Shopify データ処理補遺

最終更新日:2024年9月10日

Shopify データ処理補遺

I. 目的

このShopifyデータ処理に関する補遺 (以下「DPA」) は、Shopify利用規約、およびお客様が使用することにした追加のShopifyサービスに適用されるあらゆる規約 (以下「規約」) を補足し、参照により、それらに組み込まれます。この規約はDPAに関連する事業の目的およびサービスを概説するもので、お客様 (または「マーチャント」) と規約で定めるShopify契約主体 (以下「Shopify」) との間で締結されます。規約と本DPAの間に矛盾がある場合、お客様の個人データの処理に関しては本DPAが優先されるものとします。

本DPAに基づく個人データの処理が欧州経済地域 (以下「EEA」)、イギリス (以下「英国」)、またはスイスのデータ保護要件の対象となる場合、付録Cが本DPAを補足します。付録Cと本DPAの他のセクションとの間に矛盾がある場合は、EEA、英国、スイスのプライバシー要件の対象となるお客様の個人データの処理に関しては、付録Cが優先されるものとします。

お客様とShopify (以下個別に「当事者」、総称して「両当事者」) は、本DPAが、両当事者の義務を定め、規約およびお客様によるサービスの利用に関連したお客様の個人データの処理方法を規定することに同意します。疑義を避けるために記すと、本DPAは、データ管理者としてのShopifyによる個人データの処理には適用されません。これには、ShopやShop Payのような、Shopifyの消費者向けサービスなどを介する、顧客とShopifyとの直接的な関係または意図的なやり取りの結果として、Shopifyが受け取る顧客に関する個人データが含まれます。

II. 定義

本DPAで使用されているが別途定義されていない、英語原本において大文字で表記されている用語については、規約で定める意味を有するものとします。

A. 適用されるデータ保護法:規約に基づくShopifyによるお客様の個人情報の処理に適用される、あらゆるデータ保護法または個人情報保護法、それらの実施規則および二次的法律 (それぞれ随時改正、更新、または置換されることがある) を指します。(該当する場合、マーチャントおよび/またはお客様の顧客の所在地もしくは居住地に基づき) 以下が含まれます。

1. カナダの2000年個人情報保護及び電子文書法 (以下「PIPEDA」)

2. (a) カリフォルニア州消費者プライバシー法 (以下「CCPA」、カリフォルニア州プライバシー権法によって改正された)、(b) バージニア州消費者データ保護法、(c) コロラド州プライバシー法、(d) コネチカット州個人データプライバシー法、(e) ユタ州消費者プライバシー法、(f) オレゴン州消費者プライバシー法、(g) テキサス州データプライバシーおよびセキュリティ法、(h) モンタナ州消費者データプライバシー法、および (i) 米国の他の州において有効となる、同様の包括的個人情報保護法 (総称して「米国データ保護法」)

3. 一般データ保護規則 (規則 (EU) 2016/679) (以下「GDPR」) および適用される国内実施法

4. EU電子通信プライバシー指令 (指令2002/58/EC) (改正版) (以下「e-プライバシー法」)

5. 英国一般データ保護規則 (以下「UK GDPR」) および2018年英国データ保護法 (以下「UK DPA」)

6. シンガポールの2012年個人情報保護法 (以下「PDPA」) および

7. スイス連邦データ保護法 (以下「スイスFDPA」)

B. 顧客:お客様のストアを訪問する、お客様のストアとやり取りをする、および/またはお客様のストアから商品もしくはサービスを購入する個人もしくは事業体を指します。

C. 個人データ:適用されるデータ保護法の下で「個人データ」、「個人情報」、または「個人を特定できる情報」(もしくは類似の用語) として定義される、お客様の顧客からの、もしくはお客様の顧客に関する情報やデータで、お客様 (またはお客様に代わって行動する第三者) がサービスの利用の一環としてShopify (またはShopifyに代わって行動する第三者) に提供するもの、ならびにお客様がサービスの利用の一環としてお客様の顧客についてShopifyと共有することにしたその他の個人データを指します。明確にするために記すと、個人データには、Shopifyが、データ管理者として処理する、および/または顧客とShopifyもしくは他のShopifyマーチャントとの直接的な関係や意図的なやり取りの結果として受け取る、顧客に関する個人データは含まれません。

D. データ権利要求:適用されるデータ保護法に基づき、個人データに関連する利用可能な権利を行使するための個人による有効かつ合法的な要求を指します。

E. データ管理者:個人データの処理の目的および手段を決定する当事者、または適用されるデータ保護法で別途定義される当事者を指します。

F. データ処理者またはサービスプロバイダー:データ管理者に代わってサービスを提供し、データ管理者の指示の下、データ管理者に代わって個人データを処理する当事者またはその他の事業体や事業者であり、適用されるデータ保護法に従って解釈されるものとします。

G. 個人データ漏洩:お客様の個人データに関しては、適用されるデータ保護法に従って解釈されるものとします。

H.処理」:(a) 自動化された手段によるか否かを問わず、個人データもしくは個人データセットに対して実行される、あらゆる操作または一連の操作 (収集、記録、整理、構造化、保存、修正または改ざん、検索、参照、使用、送信による開示、頒布またはその他の方法による提供、調整または結合、制限、消去または破壊など) あるいは (b) 適用されるデータ保護法に基づく用語の定義を指します。********

I.サブプロセッサ」:サービスを提供する目的でShopifyの指示により個人データを処理する関連会社または外部のデータ処理者またはサービスプロバイダーを指します。

J.お客様」*または「マーチャント」*:サービスを利用し、Shopifyとの規約の当事者である事業者を指します。

III. 処理の性質および両当事者の役割

Shopifyは、お客様にサービスを提供するため、また以下に別途定める目的のために、お客様の個人データを受け取り、処理します。お客様が要求または利用するサービスに応じて、Shopifyは付録Aに定めるカテゴリーの個人データを、そこに記載されている方法と根拠に基づいて処理します。

Shopifyは、データ処理者またはサービスプロバイダーとして、そのサービスを提供および向上するために必要な場合、または適用されるデータ保護法によって許可されている場合にのみ、お客様の個人データを処理するものとします。サービスの提供および継続的な向上の一環として、Shopifyはお客様の個人データを集約、匿名化、または非識別化することができます。

Shopifyがお客様から非識別化された個人データを受け取る場合、Shopifyは、非識別化された形式でのみそのデータを保持および使用します。

IV. 両当事者の義務

以下のセクションでは、本DPAの対象となる個人データの処理に関する両当事者のそれぞれの義務について説明します。

A. 一般的なコンプライアンス

1. 両当事者は、適用されるデータ保護法に基づくそれぞれの義務を遵守します。

2. Shopifyは、本DPAの対象となる個人データに関するものも含め、適用されるデータ保護法に基づくお客様の義務について、お客様に対し解釈またはアドバイスする義務を負いません。お客様は、サービスの技術的・組織的対策がお客様の独立した法的および規制上の義務と一致しているかどうかの評価を含め、お客様の法的および規制上の義務を決定する責任を単独で負います。

B. Shopifyの義務

1. データセキュリティ
Shopifyは、付録Bに定められているように、不正または違法な処理、および偶発的な紛失、破壊、破損、盗難、改ざん、または開示からお客様の個人データを保護するために設計された適切な技術的・組織的対策を実施および維持します。

2. 個人データ漏洩の通知と調査
a) 適用されるデータ保護法の規定に従い、Shopifyは個人データ漏洩を確認次第、お客様に通知します。

b) かかる通知には、Shopifyが合理的に入手可能な範囲で、適用されるデータ保護法に基づいて要求される情報が含まれるものとします。個人データ漏洩に対するShopifyの対応または通知は、Shopifyによる過失または責任を認めたことを意味するものではありません。

c) Shopifyは、あらゆる個人データ漏洩を調査し、その影響を特定、防止、軽減、および是正するために商業的に合理的な努力を行うことに同意します。

3. データ権利要求
a) 適用されるデータ保護法で要求される範囲において、Shopifyは、お客様によるサービスの利用に関連して、お客様がお客様の顧客からのデータ権利要求を処理し、それに対応できるように支援します。

b) かかるデータ権利要求への対応において支援を受けるには、Shopifyがお客様に別の方法を通知しない限り、Shopifyマーチャント管理コンソール/ポータル経由で要求をShopifyに転送してください。

C. 個人データに関するお客様の義務

**1. プライバシーに関する通知および透明性:**お客様は、お客様が規約に基づき、お客様によるサービスの利用に関連して個人データを処理することに関する通知を提供し、透明性を確保するという、適用されるデータ保護法に基づくすべての義務を遵守していることを表明し、保証します。適用されるデータ保護法で要求される範囲において、お客様は、Shopifyのプライバシーポリシーまたはお客様自身のプライバシーポリシーへのリンクを提供することを含め、本DPAに関連してShopifyが個人データを合法的かつ公正に処理するために必要なすべての開示を関係者に伝えるものとします。

**2. 顧客の権利と許可:**お客様は、規約、お客様が受けるサービスのお客様による利用、および適用されるデータ保護法に従って、Shopifyに個人データを提供するために必要なすべての権利、許可、および同意を有していることを表明し、保証します。

**3. データ権利要求:**お客様は、お客様がデータ管理者であり、Shopifyが処理するすべての個人データに関して、適用されるデータ保護法の規定に従って、お客様の顧客がデータ権利要求を行使できるようにすることを表明し、保証します。

**4. 規制に関する問い合わせ:**適用法で禁止されていない限り、お客様は、お客様によるサービスの利用に関する政府、規制当局、またはその他の第三者からの問い合わせまたは苦情について、規約の通知規定に従って速やかに当社に通知するものとします。

V. 米国データ保護法

このセクションは、(i) お客様によるサービスの利用に関連して米国データ保護法がお客様に適用される場合、および (ii) 米国データ保護法によって以下の規定が義務付けられており、お客様がこれらの法律における「事業者」または「管理者」である場合に限り適用されます。

A. Shopifyは、(i) お客様との直接的な取引関係の範囲外で、または本DPAおよび/または規約で特定される限定的かつ具体的な目的以外のいかなる目的のためにも、かかる個人データを保持、使用、または開示しません。これには、本DPAおよび/または規約で特定される限定的かつ具体的な目的以外の商業上の目的のためにかかる個人データを保持、使用、または開示することが含まれます。(ii) CCPAの意味でのかかる個人データを「販売」または「共有」しません。(iii) かかる個人データを他のソースから受け取った個人データと組み合わせません。いずれの場合も、米国データ保護法で許可されている場合を除きます。

B. Shopifyは、(i) かかる法律により事業者またはデータ管理者に要求されるのと同じレベルのプライバシー保護を提供し、これらの義務を果たせなくなったと判断した場合はお客様に通知し、その場合、お客様はかかる個人データの不正な処理を停止または修正するための合理的かつ適切な措置を講じることができます。(ii) Shopifyにより個人データを処理することを許可された担当者が、書面による秘密保持契約を締結するか、法定の秘密保持義務を負うようにします。(iii) 合理的な書面による要求があった場合、およびお客様が合理的かつ適切な措置を講じてShopifyがかかる個人データを米国データ保護法に準拠した方法で使用していることを確認できるようにすることの一環として、Shopifyの情報セキュリティプログラムの合理的な評価を示すSOC2レポートを提供します。(iv) お客様へのサービスが終了した場合、Shopifyは個人データを削除または非識別化するための消去プロセスを開始します。

C. お客様は、お客様が尊重することを約束したオプトアウト権を行使した個人の個人データ、またはかかる機密データの処理に同意していない個人の機密個人データをShopifyと共有しないことを表明し、保証します。

VI. 雑則

A. 国際データ移行
お客様は、個人データがShopify、その関連会社、または外部のサービスプロバイダーが所在する任意の国 (シンガポールおよびカナダを含む) に移行され、処理される可能性があることを認めます。これらの受信者への個人データの移行は、適用されるデータ保護法に従って行われます。ShopifyがEEA、英国、またはスイスのプライバシー要件の対象となる場合の国際データ移行の詳細については、付録CのセクションII (B)(8)を参照してください。

B. 法的要求への対応

  1. お客様は、Shopifyがお客様にサービスを提供する過程で、(i) 法的要求を遵守するため、または裁判所命令やその他の同様の政府や規制当局の命令に応じるため、または (ii) 詐欺の疑い、身体的安全への脅威、違法行為、または契約違反 (規約など) や当社のポリシー違反 (適正利用規約など) を防止または調査するために、お客様の個人データを共有できることを認めます。

  2. Shopifyは、かかる個人データを作成する前に、かかる開示が適用されるデータ保護法の下で許可され、適用される法的枠組みの下で機密情報として扱われることを保証するために合理的な努力を払います。

C. 企業取引における開示
お客様は、Shopifyがお客様にサービスを提供する過程で、企業取引または再編取引の取引先候補と個人データを共有する必要が生じる場合があることを認めます。

D. Shopifyによるサブプロセッサ/サービスプロバイダーの使用

  1. お客様は、Shopifyがお客様にサービスを提供する過程で、個人データを処理するためにサブプロセッサを使用する場合があることを認めます。Shopifyは、使用されるすべてのサブプロセッサのリストを最新の状態に維持します。適用されるデータ保護法がお客様にかかる権利を付与する場合、お客様はShopifyによるサブプロセッサの使用に異議を申し立てることができ、Shopifyがかかる要求に応じられない、または応じようとしない場合は、お客様はかかる法律に従って、規約に従ってかかる通知から30日以内に関係するサービスの利用を終了することができます。

  2. Shopifyがサブプロセッサを使用してお客様が提供する個人データを処理する場合、適用されるデータ保護法に準拠します。Shopifyがサブプロセッサを使用する場合、Shopifyはサブプロセッサと書面による契約を締結し、本DPAに規定されているものと実質的に同じ契約上の義務を課します。

E. DPAの修正
お客様は、Shopifyが、関連する修正および改稿されたDPAをShopifyのウェブサイト (https://shopify.com/legal/dpaで閲覧可能) に掲載することにより、本DPAを随時修正できること、またDPAの修正は掲載日から有効となることを認め、これに同意するものとします。修正されたDPAがShopifyのウェブサイトに掲載された後も、お客様が引き続きサービスを利用する場合、それはお客様が修正されたDPAに同意し、承諾したことを意味します。DPAの変更に同意しない場合は、本サービスの使用を継続しないでください。

VII. 付録

  1. 付録A - 個人データのカテゴリー
  2. 付録B - データ セキュリティ
  3. 付録C - GDPR、UK GDPR、およびスイスのデータ処理に関する付録

付録A:個人データのカテゴリー

お客様によるサービスの利用の一環として、またお客様が使用するサービスに応じて、当社はサービスを提供するために以下のカテゴリーの個人データを受け取り、処理することがあります。

  • 顧客名、メールアドレス、連絡先、請求先情報、および配送先情報。
  • お客様ストアからの購入およびその他の取引に関する情報。
  • お客様またはお客様ストアとの取引状況に関する最新情報。
  • 閲覧された商品および/またはショッピングカートに追加された商品など、お客様ストアでの顧客のアクティビティ。
  • グローバルプライバシーコントロール (GPC)、オプトアウトおよびオプトイン信号を含む顧客設定信号。
  • お客様ストアを訪問する際に使用されるデバイスの顧客デバイス情報 (IP アドレス、ブラウザ、ネットワークアクティビティなど)。
  • 顧客とお客様のやり取りに関するその他の情報。
  • お客様がShopifyに提供することにしたその他のあらゆる個人データ。

付録B:データセキュリティ

Shopifyは、(a) お客様が、お客様の個人データを不正または違法な処理、および偶発的な紛失、破壊、破損、盗難、改ざん、または開示から保護できるようにすること、(b) お客様が受けるサービスのセキュリティと可用性に対する合理的に予見可能なリスクを特定すること、および (c) サービスに対するセキュリティリスクを最小限に抑えることを目的として設計された情報セキュリティプログラムを維持します。

I. Shopifyの情報セキュリティ プログラムには、以下の保護措置が含まれます。

A. 論理的セキュリティ

  1. アクセス制御 Shopifyは、サービスを維持し提供するために必要な場合にのみ、許可された担当者のみがシステムにアクセスできるようにします。Shopifyは、ファイアウォールおよび/またはその他のテクノロジーや認証制御の使用を含め、システムへのアクセスの承認管理のために設計されたアクセス制御とポリシーを維持します。

  2. ユーザーアクセスの制限 Shopifyは、(i) 職務に基づく最小権限の原則に従ってシステムへのアクセスをプロビジョニングおよび制限し、(ii) システムへのアクセスに2要素認証 (2FA) を要求します。

  3. 脆弱性評価 Shopifyは、脆弱性評価および侵入テストプログラムを維持し、サービスで特定された問題を調査および追跡し、必要に応じて解決する責任を負います。

  4. アプリケーションセキュリティ Shopifyは、アプリケーションセキュリティの脅威からサービスを保護するアプリケーションセキュリティプログラムを維持します。

  5. 変更管理 Shopifyは、既存のサービスリソースへの変更を記録、許可、テスト、承認、および文書化するために設計された制御体制を維持し、変更管理または展開ツール内で変更の詳細を文書化します。Shopifyは、本番環境への移行前に、Shopifyの変更管理標準に従って変更をテストします。

  6. データの整合性 Shopifyは、必要に応じて、サービス内での送信、保存、処理中にデータの整合性を確保するために設計された制御体制を維持します。

  7. 可用性 Shopifyは、(i) サービスに不具合が発生した場合にサービスへの影響を最小限に抑えるために、適切な場所に冗長性を実装し、(ii) 障害を予測して許容するようにサービスを設計し、(iii) 障害からの回復に必要な場合に、個人データのトラフィックを影響を受ける領域から移動するように設計された適切なプロセスを実装します。

  8. 事業継続とディザスタリカバリ Shopifyは、お客様が受けるサービスのShopifyによる提供を妨げる、または著しく損なう可能性のあるイベントを特定し、それに対応し、それから回復するためのプロセスと手順を含む、重要なビジネス機能の継続をサポートするために設計されたリスク管理プログラムを維持します。

  9. インシデント管理 Shopifyは、お客様がセキュリティまたは可用性のインシデントを報告し、セキュリティまたは可用性について質問したり、潜在的なセキュリティまたは可用性の問題に関する情報を送信したりするためのドキュメントを提供します。Shopifyは、サービスに対する潜在的なセキュリティの脅威を検出、軽減、調査、およびそれに対応するために設計された是正措置計画とインシデント対応計画を維持します。

B. 物理的セキュリティ サービスを保護するために必要な場合、Shopifyは (i) サービスへの不正な物理的アクセス、損害、または妨害を防止するために設計された合理的な対策を実施し、(ii) サービスへの物理的なアクセスを、かかるアクセスに対する正当な業務上の必要がある、許可された担当者のみに制限するために設計された適切な制御デバイスを使用し、(iii) これらの基準への準拠を検証するために定期的な調査を実施します。

C. Shopify従業員 個人データにアクセスすることを許可されたShopify従業員は、雇用条件の一部として守秘義務を負います。Shopifyは、Shopify情報セキュリティ要件に関する従業員セキュリティトレーニングプログラムを実施および維持します。セキュリティ意識向上トレーニングプログラムは定期的に見直され更新されます。

II. この付録の修正

Shopifyは、随時セキュリティ対策を見直し、独自の裁量でこの付録を更新することがあります。かかる更新は、Shopifyが更新版を公開した日付をもって、この付録の従来版に置き換わります。

付録C:GDPR、UK GDPR、およびスイスのデータ処理に関する付録

DPAに基づく個人データの処理が、欧州経済地域 (以下「EEA」)、イギリス (以下「英国」)、またはスイスのデータ保護要件 (総称して「欧州データ保護法」) の対象となる場合、付録Cが本DPAを補足します。

I. 処理の性質と両当事者の役割

A. 個人データ

  1. この付録に基づき、別紙1に記載されているお客様の個人データの処理に関して、お客様はデータ管理者として行動し、Shopifyは、規約に概説されている事業目的を達成し、お客様が利用することにしたサービスをお客様に提供するために必要な範囲で、データ処理者として行動するものとします。
  2. 疑義を避けるために記すと、Shopifyは、Shopifyのプライバシーポリシーに記載されているように、顧客とShopifyとの直接的な関係または意図的なやり取りの結果としてShopifyが受け取る顧客に関する個人データに関して、独立したデータ管理者として機能するものとします。

II. 両当事者の義務

A. お客様の義務

お客様は、以下の事項を遵守するものとします。

  • この付録の履行において、お客様に適用される欧州データ保護法、および
  • 本DPAに規定されているお客様の義務 (本付録に定められているお客様の義務を含む)。

お客様は、欧州データ保護法の規定に従い、個人データを処理する (Shopifyにかかるデータを提供することを含む) ための有効な法的根拠を有し、Shopifyがサービスを提供するために個人データを処理できるよう、Shopifyへの個人データの開示に関して必要な同意、権利、および承認を取得し、個人に必要な通知を行ったことを表明し、保証します。

B. Shopifyの義務

1. 管理者の指示と欧州データ保護法の違反

a) 両当事者は、規約は本DPAと共に、Shopifyによるお客様の個人データの処理に関するお客様の文書化された指示 (以下「文書化された指示」) を構成することに同意します。

b) Shopifyは、(i) お客様の文書化された指示に従って、または (ii) 適用法に基づくShopifyの義務を遵守するためにのみ、処理者として個人データを処理し、Shopifyに適用される欧州連合または欧州連合加盟国の法律に基づく通知要件に従います。

c) Shopifyは、欧州データ保護法に違反していると合理的に判断される指示を受け取った場合、お客様に通知します (ただし、Shopifyはお客様の欧州データ保護法の遵守を積極的に監視する義務を負いません)。

2. 守秘義務

Shopifyは、個人データを処理することを許可された人物が、書面による秘密保持契約を締結するか、法定守秘義務を負うことを保証します。

3. セキュリティ対策

a) Shopifyは、別紙2に定められているとおり、お客様の個人データを不正または違法な処理、および偶発的な紛失、破壊、破損、盗難、不正アクセス、改ざん、または開示から保護するために設計された適切な技術的・組織的対策を実施および維持するものとします。

b) 個人データおよび関連する処理の性質を考慮し、Shopifyは、お客様が欧州データ保護法に基づくセキュリティ義務を履行できるよう、お客様が合理的に要求する合理的な支援を提供します。

c) Shopifyは、送信、保存、またはその他の方法で処理されたお客様の個人データの偶発的または違法な破壊、紛失、変更、不正な開示やアクセスにつながるセキュリティ侵害を認識した場合、遅滞なくお客様に通知するものとします。

d) Shopifyは、かかるセキュリティ侵害を調査し、その影響を軽減するために商業的に合理的な努力を行うことに同意します。

4. サブプロセッサ

a) お客様は、全般的に、Shopifyが個人データを処理するためにサブプロセッサを利用することを許可します。また、お客様は、Shopifyがその関連会社をサブプロセッサとして利用することに同意します。

b) Shopifyがお客様の個人データを処理するためにサブプロセッサを使用する場合、その処理は欧州データ保護法に準拠します。

c) Shopifyは、付録3に記載されるすべてのサブプロセッサのリストを最新の状態に維持します。Shopifyは、必要に応じてサブプロセッサのリストを更新し、サブプロセッサの追加または変更の通知をお客様が受け取るための仕組みを提供します。お客様は、Shopifyによる新しいサブプロセッサの使用に異議を申し立てることができます。

d) お客様がShopifyによるサブプロセッサの使用に異議を唱え、Shopifyがかかる要求に応じられない、または応じようとしない場合、お客様は規約に従ってかかる通知から30日以内に関係するサービスの利用を終了することができます。

e) Shopifyが新しいサブプロセッサを利用する場合、Shopifyはサブプロセッサと書面による契約を締結し、Shopifyはサブプロセッサに対して、本DPAに規定されているものと実質的に同じ契約上の義務を課します。Shopifyは、本DPAの条件に従って各サブプロセッサのサービスを直接実行した場合にShopifyが責任を負うのと同じ範囲で、サブプロセッサの作為および不作為に対して全責任を負うものとします。ただし、Shopifyの責任は、規約に定められている条件および責任の制限に従います。

5. 管理者への支援
お客様の個人データおよび関連する処理の性質を考慮し、Shopifyは、お客様が合理的に要求する合理的な支援を提供し、お客様が以下に挙げる義務を遵守できるようにします。

  • 欧州データ保護法に基づくデータ権利要求に応じる
  • 個人データ漏洩について関係当局および/またはデータ主体に通知する
  • データ保護影響評価および事前協議を実施する
  • セクション3に従って処理のセキュリティを確保する

6. コンプライアンスの評価

a) Shopifyは、お客様の書面による要求に応じ、機密保持を条件に、以下の情報を提供することで、個人データの処理に関する欧州データ保護法に基づくお客様の監査権を履行する場合があります。

(i) Shopifyの最新の監査レポートの結果 (Shopifyの自己監査によるもの、または独立した第三者監査人が作成したもの)
(ii) データ保護当局または政府当局が要求した場合に、Shopifyが管理する追加情報

b) 欧州データ保護法がお客様に監査権を付与している場合に、付与されている範囲でのみ、お客様は、(i) 国際的に認められた独立した監査人が、Shopifyの監査報告書の提供では、お客様がShopifyの本DPAおよび欧州データ保護法への準拠を確認するのに十分な情報が提供されないと証明する範囲で、または (ii) お客様が政府機関の監査に応じるために必要な場合、監査権を行使できます。各監査は、以下のパラメータに準拠する必要があります。(i) Shopifyと秘密保持契約を締結する独立した第三者によって実施される。(ii) お客様がShopifyの本DPAへの準拠、および両当事者の欧州データ保護法への準拠を評価する上で合理的に必要であり、相互に合意した事項に範囲が限定される。(iii) 相互に合意した日時に、Shopifyの通常の営業時間内にのみ行われる。(iv) 年に1回を超えて行われることはない (欧州データ保護法で要求される場合を除く)。(v) Shopifyが管理する施設のみを対象とする。(vi) 調査結果を個人データのみに限定する。(vii) 欧州データ保護法で認められる最大限の範囲で、結果を機密情報として扱う。明確にするために記すと、Shopifyは第三者との守秘義務に従い、セクション6に基づくお客様の権利を遵守します。

7. 処理の終了

a) お客様は、本サービスの利用中に、アカウントツールを使用して個人データにアクセスすること、個人データを自身に返却すること、または削除することができます。

b) 終了後、Shopifyは、お客様の選択に従って、お客様の個人データを削除または返却します。前述にかかわらず、Shopifyは、(i) 欧州データ保護法を含む法律で義務付けられている場合、および(ii) 標準のバックアップまたは記録保持ポリシーに従って、個人データを保持することがあります。ただし、いずれの場合も、Shopifyは保持された個人データの機密性を維持し、保持された個人データに関する本DPAの適用可能な他の規定を遵守し、かかる適用法で許可されている目的および期間を除き、保持された個人データをさらに処理することはありません。

8. 国際移行

a) 欧州データ保護法の遵守を条件として、Shopify International Ltd.は、サービスを提供するために必要に応じて、本付録に基づいて処理された個人データをEEA、英国、スイス国外に移行する場合があります(「国際移行」)。

b) かかる移行の大半は、カナダの個人情報保護及び電子文書法で規定されている個人データの適切な保護に関する2001年12月20日付の欧州委員会2002/2/EC決定が適用されるカナダに拠点を置くShopify Inc.への個人データの移行です。

c) 欧州データ保護法の意味における適切なレベルのデータ保護が保証されていない国への国際移行は、以下の移行メカニズムを含む適切な保護措置の対象となります。

  • 2021年6月4日付の欧州委員会の決定2021/914/ECで承認された2021年標準契約条項に基づく関連モジュール。
  • 英国の2018年データ保護法の119A(1)条に基づき、英国情報コミッショナーオフィスが発行した、欧州委員会の国際データ移転に関する標準契約条項の補遺。
  • 1992年6月19日に制定され、2001年9月25日に改正されたスイス連邦データ保護法(随時改正)の要件を満たすように改正された、2021年標準契約条項。および
  • 標準契約条項、国際データ移行補遺、または現在の条項および補遺に代わる可能性のあるその他の条項、補遺、または移行メカニズム。

d) Shopifyは、独自の裁量により、データ移行が適用法に準拠していることを保証するために、移行メカニズムを置き換えることができます。移行が標準契約条項に基づいており、かかる条項が関係当局によって更新された場合、かかる更新された条項または同様の契約は、ここに完全に記載されているかのように、このDPAに組み込まれます。

別紙1 - 個人データ

個人データの処理の説明

I. 処理の対象

マーチャントへのShopifyサービスの提供。

II - データ主体のカテゴリー

マーチャントの顧客。

III. 処理される個人データのカテゴリー

上記付録Aをご覧ください。

IV. 移行の頻度

継続的

V. 処理の性質

規約に記載されている、個人データの収集、記録、ホスティング、アクセス、使用、移行および削除。

VI. 管理者に代わって個人データが処理される目的

規約に記載されているサービスの実行および向上のため。

VII. 処理の期間

規約または適用される契約に基づくサービスの有効期間、およびかかる有効期限の終了後、データの匿名化、返却、または削除が行われるまでの期間。

VIII. 管轄監督当局 管轄監督当局はアイルランドのデータ保護委員会となります。

別紙2 - セキュリティ対策

セキュリティ対策に関する情報は、本DPAの付録Bに記載されています。

別紙3 - サブプロセッサのリスト

規約に基づくサービスの提供のためにShopifyが使用するサブプロセッサは、こちらに記載されています。

サブプロセッサは、Shopifyとの契約期間中、サービスに関連して上記のカテゴリーの個人データを処理します。