Shopify ​データ処理に関する補遺

2025年7月25日より、データ処理補足条項を更新します。変更の詳細については、ここをクリックしてください。
発効日:2025年7月25日

Shopify データ処理補遺

I. 目的

このShopifyデータ処理に関する補遺 (以下「DPA」) は、Shopify 利用規約、およびお客様が使用することにした追加のShopifyサービスに適用されるあらゆる規約 (以下「規約」) を補足し、参照により、それらに組み込まれます。この規約はDPAに関連する事業の目的およびサービスを概説するもので、お客様 (または「マーチャント」) と規約で定めるShopify契約主体 (以下「Shopify」) との間で締結されます。規約と本DPAの間に矛盾がある場合、お客様の個人データの処理に関しては本DPAが優先されるものとします。

お客様とShopify(以下、それぞれ「当事者」、総称して「両当事者」)は、本DPAがお客様の顧客個人データの処理に関する両当事者の義務を定めることに同意します。お客様はデータ管理者として、Shopifyは、お客様の顧客個人データの処理に依存する当社のサービスのお客様による使用に関連して、お客様の顧客個人データの処理に関してデータ処理者として行動するものとします。ただし、付録Eに記載されているサービスは除きます。

本DPAに基づく個人データの処理が欧州経済地域(以下「EEA」)、英国(以下「UK」)、またはスイスのデータ保護要件の対象となり、Shopifyがデータ処理者として機能する場合、付録Cが本DPAを補足するものとします。付録Cと本DPAの他の条項との間に矛盾が生じた場合、EEA、英国、およびスイスのデータ保護要件の対象となるお客様の個人データの処理に関しては、付録Cが優先するものとします。疑義を回避するために、付録C付録Eに記載されている処理活動には適用されないものとします。

本DPAに基づく個人データの処理が米国データ保護法の対象となり、Shopifyがデータ処理者またはサービスプロバイダーとして機能する場合、付録Dが本DPAを補足するものとします。付録Dと本DPAの他の条項との間に矛盾がある場合、米国データ保護法の対象となるお客様の個人データの処理に関しては、付録Dが優先するものとします。疑義を回避するために、付録D付録Eに記載されている処理活動には適用されません。

Shopifyから拡張サービス (利用規約 の第9条2項で定義) を受ける場合Shopifyは、付録Eに記載されているとおり、データ管理者または事業者としてお客様の顧客個人データを処理するものとします。付録Eと本DPAの他の条項との間に矛盾が生じた場合、Shopifyによるデータ管理者または事業者として、お客様の顧客個人データの処理に関しては、付録Eが優先するものとします。

疑義を避けるために、本DPAは、ShopやShop Payなどのサービスを通じてお客様とShopifyとの関係の結果としてShopifyが受け取るお客様に関する個人データの処理には適用されません。

II. 定義

本DPAで使用されているが別途定義されていない、英語原本において大文字で表記されている用語については、規約で定める意味を有するものとします。

A. 適用されるデータ保護法:規約に基づくShopifyによるお客様の個人情報の処理に適用される、あらゆるデータ保護法または個人情報保護法、それらの実施規則および二次的法律 (それぞれ随時改正、更新、または置換されることがある) を指します。該当する場合、マーチャントおよび/またはお客様の顧客の所在地もしくは居住地に基づいて適用される法律が含まれます。

B. 顧客:お客様のストアを訪問する、お客様のストアとやり取りをする、および/またはお客様のストアから商品もしくはサービスを購入する個人もしくは事業体を指します。

C. データ権利要求:適用されるデータ保護法に基づき、個人データに関連する利用可能な権利を行使するための個人による有効かつ合法的な要求を指します。

D. データ管理者または事業者:個人データの処理の目的および手段を決定する当事者、または適用されるデータ保護法で別途定義される当事者を指します。

E. データ処理者またはサービスプロバイダー:データ管理者の指示により、または適用されるデータ保護法の定義に従って、データ管理者に代わってサービスを提供し、個人データを処理する当事者またはその他の団体または企業を指します。

F. 個人データ:適用データ保護法において「個人データ」、「個人情報」、または「個人を特定できる情報」(または類似の用語) として定義される情報またはデータ。

G. 個人データ漏洩:お客様の顧客個人データに関しては、適用されるデータ保護法に従って解釈されるものとします。

H. 「処理」:(a) 自動化された手段によるか否かを問わず、個人データもしくは個人データセットに対して実行される、あらゆる操作または一連の操作 (収集、記録、整理、構造化、保存、修正または改ざん、検索、参照、使用、送信による開示、頒布またはその他の方法による提供、調整または結合、制限、消去または破壊など) あるいは (b) 適用されるデータ保護法に基づく用語の定義を指します。********

I.「サブプロセッサ」:サービスを提供する目的でShopifyの指示により個人データを処理する関連会社または外部のデータ処理者またはサービスプロバイダーを指します。

J. 「お客様」、「お客様の」、または「マーチャント」:お客様が運営し、本サービス、拡張サービス、またはその他の追加サービスを利用または利益を得る各事業体であり、Shopifyとの規約の当事者であることを意味します。

K. 「お客様の顧客個人データ」:お客様の顧客からの、またはお客様の顧客に関する個人データ。ただし、顧客とShopifyとの関係の結果としてShopifyが受け取る顧客に関する個人データは除きます。これには本DPAではなく、Shopifyの消費者プライバシーポリシーが適用されます。

III. 処理の性質および両当事者の役割

**データ処理者またはサービスプロバイダーとしてのShopify。**Shopifyは、お客様にサービスを提供するため、および以下に定めるとおり、お客様の顧客個人データを受け取り、処理します。お客様がリクエストまたは利用するサービスに応じて、Shopifyは付録Aに記載されている方法および根拠に基づき、個人データのカテゴリーを処理します。

Shopifyは、データ処理者またはサービスプロバイダーとして、本規約および補足規約で指示されたサービスを提供するため、また、サービスを提供、開発、改善するために必要な場合、および適用データ保護法で許可されているその他の目的に従事するためにのみ、お客様の顧客個人データを処理するものとします。

**データ管理者または事業者としてのShopify。**Shopifyは、データ管理者または事業者として、(a)付録Eに定める状況および方法で、(b) お客様の指示および適用されるデータ保護法に準拠する追加の目的のために、お客様の顧客個人データを処理するものとします。

IV. 両当事者の義務

以下のセクションでは、本DPAの対象となる個人データの処理に関する両当事者のそれぞれの義務について説明します。

A. 一般的なコンプライアンス

  1. 両当事者は、適用されるデータ保護法に基づくそれぞれの義務を遵守します。

  2. Shopifyは、本DPAの対象となる個人データの処理を含め、適用されるデータ保護法に基づくお客様の義務について、お客様に対し解釈またはアドバイスする義務を負いません。お客様は、サービスの技術的・組織的対策がお客様の独立した法的および規制上の義務と一致しているかどうかの評価を含め、お客様の法的および規制上の義務を決定する責任を単独で負います。

B. Shopifyの義務

1. データセキュリティ
Shopifyは、付録Bに定められているように、不正または違法な処理、および偶発的な紛失、破壊、破損、盗難、改ざん、または開示からお客様の顧客個人データを保護するために設計された適切な技術的・組織的対策を実施および維持します。

2. 個人データ漏洩の通知と調査

a) 適用されるデータ保護法の規定に従い、Shopifyは個人データ漏洩を確認次第、お客様に通知します。

b) かかる通知には、Shopifyが合理的に入手可能な範囲で、適用されるデータ保護法に基づいて要求される情報が含まれるものとします。個人データ漏洩に対するShopifyの対応または通知は、Shopifyによる過失または責任を認めたことを意味するものではありません。

c) Shopifyは、あらゆる個人データ漏洩を調査し、その影響を特定、防止、軽減、および是正するために商業的に合理的な努力を行うことに同意します。

C. 個人データに関するお客様の義務

1. プライバシーに関する通知および透明性:お客様は、本規約に基づく、および本サービスの利用に関連するお客様の顧客個人データの処理に関して、適用データ保護法に基づくすべての義務を遵守し、通知および透明性を提供することを表明し、保証するものとします。適用データ保護法に従い、お客様は、Shopifyの消費者プライバシーポリシーおよびお客様のプライバシーポリシーへのリンクを提供し、本規約の第9.2.5項に定めるその他の開示情報を提供することにより、お客様が拡張サービスまたはその他の追加サービスを受ける場合を含め、本DPAに関連してShopifyがお客様の顧客個人データを合法かつ公正に処理するために必要なすべての開示情報を関係者に伝えるものとします。

2. 顧客の権利と許可:お客様は、利用規約、本DPA、適用されるデータ保護法に従って、お客様が受ける拡張サービスまたはお客様が受けるその他の追加サービスを含むサービスを受けるために、Shopifyに顧客個人データを提供するために必要なすべての権利、許可、および同意を有していることを表明し、保証します。

3. データ権利要求:お客様がデータ管理者であるShopifyによるお客様の顧客個人データの処理に関して、適用されるデータ保護法の規定に従って、お客様の顧客がデータ権利要求を行使できるようにすることを表明し、保証します。

4. 規制に関する問い合わせ:適用法で禁止されていない限り、お客様は、お客様によるサービスの利用に関する政府、規制当局、またはその他の外部サービスの問い合わせまたは苦情について、規約の通知規定に従って速やかに当社に通知するものとします。

V. 雑則

A. 国際データ移行
お客様の顧客個人データがShopify、その関連会社、または外部のサービスプロバイダーが所在する任意の国 (シンガポールおよびカナダを含む) に移行され、処理される可能性があることを認めます。これらの受信者へのお客様の顧客個人データの移行は、適用されるデータ保護法に従って行われます。ShopifyがEEA、英国、またはスイスのデータ保護要件の対象となる場合の国際データ移行の詳細については、付録CのセクションII (B)(8)を参照してください。

B. 法的要求への対応

  1. お客様は、Shopifyがお客様にサービスを提供する過程で、(i) 法的要求事項を遵守するため、または裁判所命令やその他の同様の政府や規制当局の要求に応じるため、または (ii) 詐欺の疑い、身体的安全への脅威、違法行為、または契約違反 (利用規約) などや当社ポリシー (適正利用規約) などを防止または調査するために、お客様の顧客個人データを共有する場合があることを承認します。

  2. Shopifyは、お客様の顧客個人データを作成する前に、かかる開示が適用されるデータ保護法の下で許可され、適用される法的枠組みの下で機密情報として扱われることを保証するために合理的な努力を払います。

C. 企業取引における開示
お客様は、Shopifyがお客様にサービスを提供する過程で、企業取引または再編取引の取引先候補とお客様の顧客個人データを共有する必要が生じる場合があることを認めます。

D. Shopifyのサービスプロバイダーの利用

  1. お客様は、Shopifyがお客様にサービスを提供する過程において、お客様の顧客個人データを処理するためにサービスプロバイダーを利用する場合があることを承認し、同意するものとします。Shopifyは、利用する 全サービスプロバイダーのリスト を最新の状態で維持しています。適用されるデータ保護法によりお客様に当該権利が付与されている場合、お客様はShopifyによるサービスプロバイダーの利用に異議を申し立てることができます。また、Shopifyが当該要請に応じられない、または応じない場合、お客様は当該法令に従い、本規約に基づき、当該通知から30日以内に、影響を受けるサービスの利用を終了することができます。

  2. Shopifyは、お客様から提供された顧客個人データを処理するためにサービスプロバイダーを利用する場合、適用されるデータ保護法を遵守します。Shopifyがサービスプロバイダーを利用する場合、Shopifyは当該サービスプロバイダーと書面による契約を締結し、当該契約において、本DPAに規定されているものと実質的に同一の契約上の義務が課せられます。

E. DPAの修正
Shopifyは、関連する修正および再制定されたDPAをShopifyのウェブサイトに掲載することにより、本DPAを随時修正できることを承認し、同意するものとします。https://shopify.com/legal/dpaDPAの修正は、掲載日をもって効力を発します。修正されたDPAがShopifyのウェブサイトに掲載された後も引き続き本サービスをご利用いただくことは、修正されたDPAへの同意および承諾したものとみなされます。DPAの変更に同意しない場合は、本サービスの利用を継続しないでください。

VI 付録

  1. 付録A - 個人データのカテゴリー

  2. 付録B - データセキュリティ

  3. 付録C - GDPR、英国GDPR、スイスのデータ処理に関する付録

  4. 付録D - 米国データ保護法

  5. 付録E - データ管理者または拡張サービス事業者としてのShopify

付録A:個人データのカテゴリー

お客様によるサービスの利用の一環として、またお客様が使用するサービスに応じて、当社はサービスを提供するために以下のカテゴリーの個人データを受け取り、処理することがあります。

● 顧客名、メールアドレス、連絡先、請求先情報、および配送先情報。

● お客様ストアからの購入およびその他の取引に関する情報。

● お客様またはお客様ストアとの取引状況に関する最新情報。

● 閲覧された商品および/またはショッピングカートに追加された商品など、お客様ストアでの顧客のアクティビティ。

● グローバルプライバシーコントロール (「GPC」)、オプトアウトおよびオプトイン信号を含む顧客設定信号。

● お客様ストアを訪問する際に使用されるデバイスの顧客デバイス情報 (IPアドレス、ブラウザ、ネットワークアクティビティなど)。

● 顧客とお客様のやり取りに関するその他の情報。

● お客様がShopifyに提供することにしたその他のあらゆる個人データ。

付録B:データセキュリティ

Shopifyは、(a) お客様の顧客個人データを不正または違法な処理、および偶発的な紛失、破壊、破損、盗難、改ざん、または開示から保護できるようにすること、(b) ご自身が受けるサービスのセキュリティと可用性に対する合理的に予見可能なリスクを特定すること、および (c) サービスに対するセキュリティリスクを最小限に抑えることを目的として設計された情報セキュリティプログラムを維持します。

**I. Shopifyの情報セキュリティプログラムには、以下の保護措置が含まれます。

A. 論理的セキュリティ

  1. アクセス制御:Shopifyは、サービスを維持し提供するために必要な場合にのみ、許可された担当者のみがシステムにアクセスできるようにします。Shopifyは、ファイアウォールおよび/またはその他のテクノロジーや認証制御の使用を含め、システムへのアクセスの承認管理のために設計されたアクセス制御とポリシーを維持します。

  2. ユーザーアクセスの制限:Shopifyは、(i) 職務に基づく最小権限の原則に従ってシステムへのアクセスをプロビジョニングおよび制限し、(ii) システムへのアクセスに2要素認証 (2FA) を要求します。

  3. 脆弱性評価:Shopifyは、脆弱性評価および侵入テストプログラムを維持し、サービスで特定された問題を調査および追跡し、必要に応じて解決する責任を負います。

  4. アプリケーションセキュリティ:Shopifyは、アプリケーションセキュリティの脅威からサービスを保護するアプリケーションセキュリティプログラムを維持します。

  5. 変更管理:Shopifyは、既存のサービスリソースへの変更を記録、許可、テスト、承認、および文書化するために設計された制御体制を維持し、変更管理または展開ツール内で変更の詳細を文書化します。Shopifyは、本番環境への移行前に、Shopifyの変更管理標準に従って変更をテストします。

  6. データの整合性:Shopifyは、必要に応じて、サービス内での送信、保存、処理中にデータの整合性を確保するために設計された制御体制を維持します。

  7. 可用性:Shopifyは、(i) サービスに不具合が発生した場合にサービスへの影響を最小限に抑えるために、適切な場所に冗長性を実装し、(ii) 障害を予測して許容するようにサービスを設計し、(iii) 障害からの回復に必要な場合に、個人データのトラフィックを影響を受ける領域から移動するように設計された適切なプロセスを実装します。

  8. 事業継続とディザスタリカバリ:Shopifyは、お客様が受けるサービスのShopifyによる提供を妨げる、または著しく損なう可能性のあるイベントを特定し、それに対応し、それから回復するためのプロセスと手順を含む、重要なビジネス機能の継続をサポートするために設計されたリスク管理プログラムを維持します。

  9. インシデント管理:Shopifyは、お客様がセキュリティまたは可用性のインシデントを報告し、セキュリティまたは可用性について質問したり、潜在的なセキュリティまたは可用性の問題に関する情報を送信したりするためのドキュメントを提供します。Shopifyは、サービスに対する潜在的なセキュリティの脅威を検出、軽減、調査、およびそれに対応するために設計された是正措置計画とインシデント対応計画を維持します。

B. 物理的セキュリティ:サービスを保護するために必要な場合、Shopifyは (i) サービスへの不正な物理的アクセス、損害、または妨害を防止するために設計された合理的な対策を実施し、(ii) サービスへの物理的なアクセスを、かかるアクセスに対する正当な業務上の必要がある、許可された担当者のみに制限するために設計された適切な制御デバイスを使用し、(iii) これらの基準への準拠を検証するために定期的な調査を実施します。

C. Shopify従業員:お客様の顧客個人データにアクセスすることを許可されたShopify従業員は、雇用条件の一部として守秘義務を負います。Shopifyは、Shopify情報セキュリティ要件に関する従業員セキュリティトレーニングプログラムを実施および維持します。セキュリティ意識向上トレーニングプログラムは定期的に見直され更新されます。

II. この付録の修正

Shopifyは、随時セキュリティ対策を見直し、独自の裁量でこの付録を更新することがあります。かかる更新は、Shopifyが更新版を公開した日付をもって、この付録の従来版に置き換わります。

付録C:GDPR、UK GDPR、およびスイスのデータ処理に関する付録

DPAに基づくお客様の顧客個人データの処理が、欧州経済地域 (以下「EEA」)、英国 (以下「UK」)、またはスイス (以下総称して「欧州データ保護法」) のデータ保護要件の対象となり、Shopifyがデータ処理者として機能している場合、付録Cが本DPAを補足します。

I. 処理の性質と両当事者の役割

A. 個人データ

この付録に基づき、別紙1に記載されているお客様の顧客個人データの処理に関して、お客様はデータ管理者として行動し、Shopifyは、規約に概説されている事業目的を達成し、利用することにしたサービスをお客様に提供するために必要な範囲で、データ処理者として行動するものとします。

II. 両当事者の義務

A. お客様の義務

お客様は、以下の事項を遵守するものとします。

● お客様による本サービスのご利用に関連してお客様に適用される欧州データ保護法。

● 本DPAに規定されているお客様の義務 (本付録に定められているお客様の義務を含む)。

お客様の顧客個人データを処理する (Shopifyに当該データを公開することを含む) ための有効な法的根拠を有し、欧州データ保護法の規定に従い、Shopifyがお客様の顧客個人データを処理してサービスを提供するために必要な同意、権利、承認を取得し、個人に必要な通知を行ったことを表明し、保証します。

B. Shopifyの義務

1. 管理者の指示と欧州データ保護法の違反

a) 両当事者は、本規約と本DPAを併せて、Shopifyによるお客様の顧客個人データの処理に関するお客様の文書化された指示 (以下「文書化された指示」) を構成することに同意します。

b) Shopifyは、データ処理者として、(i) お客様の文書化された指示に従って、または (ii) 適用法に基づくShopifyの義務を遵守するために、Shopifyが従うEEA、EEA加盟国、英国、またはスイスの法律に基づく通知要件に従って、お客様の顧客個人データを処理します。

c) Shopifyは、欧州データ保護法に違反していると合理的に判断される指示を受け取った場合、お客様に通知します (ただし、Shopifyはお客様の欧州データ保護法の遵守を積極的に監視する義務を負いません)。

2. 守秘義務

Shopifyは、お客様の顧客個人データの処理を許可した人物が書面による秘密保持契約を締結するか、法定義務を遵守することを保証します。

3. セキュリティ対策

a) Shopifyは、別紙2に記載されているとおり、お客様の顧客個人データを不正または違法な処理、および偶発的な紛失、破壊、損傷、盗難、不正アクセス、改ざん、開示から保護するために設計された適切な技術的および組織的対策を実施および維持するものとします。

b) お客様の顧客個人データおよび関連する処理の性質を考慮し、Shopifyは、お客様が欧州データ保護法に基づくセキュリティ義務を履行できるよう、お客様が合理的に要求する合理的な支援を提供するものとします。

c) Shopifyは、送信、保管、またはその他の方法で処理されたお客様の顧客個人データの偶発的または違法な破壊、紛失、変更、不正開示、またはアクセスにつながるセキュリティ侵害を認識した場合は、遅滞なくお客様に通知するものとします。

d) Shopifyは、かかるセキュリティ侵害を調査し、その影響を軽減するために商業的に合理的な努力を行うことに同意します。

4. サブプロセッサ

a) お客様は、Shopifyがお客様の顧客個人データを処理するために下請け業者を雇用することを一般的に承認します。また、お客様は、Shopifyがその関連会社を下請け業者として雇用することに同意します。

b) Shopifyがお客様の顧客個人データを処理するためにサブプロセッサを使用する場合、その処理は欧州データ保護法に準拠します。

c) Shopifyは、別紙3に記載される すべてのサブプロセッサのリスト を最新の状態に維持します。Shopifyは、必要に応じてサブプロセッサのリストを更新し、サブプロセッサの追加または変更の通知をお客様が受け取るための仕組みを提供します。お客様は、Shopifyによる新しいサブプロセッサの使用に異議を申し立てることができます。

d) お客様がShopifyによるサブプロセッサの使用に異議を唱え、Shopifyがかかる要求に応じられない、または応じようとしない場合、お客様は規約に従ってかかる通知から30日以内に関係するサービスの利用を終了することができます。

e) Shopifyが新しいサブプロセッサを利用する場合、Shopifyはサブプロセッサと書面による契約を締結し、Shopifyはサブプロセッサに対して、本DPAに規定されているものと実質的に同じ契約上の義務を課します。Shopifyは、本DPAの条件に従って各サブプロセッサのサービスを直接実行した場合にShopifyが責任を負うのと同じ範囲で、サブプロセッサの作為および不作為に対して全責任を負うものとします。ただし、Shopifyの責任は、規約に定められている条件および責任の制限に従います。

5. 管理者への支援
お客様の顧客個人データおよび関連する処理の性質を考慮し、Shopifyは、お客様が義務を遵守できるよう合理的に要求する合理的な支援を提供するものとします。

● Shopifyによるお客様の顧客個人データのすべての処理に関して、欧州データ保護法に基づくデータ権利要求に応じる

● 個人データ漏洩について関係当局および/またはデータ主体に通知する

● データ保護影響評価および事前協議を実施する

● セクション3に従って処理のセキュリティを確保する

6. コンプライアンスの評価

a) Shopifyは、お客様の書面による要求に応じて機密保持を条件に、以下の情報をお客様に提供することにより、お客様の顧客個人データの処理に関する欧州データ保護法に基づく監査の権利を履行する場合があります。

(i) Shopifyの最新の監査レポートの結果 (Shopifyの自己監査によるもの、または独立した第三者監査人が作成したもの)
(ii) データ保護当局または政府当局が要求した場合に、Shopifyが管理する追加情報

b) 欧州データ保護法がお客様に監査権を付与している場合に、付与されている範囲でのみ、お客様は、(i) 国際的に認められた独立した監査人が、Shopifyの監査報告書の提供では、お客様がShopifyの本DPAおよび欧州データ保護法への準拠を確認するのに十分な情報が提供されないと証明する範囲で、または (ii) お客様が政府機関の監査に応じるために必要な場合、監査権を行使できます。各監査は、以下のパラメータに準拠する必要があります。(i) Shopifyと秘密保持契約を締結する独立した第三者によって実施される。(ii) お客様がShopifyの本DPAへの準拠、および両当事者の欧州データ保護法への準拠を評価する上で合理的に必要であり、相互に合意した事項に範囲が限定される。(iii) 相互に合意した日時に、Shopifyの通常の営業時間内にのみ行われる。(iv) 年に1回を超えて行われることはない (欧州データ保護法で要求される場合を除く)。(v) Shopifyが管理する施設のみを対象とする。(vi) 調査結果をお客様の顧客個人データのみに限定する。(vii) 欧州データ保護法で認められる最大限の範囲で、結果を機密情報として扱う。明確にするために記すと、Shopifyは第三者との守秘義務に従い、セクション6に基づくお客様の権利を遵守します。

7. 処理の終了

a) お客様は、本サービスの使用中に、アカウントツールを使用して、お客様の顧客個人データにアクセスしたり、個人データを返却したり、削除したりすることができます。

b) 終了後、Shopifyはお客様の選択により、お客様の顧客個人データを削除または返却します。前述にかかわらず、Shopifyは、(i) 欧州データ保護法を含む法律で義務付けられている場合、および (ii) 標準のバックアップまたは記録保持ポリシーに従って、お客様の顧客個人データを保持することがあります。ただし、いずれの場合も、Shopifyは、保持されたお客様の顧客個人データの機密性を維持し、本DPAの適用規定を遵守するものとし、適用法で許可されている目的および期間を除き、保持されたお客様の顧客個人データをさらに処理することはありません。

8. 国際移行

a) 欧州データ保護法の遵守を条件として、Shopify International Ltd.は、サービスを提供するために必要に応じて、本付録に基づいて処理されたお客様の顧客個人データをEEA、英国、スイス国外に移行する場合があります (「国際移行」)。

b) こうした移行は主に、カナダの個人情報保護および電子文書法で規定されている個人データの適切な保護に関する2001年12月20日付のEU委員会2002/2/EC決定の恩恵を受けるカナダに拠点を置くShopify Inc.へのお客様の顧客個人データの移行で構成されます。

c) 欧州データ保護法の意味における適切なレベルのデータ保護が保証されていない国への国際移行は、以下の移行メカニズムを含む適切な保護措置の対象となります。

● 2021年6月4日付の欧州委員会の決定2021/914/ECで承認された2021年標準契約条項に基づく関連モジュール。

● 英国の2018年データ保護法の119A(1) 条に基づき、英国情報コミッショナーオフィスが発行した、欧州委員会の国際データ移行に関する標準契約条項の補遺。

● 1992年6月19日に制定され、2001年9月25日に改正されたスイス連邦データ保護法 (随時改正) の要件を満たすように改正された、2021年標準契約条項。

● 標準契約条項、国際データ移行補遺、または現在の条項および補遺に代わる可能性のあるその他の条項、補遺、または移行メカニズム。

d) Shopifyは、独自の裁量により、データ移行が適用法に準拠していることを保証するために、移行メカニズムを置き換えることができます。移行が標準契約条項に基づいており、かかる条項が関係当局によって更新された場合、かかる更新された条項または同様の契約は、ここに完全に記載されているかのように、このDPAに組み込まれます。

別紙1 - 個人データ

個人データの処理の説明

I. 処理の対象

マーチャントへのShopifyサービスの提供。

II データ主体のカテゴリー

マーチャントの顧客。

III. 処理される個人データのカテゴリー

上記付録Aをご覧ください。

IV. 移行の頻度

継続的

V. 処理の性質

規約に記載されている、個人データの収集、記録、ホスティング、アクセス、使用、移行および削除。

VI. 管理者に代わって個人データが処理される目的

規約に記載されているサービスの実行および向上のため。

VII. 処理の期間

規約または適用される契約に基づくサービスの有効期間、およびかかる有効期限の終了後、データの匿名化、返却、または削除が行われるまでの期間。

VIII. 管轄監督機関 管轄監督機関はアイルランドのデータ保護委員会となります。

別紙2 - セキュリティ対策

セキュリティ対策に関する情報は、本DPAの付録Bに記載されています。

別紙3 - サブプロセッサのリスト

本規約に基づくサービス提供のためにShopifyが利用するサブプロセッサは、こちら

サブプロセッサは、Shopifyとの契約期間中、サービスに関連して上記のカテゴリーの個人データを処理します。

付録D:米国データ保護法

本条項は、以下の範囲にのみ適用されます。(i) 米国データ保護法が、お客様による本サービスのご利用に関連して、お客様および/またはお客様の顧客個人データに適用される場合、(ii) 米国データ保護法によって以下の規定が要求される場合、および(iii) Shopifyがデータ処理者またはサービスプロバイダーとして機能している場合。疑義を回避するために、本付録Dは付録Eに記載されている処理活動には適用されません。

A. 両当事者は、本規約と本DPAを併せて、Shopifyによるお客様の顧客個人データの処理に関するお客様の文書化された指示 (以下「文書化された指示」) を構成することに同意します。

B.付録Eに記載されている場合を除き、お客様が特定の拡張サービスを受ける場合、Shopifyは以下を行いません。(i) お客様との直接のビジネス関係外で、または本DPAおよび/または利用規約で特定された限定的かつ指定された目的 (サービスの提供、開発、改善を含む) 以外の目的で、または適用される米国データ保護法で別途許可されている場合を除いて、お客様の顧客個人データを保持、使用、または開示しません。(ii) CCPAまたはその他の米国データ保護法の意味でのお客様の顧客個人データを「販売」または「共有」したり、お客様の顧客個人データを使用して「ターゲット広告」を行ったりしません。(iii) いずれの場合も米国データ保護法で許可されている場合を除き、お客様の顧客個人データを他のソースから受け取った個人データと組み合わせません。

C. Shopifyは、(i) 米国データ保護法によって企業またはデータ管理者に求められるのと同じレベルのプライバシー保護を提供し、これらの義務を満たすことができなくなったと判断した場合はお客様に通知します。その場合、お客様は、顧客個人データの不正な処理を停止または修正するための合理的かつ適切な措置を講じることができます。(ii) お客様の顧客個人データの処理を許可した担当者が書面による秘密保持契約を締結するか、法定義務を負うようにします。(iii) 合理的な書面による要求があった場合、およびお客様が米国データ保護法に準拠した方法でShopifyが顧客個人データを使用することを保証するための合理的かつ適切な措置を講じることができるようにするために、Shopifyの情報セキュリティプログラムの合理的な評価を示すSOC2レポートを提供します。(iv) お客様へのサービスの終了時に、Shopifyは、データ処理者またはサービスプロバイダーとしてのみ処理するためにShopifyに提供されたお客様の顧客個人データを削除、返却、または匿名化するための消去プロセスを開始します。

C. お客様は、お客様が尊重することを約束したオプトアウト権を行使した個人の個人データ、または適用データ保護法の要件に従ってそのような機密データの処理に同意していない個人の機密個人データをShopifyと共有しないことを表明し、保証します。

付録E:データ管理者または拡張サービスの事業者としてのShopify

Shopifyは、利用規約 の第9条2項に定義される拡張サービスを受ける際に、データ管理者または事業者として機能します。Shopifyは、データ管理者または事業者として機能するサービスおよび商品を随時更新する場合があります。

Shopifyによる拡張サービスの提供の一環として、お客様は、Shopifyが適用データ保護法に基づきデータ管理者または事業者としてお客様の顧客個人データを処理し、お客様の顧客とお客様のストア、他のマーチャント、およびShopifyとのやり取りや取引を組み込んだ分析、商品のカスタマイズ、広告、その他のサービスをお客様に提供、開発、改善することに同意するものとします。Shopifyがこのように顧客個人データを処理する場合、Shopifyの消費者プライバシーポリシーおよび本DPAの付録Eが適用されます。お客様は、こちら ですが、指定されているとおり、特定のアプリや機能は使用できません [TODO: リンク]。

プライバシー通知、透明性、および権利。適用されるデータ保護法に従い、お客様は、DPAのこの付録Eに関連して、Shopifyがお客様の顧客個人データを合法かつ公正に処理してお客様に拡張サービスを提供するために必要なすべての開示を、関連する個人に伝えるものとします。これには、お客様のプライバシーポリシーにShopifyの消費者プライバシーポリシーへのリンクを提供すること、および 利用規約 第9条2項5に規定されている開示を提供することが含まれます。

欧州の要件。お客様がEEA、英国、またはスイス国内に拠点を置いている場合、またはお客様の顧客がEEA、英国、またはスイス国内に所在する場合、お客様は、顧客から同意を得ていることに同意し、表明し、保証するものとします。また、適用データ保護法で義務付けられている場合、同意の撤回、特定の処理への異議申し立て、および特定の処理からのオプトアウトの権利を顧客に提供するものとします。疑義を避けるために、お客様は、拡張サービスの一環としてのターゲット広告、および適用データ保護法で義務付けられている範囲でのCookieまたはその他のローカルストレージ技術の使用について、同意を得る必要があります。これらの要件の実装に関する詳細は、[TODO: link] をご覧ください。

管理者の責任。お客様は、お客様の顧客個人データのデータ管理者であり、適用されるデータ保護法の下での処理の法的根拠の決定を含め、お客様の顧客個人データの処理の目的と手段、およびお客様の顧客個人データを使用および処理する方法を個別に決定するものとします。Shopifyは、本付録Eに従って処理するお客様の顧客個人データのデータ管理者であり、適用されるデータ保護法の下での処理の法的根拠の決定を含め、かかる個人データの処理の目的と手段、およびかかる個人データを使用および処理する方法を個別に決定するものとします。

各当事者は、データ管理者としてお客様の顧客個人データの処理に関連して受け取ったデータ権利要求に応じる責任を個別に負います。

DPAの残りには影響なし。本付録Eは、マーチャントとShopify間のデータ管理者とデータ処理者の関係を反映する本DPAの残りの部分を含むいかなる規約にも影響を与えません。