、GDPRに関する具体的なガイダンスが提供されています。
- ICO - データ保護のためのガイド
- アイルランドのデータ保護委員会 - GDPR
- CNIL - Règlement européen: se préparer en 6 étapes
個人データを収集する
GDPRは、欧州連合内で個人データの処理に関する基本的人権を保護するものです。
個人データの例として、以下のものが含まれます。
- Name
- 住所
- メールアドレス
- SNSのアカウント
- IPアドレスやCookieIDなどのデジタルID
以下の質問について考えてみましょう。
- 欧州のお客様から個人データを収集していますか。ほとんどのウェブサイトは欧州の居住者が利用することができるため、GDPRが適用されます。
- ストアで外部アプリやテーマを利用している場合、GDPRに従ってデータの収集や処理を行っていますか。この処理を簡略化するため、アプリのデータ取り扱いが満足できるものであるか評価するために、Shopifyはデータ処理の詳細を記載したプライバシーポリシーを表示するようすべてのアプリに要求しています。Shopifyにより開発されたアプリにはデータ処理に関する補遺が適用され、Shopifyはそのコンプライアンスについて責務を負います。
- 使用しているチャネルまたは決済サービスは、GDPRに従ってデータの収集や処理を行っていますか。あなたが調査して確認する必要があります。
- お客様から収集した個人データのタイプすべて、およびそのデータのすべての使用用途に関するリストを準備していますか。GDPRの30条により、データ取り扱いを最新の状態で管理することが必要です。
プライバシーに関する通知
GDPR (特に12~14条) により、通常プライバシーに関する通知やプライバシーポリシーの形で、データ処理対象の個人に特定の情報を提供することが必要です。
まず始めに、Shopifyのプライバシーポリシー ジェネレーターを使用できます。チェックアウトの設定かオンラインで利用できます。
以下の質問について考えてみましょう。
- 規制により提供が必要なすべての情報を含むプライバシーポリシーをサイトに表示していますか。少なくとも、プライバシーに関する質問についてお客様があなたと連絡を取る方法が含まれていますか。お客様が自身のデータの消去 (削除) や是正 (修正または訂正) する権利およびアクセスする権利を行使できる方法が含まれていますか。
- Shopifyがお客様の個人データをリスクと不正注文の自動スコアリングに使用する方法を、プライバシーポリシーに記載していますか。GDPRにより、あなた (またはあなたのサービスプロバイダー) がお客様の情報を意思決定の自動化に使用する場合、開示が求められます。Shopifyは、意思決定の自動化により不正とみなされた取引をブロックするため、お客様の個人情報を使用します。Shopifyのプライバシーポリシー ジェネレーターにはこの情報が含まれています。このシステムに関する詳細については、「意思決定の自動化」を参照してください。
データ保護責任者を任命する
データ保護担当者 (DPO) は、あなたの組織による個人データの収集および処理方法を監督します。ビジネスの主要なアクティビティに大規模なオンライン追跡が含まれる場合、GDPRではDPOを任命し、DPOの連絡先情報をプライバシーポリシーに提示することを要求しています。
GDPRには、組織が個人データの収集および処理方法を変更した際のデータ保護影響評価の実施など、DPOに課された特定のタスクが含まれています。GDPRとデータ保護要件に関する専門知識を持つ内部関係者をDPOとして任命することもできますが、外部DPOを務めるコンサルタントや企業に協力を依頼することを考慮することも可能です。
以下の質問について考えてみましょう。
- ストアフロントでの追跡技術によりどの程度の人数が影響を受けますか。これには、行動広告アプリやリターゲティングアプリを含む場合があります。影響を受ける人数が法的観点から「大規模」であるかどうかにかかわらず、状況に応じて弁護士に相談する必要があります。
- 自主的にDPOを任命する必要がありますか。DPOを任命することが法的に求められていない場合でも、欧州での影響力が大きい場合は、お客様のデータを確実に保護するため、自主的にDPOを任命することができます。
データ処理契約
GDPRに従ったデータ管理者に対し、データ処理者 (Shopifyなど) とお客様のデータの処理に関する契約を締結する場合、28条では該当するデータの使用方法や処理方法について、厳しい契約要件を課すよう求められています。これは通常、データ処理に関する補遺、すなわちDPAに記載します。
Shopifyは自動的にデータ処理契約 (https://www.shopify.com/legal/dpa) を利用規約に組み込んでおり、これは28条の要件に対応することを目的としています。
Shopify Plusマーチャントについては、Shopifyとの関係は交渉契約により定められます。Shopify Plusマーチャントは自身のニーズに対応するため、データ処理に関する補遺に署名することができます。データ処理に関する補遺に署名しないShopify Plusマーチャントは、Shopifyのオンライン版のデータ処理に関する補遺に従うことになります。
以下の質問について考えてみましょう。
Shopify以外で協力関係にある他のデータ処理者には、契約上お客様のデータを保護する義務がありますか。多くの外部アプリ、チャネル、決済ゲートウェイサービスやその他のデータ処理者は、データ処理契約を自身の条項に自動的に組み込んでいます。それぞれの外部者と相談したことはありますか。
交渉契約を締結したShopify Plusマーチャントですか。データ処理に関する補遺への署名を希望する場合は、Shopify Plusサポートに連絡します。署名するためのShopifyのテンプレートDPAを利用できます。
お客様の同意
GDPRに従い、お客様の個人データを処理するための同意取得、または現在の同意取得方法の変更を必要とする場合があります。
たとえば、お客様へのマーケティングメッセージの送信、オンライン広告やリターゲティングアプリの使用に際して、お客様の同意が必要な場合があります。
同意を得る必要がある場合、GDPRに基づいて以下を満たさなければなりません。
- 自発的な締結: 完全に自主的なものでなければならず、他の製品またはサービスと組み合わせるべきではありません。
- 具体性: 明確に説明されたユースケースと結びつける必要があります。
- 情報の提供: 収集および使用される個人データについてデータ主体が十分な情報を与えられた場合のみ、提供することができます。
- 明確: マーチャントの積極的な行為により示されなければなりません (つまり、単にサービス利用の続行により示されるべきではありません)。
お客様は、特定のユースケースについて詳細な情報を提供する必要があり、お客様が同意を示すために一部の積極的な行為を実施する必要があります。
最後に、お客様に同意を与える機会を提供する場合、お客様が同意を撤回できることもGDPRでは求められています。これは多くの場合、購読を解除する機能により可能となります。個人データの収集のため同意を得る時期および方法、またはお客様が同意を取り消すことが可能な範囲について疑問がある場合、データ保護法に精通した弁護士に相談する必要があります。
ただし、同意は個人データの処理を正当化することができる、GDPRの数多い法的根拠の一つに過ぎません。また、契約上の要件を満たすための個人データの処理や、法律によりデータの処理が求められる場合もあります。
一部の欧州規制当局は、最初に同意を求めた際にお客様が辞退された場合、またはお客様が同意した後で同意を取り下げた場合、他の法的根拠に基づいて個人データを処理することができなくなる可能性があると示唆しています。このため、個人データを処理するには、他の法的根拠に依拠する意図がない (または必要がない) 同意にのみ依拠すべきです。
以下の質問について考えてみましょう。
- お客様のデータの使用方法または処理方法が異なる場合、何が法的根拠となりますか。お客様からの同意に基づいて処理していますか。お客様との契約上の義務を果たすために処理を行っていますか。法的に許容される範囲で営業上の利益をさらに高めるために処理していますか。「個人データの収集」に記載のとおり、データ取り扱いのマップの一部として、法的根拠を記録する必要があります。
-
あなたがお客様に同意を得ている場合、それには提供している商品やサービスに関連する同意が含まれていますか。たとえば、以下のような表記はGDPRにより許可されなくなる可能性があります。
by purchasing these goods, you agree to our use of your personal information - お客様の同意について情報が与えられたことを確認するため、該当する個人データの使用方法に関して、十分な詳細情報を提供していますか。
- お客様の同意はどの場所に記録および保存されますか。
- お客様にマーケティングコミュニケーションを送信するための同意が必要ですか。お客様にマーケティングコミュニケーションを送信するため、GDPRに基づく同意が必要ない場合でも、現地の法律により同意を得ることが求められる場合も、求められない場合もあります。ストアに適用される可能性がある特定の要件については、弁護士に相談してください。
- マーケティングコミュニケーションを送信するために同意が必要と思われる場合、ストアのマーケティング同意チェックボックスがデフォルトでオフになっていますか。お客様に肯定的に同意していただくため、ストアフロントで、お客様に提示されるマーケティング同意チェックボックスをデフォルトでオフに設定することを検討してください。
保護者の同意
GDPRには、16歳未満 (この年齢は一部の国で引き下げられる場合があります) のユーザーの個人データ処理に関する保護者の同意要件が記載されています。
以下の質問について考えてみましょう。
- 16歳未満のユーザーのデータ処理を停止するか、保護者の同意を得るために、お客様に関するデータの処理方法を変更する必要はありますか。Shopifyのアプリストアにある年齢制限アプリを使用して16歳未満のユーザーによるアクセスを禁止する、あるいは訪問者が成年に達していることを確認するよう求めることにより可能になります。
意思決定の自動化
GDPRでは、意思決定の自動化を行うために個人情報を使用している場合、顧客に通知することが求められています。
意思決定の自動化により、その人が特定のサービスやオファーを受ける条件を満たしている、特別価格で提供する、特定の種類の商品やサービスに興味がある可能性があるなどの決定を行うために自動アルゴリズムを使用します。
意思決定の完全な自動化 (つまり、人間が全く関与しない) を含む、お客様に重大な法的影響を与える処理を使用している場合、お客様の同意が必要となります。
| 処理 | 要件 |
|---|---|
| 意思決定の自動化 | 通知 |
| 重大な法的影響を与える意思決定の完全な自動化 | 同意 |
通常、Shopifyがお客様の個人データを用いて意思決定の完全な自動化を行うことはありません。
例外として、Shopifyのリスクと不正注文のスクリーニングがあります。一定回数決済に失敗した後、Shopifyが決済カード番号またはIPアドレスを自動的にブロックする場合があります。自動ブロックは短時間に限られるため、Shopifyはこの機能がお客様に重大な法的影響を及ぼすものとは考えていません。
以下の質問について考えてみましょう。
- Shopifyによるリスクと不正注文のスクリーニングにより、お客様の個人情報が意思決定の自動化に使用される場合があることをプライバシーポリシーに記載しましたか。意思決定の自動化に関するShopifyのプラクティスについては、「プライバシーポリシー」のセクション13を参照してください。また、特定の状況下で、このサービスがお客様に重大な法的影響を及ぼさないことを弁護士に確認する必要があります。
- 意思決定の自動化を行う可能性がある外部アプリを使用していますか。ストアフロントと連携させて使用している外部のリスクまたは不正注文のスクリーニングサービス、お客様のプロフィール作成やセグメントのターゲティングを行う可能性があるマーケティングアプリや広告アプリについて確認する場合、特に注意を払う必要があります。
- 意思決定の自動化を行う外部アプリを使用する場合、お客様に通知するか、アプリ使用の同意を得る必要がありますか。
データ漏洩の通知
GDPRの適用対象ストアでデータの漏洩が生じた場合、影響を受けたユーザーや特定の規制当局への通知が必要となる可能性があります。
特に、GDPRでは、データの漏洩により個人の権利および自由に悪影響を与えるリスクが高い場合、通知することが求められています。
以下のような漏洩が発生した情報の場合、これに該当します。
- 決済の詳細が含まれる。
- 恥ずかしい情報または個人情報を開示するために使用された可能性がある。
- 個人のアカウントまたはサービスにアクセスするために使用された可能性がある。
該当する場合、漏洩を察知した後72時間以内に通知する必要があります。
以下の質問について考えてみましょう。
- データの漏洩が発生した場合、収集および処理を実行したどの情報が通知の対象となる可能性があるか判断するため、弁護士に相談しましたか。
- このような事態に備えるため、ビジネスに適したデータ漏洩対策プランを作成していますか。
- 決済の詳細が含まれる。
- 恥ずかしい情報または個人情報を開示するために使用された可能性がある。
- 個人のアカウントまたはサービスにアクセスするために使用された可能性がある。
GDPRは、外部サービスのベンダーやサービスプロバイダーを使用してユーザーの個人データを処理するすべての企業に要件を課しています。
Shopifyは、さまざまなサブプロセッサを利用して顧客データを処理します。Shopifyのサブプロセッサーの詳細については、「Shopifyのサブプロセッサ」を参照してください。
以下の質問について考えてみましょう。
- Shopifyを含め、利用する販売元やサービスプロバイダーのプライバシー慣行を確認して、顧客の個人データの保護方法にきちんと納得しましたか?
外部アプリ
GDPRでは、あなたや外部サービスプロバイダーによる個人データの収集や使用に関連する、多くの積極的手順を実行することが求められています。これはShopifyに限定されず、Shopifyストアと連携させて使用する可能性がある外部アプリも含まれます。
Shopifyでは、インストールしたアプリによってアクセスされる個人データを簡単に把握できるようにしました。
手順:
管理画面で、[アプリ管理] をクリックします。
権限を確認するアプリで [詳細を見る] をクリックします。
アプリストアのインストール画面でアプリの権限を確認してからアプリをインストールすることもできます。
加えて、アプリストアには、各アプリについて、アプリ開発者が収集するデータとその使用法を詳細に説明するプライバシーポリシーにリンクするセクションがあります。
Shopifyは、インストールを選択したアプリのデータ取り扱いを可能な限り簡単に評価できるようにすることを望んでいますが、GDPRに準拠した形で外部アプリを使用していることを確認するのはあなた自身です。
以下の質問について考えてみましょう。
- 所在地、お客様の所在地、アプリ開発者の所在地、各アプリの実装状況に基づき、GDPRに準拠した形で外部アプリを使用していますか。GDPRを確実に遵守するため、特定のアプリのデータ取り扱いについてさらに検討や作業が必要か、質問がある場合は弁護士に相談してください。
国際的なデータ移行
GDPRでは、情報が適切に保護されない限り、個人データを欧州の外に持ち出すことを禁止しています。
Shopifyでは、個人データがアメリカやカナダに転送およびそこで処理されるため、GDPRの要件に従って個人データが保護されています。
マーチャントがこのような要件に対応するために、Shopifyではデータフローを設定しました。Shopifyのプライバシーポリシーに記載されているとおり、アイルランドに拠点を置くShopifyの関連会社であるShopify International Ltd.に、マーチャントから欧州の個人データが送信され、データがすべて処理されます。その後、GDPRに従って、Shopifyから処理済みのデータが転送されます。
GDPR基準と情報セキュリティのベストプラクティスに従った、Shopifyによる欧州経済地域 (EEA) およびイギリスからの個人データの受信方法と処理方法に関する詳細については、Shopifyの「GDPRに関するホワイトペーパー」 (英語) を参照してください。
以下の質問について考えてみましょう。
データを転送する相手側が、GDPRを遵守して国境を越えたデータ転送を実行することを確認しましたか。これは、外部アプリ、チャネル、決済ゲートウェイサービス、または他の販売元のプライバシーポリシーを参照し、欧州でのデータの保護方法について説明しているかどうかを調べることにより確認することができます。
ShopifyのGDPRに関するホワイトペーパーをダウンロードする
ShopifyがGDPRに準拠する方法、およびShopifyのご利用に際してGDPRに準拠するための詳しい情報については、ShopifyのGDPRに関するホワイトペーパードキュメント (英語) をダウンロードしてください。