本Shopify データ処理に関する補遺 (以下「補遺」) は、お客様とShopify Inc. (151 O’Connor Street, Ground floor, Ottawa, ON, K2P 2L8に所在するカナダ法人) 間のShopify 利用規約およびこの補遺を参照することによって組み込まれる他の条件 (以下総称して「契約」) をShopifyおよびシンガポール関連会社Shopify Commerce Singapore Pte. Ltd.およびShopifyのアイルランド関連会社Shopify International Ltd. (以下「上海opify」) を代表して、修正します。
「欧州データ保護法」とは、欧州連合規則2016/679 (「一般データ保護規則」)、英国データ保護法2018 (「DPA」)、データ保護、プライバシーおよび電子通信 (改正等) (EU離脱) 規則2019により改正されたDPAが定める英国一般データ保護規則 (以下DPAと総称して「英国GDPR」)、および上記を実施する、または欧州加盟国もしくは英国におけるデータ保護、プライバシー、データセキュリティまたは個人データの処理に関連する関連法、法令、規制、規則またはその他の拘束力を有する文書 (いずれの場合も適用可能かつ有効であり、適宜改正、統合、再実施または置換されたもの) を指します。
「個人データ」は、欧州データ保護法および米国データ保護法 (該当する場合) に従って解釈され、データ管理者またはビジネス (当該法に定義される) としてのお客様にサービスを提供する過程で、Shopifyがデータ処理者またはサービスプロバイダー (当該法に定義される) として処理する、お客様のストアを通じて訪問または取引を行う識別可能または特定可能な個人 (「顧客」) に関するものとします。「個人データ」という用語は、米国データ保護法に定義される「個人情報 (Personal Information)」をも含むものとします。前述の文にかかわらず、個人データには、ShopやShop Payなどの消費者向けアプリなど、Shopifyが消費者に直接提供するサービスの文脈で処理される情報は含まれません。
「米国データ保護法」とは、カリフォルニア州プライバシー権法 (「CCPA」) 、バージニア州消費者データ保護法 (「VCDPA」) 、コロラド州プライバシー法 (「CPA」) 、ユタ州消費者プライバシー法 (「UCPA」) 、個人データプライバシーとオンライン監視に関するコネチカット州法 (「CTDPA」) によって改正されたカリフォルニア州消費者プライバシー法、およびその他の包括的なプライバシー関連州法、および個人データ (当該法律で定義される) に関して事業者または管理者に義務を課すその他の類似の包括的なプライバシー関連州法、および当該法律を実施する関連規制、規則またはその他の拘束力のある文書 (いずれの場合も適用可能かつ有効で、適宜、改正、統合、再実施または置換されるもの) を指します。
「米国の消費者」とは、米国のデータ保護法に基づいて定義された「消費者」である個人を意味します。
本補遺にあるその他すべての大文字の用語は、契約と同じ定義を持つものとします。
当事者は、本補遺条項の付録1が、個人データの処理の主題および詳細を記述していることに同意します。Shopifyは、個人データを集約、匿名化または非識別化し、付録1に規定された目的または適用法で許可された目的のためにかかるデータを処理することができます。Shopifyがお客様から受け取った個人データが非識別化 (本補遺条項の第5.1項に定義) されている限り、Shopifyは、そのデータを非識別化の方法でのみ維持し、使用するものとします。
本項は、Shopifyの個人データの処理が、欧州データ保護法の対象となる範囲にのみ適用されます。本項において、「データ処理者」、「データ管理者」、「データ対象者」、「処理」、「サブプロセッサ」、「監督機関」は、欧州データ保護法に従って解釈されるものとします。
お客様は、ShopやShop Payのような消費者向けのアプリケーションやサービスに関連して消費者から収集する個人データに関して、Shopifyが独立したデータ管理者として行動することを認めるものとします。
データ主体が欧州経済地域または英国に存在する場合、そのデータ主体の個人データは、アイルランドに所在するShopify関連会社であるShopify International Ltd. (「Shopify EU」) により処理されます。サービス提供の一環として、この個人データはカナダやアメリカを含む他の地域に転送される場合があります。このような転送は、関連するデータ保護法に準拠して完了するものとします。
上海opify EUがサービスを提供する過程で個人データを処理する場合、Shopifyは以下を実施します。
書面による指示 (そのような指示がサービスの機能と同一基準である場合) に従い、サービスを提供する目的でのみ、データ処理者および/またはサービスプロバイダーとして個人データを処理するものとします。追って、同意が必要な場合があります。Shopify EUが法律により他の目的で個人データの処理を義務付けられている場合、Shopify EUはそのような通知の提供を法律で禁止されていない限り、この要件の事前通知を提供するものとします。
本サービス提供の一環として、Shopify EUはお客様からの指示に沿って個人データをMaxMindに転送します。MaxMindは不正注文の検出サービスで、不正取引を回避するためのリスクスコアが算出されます。この範囲に限り、MaxMindは本サービスで処理するすべての顧客に関する個人データについて単独のデータ管理者となり、MaxMindのデータ処理方法についてShopifyは責任を負いません。MaxMindにおけるプライバシーの取り扱いについて、詳細はこちらからご確認いただけます:www.maxmind.com/en/privacy-policy。
また、Shopify EUが、個人データの処理に関する指示が該当する欧州データ保護法に違反していると判断する場合は、その旨を通知することとします。
上海opify EUの個人データの処理に関する監督機関からの問い合わせまたは苦情を受け取った場合、法律で許可されている範囲において迅速に通知することとします。
適切な技術的および組織的対策を実施して、履行が義務付けられている顧客の個人データに関連する要請の実行を可能なものとします。
適切な技術的および組織的対策を実施および維持して、不正または違法な処理、偶発的な損失、破壊、損傷、盗難、改ざん、または開示から個人データを保護するものとします。これらの対策は、個人データの不正または違法な処理、偶発的な損失、破壊、損傷または盗難から生じる可能性のある損害に適切であり、保護されるべき個人データの本質に適切なものです。
要求に応じて、データ保護影響評価および規制当局との事前協議を完了するために有用で合理的な情報を提供します。
要求に応じて、Shopify EUのデータ保護プラクティスを担当する監査団体 (外部監査人、内部監査、データ保護監査人など) による最新の評価、レポート、またはその抜粋を提供します。また、この補遺内容の準拠を評価するため、適切な証明書を提供することとします。
個人データの偶発的、不正または違法な処理、開示およびアクセスを認識、確認した場合、不当な遅滞をすることなく通知するものとします。
個人データにアクセスする担当者が守秘義務を負うことを保証します。
本契約が終了した場合、Shopify EUは個人データを削除または匿名化するためのパージプロセスを速やかに開始します。またお客様は、契約終了後60日以内に、Shopifyが当該個人データを返却するよう要求することもできます。
サービスを提供する過程で、お客様は、Shopify EUが、オンラインでリストアップされたサブプロセッサ上海opifyの副処理者(「サブプロセッサ一覧”)を使用して個人データを処理する一般的な書面による権限を有することを認め,ここに許可します。上海opify EUが、個人データを処理するために特定のサブプロセッサを使用することは、ヨーロッパのデータ保護法を遵守し、Shopify EUとサブプロセッサの間で、このデータ処理補遺条項と同等の保護を要求する契約によって管理される必要があります。Shopify EUが新しいサブプロセッサを任命する場合、またはサブプロセッサの追加や交換に関する変更を意図する場合、その変更は当社のサブプロセッサ一覧に反映されます。お客様は、当社のサブプロセッサ一覧の更新日から7日以内に、その変更に異議を唱えることができます。サブプロセッサの任命に異議を唱える場合、お客様は、本契約およびお客様のShopify Plus契約 (該当する場合) に従って、本契約を終了させることができます。
お客様は、欧州データ保護法を遵守し、今後も遵守すること、特に、必要な同意を得て、必要な通知を行い、その他、Shopify EUにデータを開示し、本契約に規定されたShopify EUによる個人データの処理を可能にする正当な根拠があることを保証するものとします。
本項は、米国データ保護法との関係で、お客様が事業者または管理者であり、サービスを提供する過程で、Shopifyが米国データ保護法の対象となる米国消費者の個人データを処理する場合にのみ適用されます。本項において、「ビジネス」、「ビジネス目的」、「商業目的」、「管理者」、「非識別化」、「処理者」、「販売」、「売上」、「サービスプロバイダー」は、米国データ保護法において付与された意味を持ち、「共有」は、CCPAにおいて付与された意味を持つものとし、参照により本書に組み込まれるものとします。
個人データに関して、適用される米国データ保護法が要求する範囲内で、Shopifyは以下を実施します。
サービスプロバイダーおよび/または処理者として、お客様に代わり、本サービスを提供するため、または米国のデータ保護法によって許可された方法で、個人データを処理します。
お客様との直接的なビジネス関係以外、またはサービスの提供、または、米国のデータ保護法によって許可された場合以外の目的で、個人データを保持、使用、開示しません (本契約に記載されたビジネス目的の実行以外の商業目的による個人データの保持、使用、開示を含む)。
当該個人データを販売、共有しません。
サービスの実施に関連して収集した個人データを、サービスの実施、同意、指示、または米国データ保護法で認められている場合を除き、他のソースから受け取った個人データ、または個人との交流から収集した個人データと結合しません。
個人データの処理に関連して、米国データ保護法により事業者または管理者に要求されるものと同レベルのプライバシー保護を提供することを含め、サービスプロバイダまたは処理者に適用される米国データ保護法の規定を遵守し、これらの義務が遂行不可能になったと判断した場合にはお客様に通知します。お客様は、このような通知を受けた場合、Shopifyによる個人データの不正使用を停止し、是正するために、合理的かつ適切な措置を取ることができます。
このデータ処理補遺条項と同等の保護を要求する書面による契約に従って、自己に代わって個人データを処理する下請け業者にのみ従事させます。サービスを提供する過程で、お客様は、Shopifyが、オンラインでリストアップされた下請け業者上海opifyの副処理者(「サブプロセッサ一覧”)を使用して個人データを処理する一般的な書面による権限を有することを認め,ここに許可します。上海opifyが、個人データを処理するために特定の下請け業者を使用することは、ヨーロッパのデータ保護法を遵守し、Shopifyと下請け業者の間で、このデータ処理補遺条項と同等の保護を要求する契約によって管理される必要があります。Shopify EUが新しい下請け業者を任命する場合、または下請け業者の追加や交換に関する変更を意図する場合、その変更は当社のサブプロセッサ一覧に反映されます。お客様は、当社のサブプロセッサ一覧の更新日から7日以内に、その変更に異議を唱えることができます。お客様から回答がない場合、その変更は承認されたものとみなされます。お客様は、下請け業者の任命に異議を唱える場合、本契約およびお客様のShopify Plus契約 (該当する場合) に従って、本契約を終了させることができます。
お客様からの合理的な書面による通知に基づき,本契約に規定された守秘義務に従って、Shopifyの個人データの使用が米国のデータ保護法に基づくお客様の義務に合致していることを確認するために、お客様を支援する合理的かつ適切な措置を取るものとします。
要求に応じて、適切かつ承認されている管理基準または枠組みおよび評価手順を使用して、適用される米国データ保護法の義務をサポートするShopifyのポリシーおよび技術的・組織的措置の妥当な評価の報告書を提供するものとします。
本契約が終了した場合、Shopifyは個人データを削除または非識別化するためのパージプロセスを速やかに開始します。またお客様は、契約終了後60日以内に、Shopifyが当該個人データを返却するよう要求することもできます。
お客様は、次のことを表明し、保証します。
適用法の要求に従って、サービスを提供するためにShopifyが個人データを処理できるように、Shopifyへの個人データの開示に関して必要な同意、権利、認可を取得し、個人に対して必要な通知を行っていること。
米国データ保護法の対象となる個人で、お客様が遵守することを約束したオプトアウトを行使した人の個人データをShopifyと共有しないこと。
機密データの処理に同意していない米国の消費者の機密データを、Shopifyと共有しないこと。
米国データ保護法に従って個人がお客様に対して行う、Shopifyが遵守しなければならない権利要求についてShopifyに知らせ、Shopifyがその要求に応じるために必要な情報を提供すること。
これらの法律の遵守について単独で責任を負うこと。
お客様とShopifyは、本補遺条項の存在が、個人データの共有が販売または共有を構成することを認めるものではないことに同意するものとします。
契約の条項と本補遺の間に競合または矛盾がある場合、本補遺の条項が優先されるものとします。ただし、かかる条項の規定が適用法に基づく要件と矛盾する場合は、かかる要件が優先されるものとします。疑念を回避するため、適用法により許可されている範囲において、本補遺に基づく制限を含めたすべての責任は、契約の関連条項に準拠するものとします。修正および書き換えを行った該当の補遺をShopifyのウェブサイトに掲載することにより、Shopifyが本補遺を随時修正する場合があることを認め、それに同意するものとします。上海opify データ処理補遺から内容をご確認いただけます。また、そのように修正した補遺は、掲載された日から有効になるものとします。補遺の修正がShopifyのウェブサイトに掲載された後もサービスを継続利用することにより、修正された補遺に同意し、修正を受諾したものとします。補遺の変更に同意されない場合は、サービスの利用を中止してください。
本補遺で具体的に修正および変更された場合を除き、契約に含まれるすべての条件、条項、要件は引き続き有効なまま存続し、本補遺に優先されるものとします。補遺のいずれかの条項が司法手続きにおいて違法または執行不能であると判断された場合、当該規定は本補遺から切り離されて無効となりますが、本補遺の残る部分は引き続き有効であり、拘束力を保持するものとします。
本補遺の条件は、法の抵触のルールは適用せず、オンタリオ州の法および適用されるカナダの法に準拠し、それらに従って解釈されるものとします。当事者は、本補遺または本補遺に関連して生じるいかなる異議申し立てまたは請求に関して、オンタリオ州の裁判所の専属的管轄権を取消不能かつ無条件として提出するものとします。
処理の性質と目的:Shopify利用規約および本補遺条項が組み込まれるその他の規約に基づくサービスを提供および改善するため、顧客への関連サポートを提供するため、欧州データ保護法または米国データ保護法 (該当する場合) により許可されたため、またはお客様により適宜開始されたため。
対象、個人データの種類、データ主体のカテゴリ:顧客に関する個人データ。
処理の期間:本補遺条項の期間に加え、期間終了後、本補遺条項の義務に従ってShopifyがすべての顧客の個人データを削除するまでの期間。