GDPRによるShopifyへの影響

一般データ保護規則(GDPR)により,Shopifyでは,プラットフォームと内部のプライバシープログラムに以下の変更を行う必要があります。

• Shopifyはプライバシーの取り扱いについて説明責任を果たすため,プライバシーチームを再編成し,プライバシーに関するShopifyによって下された特定の決定を文書に記録します。

• Shopifyは欧州のマーチャントおよびお客様の個人データに関する権利を尊重し,Shopifyのサービスを利用する際にマーチャントが同様に権利を尊重できることを保証します。

• マーチャントに対し一定の契約上のコミットメントを負い,Shopifyがサービス提供のためサードパーティのサブプロセッサを利用する場合は一定の契約上のコミットメントが生じます。

GDPRに備えるためのShopifyによる対応

Shopifyは，以下の対策を講じてGDPRの準備を完了しています。

ポリシ，と文書

• Shopifyのプラバシポリシを更新し,GDPRの13条および14条に従い,GDPRにより拡張された権利についての情報,およびShopifyにおける個人データ処理方法に関する詳細な情報を記載。
• GDPRの28条に従い，Shopifyのオンラaaplン利用規約にデ，タ処理に関する補遺を追加。
• デ，タ主体からのアクセス要求，削除要求，政府によるアクセス要求に対処するための詳細な手続きを実施。

商品の機能

• GDPRの13条および14条に従ってプライバシーポリシージェネレーターを更新し,マーチャントが自身のプライバシーポリシーに含めることが必要な情報を記載。
• マーチャントがマーケティングを目的とする独立した合意を得ることができ,自身の要件に応じて同意チェックボックスをあらかじめチェックするか選択することができるよう,Shopifyプラットフォームに機能を追加。
• お客様がマーケティングコミュニケーションにオプトインしたかどうかに関わらず,マーチャントが紐付けできるよう,放棄されたカートの通知を更新。

アプリストア

• アプリ開発者が,アプリによって収集および処理される個人データを正確に説明するプライバシーポリシーとリンクできるように,Shopifyアプリストアの表示を更新。
• GDPRに従い,マーチャントが自身のプライバシーポリシーを更新するために必要な種類の情報を含むプライバシーポリシーの下書きをサポートするため,アプリ開発者にプラバシポリシのテンプレトを提供。

コ，ポレ，トガバナンス

• Shopifyのデータ保護プログラムとGDPR実施プランを指揮する経験豊富なデータ保護責任者を任命。
• gdprの30条に従い，当社のデ，タ処理アクティビティのレジストリを作成。
• gdprの35条および91条に従い，デタ保護影響評価プロセスを実施。
• Shopifyがプラットフォームや他のサービスを提供するために使用するサブプロセッサを文書に記録し,技術的および組織的に堅牢な対策により個人データの保護が義務付けられていることを確かめるため,サブプロセッサとの契約内容の確認を開始。
• Shopifyのデ，タ処理業務をサポ，トするため，拘束的企業準則の承認申請プロセスを開始。
• 法的要件を把握しプライバシーを念頭に置いてShopifyの商品およびビジネスプランを作成できるように,主要なチームおよび個人に対してGDPRに焦点を合わせたトレーニングの提供を開始。

GDPRの順守に向け，Shopifyは他にどのような取り組みをしていますか?

上記の準備に加え，Shopifyは次の機能を展開しています。

• GDPRに従いマーチャントが主体からのアクセス要求を受けた場合,お客様を代理して管理画面で,Shopifyが所有するお客様についての情報すべてを要求するツール。
• GDPRに従いマーチャントが消去要求を受けた場合,管理画面でShopifyが特定のお客様に関するすべての個人情報を消去するよう要求するツール。マーチャントが消去要求のためこのツールを使用する際,マーチャントがお客様の個人情報に対しアクセス権限を与える要求を行った時点でインストール済みのアプリにも,Shopifyはこの要求を転送。
• インストール後のチャネルがアクセスする個人データをマーチャントに正確に伝える,詳細な情報を提供するチャネルインストールのプロセス。
• マーチャントが,Shopifyでのサービス提供に必要な饼干の使用を目的として有効な同意を取得し,必要な情報を有することを保証するため,Shopifyのオンラインプロパティのみならず,ShopifyストアフロントおよびモバイルアプリでShopifyが使用する饼干のカテゴリーに関係する特定の情報を含む,より堅牢な饼干ポリシー。
• アプリをインストールする前に,アプリがアクセスを要求する個人データをマーチャントが完全かつ正確に理解することが可能な,アプリをインストールする際の透明化されたプロセス。
• マーチャントが特定のアプリのデータ権限限をいつでも確認できる,既にインストールされているアプリの詳細なリスト。

Shopifyはマ，チャントとデ，タ処理契約を結びますか?

Shopifyのサービスを利用し,オンライン利用規約に従う義務があるマーチャントに対し,Shopifyはデ，タ処理に関する補遺を含むよう条項を改訂しました。

この条項は利用規約に追加されたものであり,Shopifyのサービスの利用を継続することにより同意したとみなされるため,この書類に署名する必要はありません。これは，gdprの28条(3)の要件を満たすものです。Shopifyは、各マーチャントと個別契約を結ぶことはできません。

Shopify +マーチャントについては,Shopifyでは個人データ処理を対象として含むデータ処理契約を締結しています。詳細にいては，Shopify Plusサポトにお問い合わせください。