Shopify データ処理補遺

1. 定義

(a)「欧州データ保護法」とは、欧州連合規則2016/679 (「一般データ保護規則」)、英国データ保護法2018 (「DPA」)、データ保護、プライバシーおよび電子通信 (改正等) (EU離脱) 規則2019により改正されたDPAが定める英国一般データ保護規則 (以下DPAと総称して「英国GDPR」)、および上記を実施する、または欧州加盟国もしくは英国におけるデータ保護、プライバシー、データセキュリティまたは個人データの処理に関連する関連法、法令、規制、規則またはその他の拘束力を有する文書 (いずれの場合も適用可能かつ有効であり、適宜改正、統合、再実施または置換されたもの) を指します。

(b)「個人データ」は、欧州データ保護法および米国データ保護法 (該当する場合) に従って解釈され、データ管理者またはビジネス (当該法で定義) としてのユーザーにサービスを提供する過程で、Shopifyがデータ処理者またはサービスプロバイダーとして処理する (当該法で定義)、ユーザーのストアを通じて訪問または取引を行う識別可能または特定可能な個人 (「お客様」) に関するものとします。「個人データ」という用語は、米国データ保護法に定義される「個人情報 」も含むものとします。前述の文にかかわらず、個人データには、ShopやShop Payなどの消費者向けアプリなど、Shopifyが消費者に直接提供するサービスに関連して処理される情報は含まれません。

(c)「米国データ保護法」とは、カリフォルニア州プライバシー権法によって改正されたカリフォルニア州消費者プライバシー方 (「CCPA」) 、バージニア州消費者データ保護法 (「VCDPA」) 、コロラド州プライバシー法 (「CPA」) 、ユタ州消費者プライバシー法 (「UCPA」) 、個人データプライバシーとオンライン監視に関するコネチカット州法 (「CTDPA」)、およびその他の包括的なプライバシー関連州法、および個人データ (当該法律で定義) に関してビジネスまたは管理者に義務を課すその他の類似の包括的なプライバシー関連州法、および当該法律を実施する関連規制、規則またはその他の拘束力を有する文書 (いずれの場合も適用可能かつ有効であり、適宜改正、統合、再実施または置換されたもの) を指します。

(d)「米国の消費者」とは、米国データ保護法に基づいて定義された「消費者」である個人を意味します。

(e) 本補遺にあるその他すべての大文字の用語は、契約における定義と同じ定義を持つものとします。

2. 処理の詳細

2.1. 当事者は、本補遺の付録1が、個人データの処理の主題および詳細を記述していることに同意します。Shopifyは、個人データを集約、匿名化または非識別化し、付録1に規定された目的または適用法で許可された目的のために当該データを処理することができます。Shopifyがユーザーから受け取った個人データが非識別化 (本補遺の第5.1項で定義) されている限り、Shopifyは、そのデータを非識別化された形のみ維持し、使用するものとします。

3. 欧州連合および英国

3.1. 本項は、Shopifyの個人データの処理が、欧州データ保護法の対象となる範囲にのみ適用されます。本項において、「データ処理者」、「データ管理者」、「データ主体」、「処理」、「サブプロセッサ」、「監督機関」は、欧州データ保護法に従って解釈されるものとします。

3.2. ユーザーは、ShopやShop Payのような消費者向けのアプリやサービスに関連して消費者から収集する個人データに関して、Shopifyが独立したデータ管理者として行動することを認めるものとします。

3.3. データ主体が欧州経済地域または英国に存在する場合、そのデータ主体の個人データは、Shopifyのアイルランドにある関連会社であるShopify International Ltd. (「Shopify EU」) により処理されます。サービス提供の一環として、この個人データはカナダやアメリカを含む他の地域に転送される場合があります。このような転送は、関連するデータ保護法に準拠して完了するものとします。

3.4. Shopify EUがサービスを提供する過程で個人データを処理する場合、Shopifyは以下を実施するものとします。

  • 3.4.1. ユーザーからの書面による指示 (そのような指示がサービスの機能と同一基準である場合) に従い、サービスを提供する目的でのみ、データ処理者またはサービスプロバイダーとして個人データを処理します。追って、ユーザーの同意が必要な場合があります。Shopify EUが法律により他の目的で個人データの処理を義務付けられている場合、Shopify EUはそのような通知の提供を法律で禁止されていない限り、この要件の事前通知を提供します。

  • 3.4.2 サービス提供の一環として、Shopify EUはユーザーからの指示に従い、個人データをMaxMindに転送します。MaxMindは不正注文の検出サービスで、不正取引を回避するためのリスクスコアを算出します。この範囲に限り、MaxMindは、処理を行うお客様に関する個人データすべてについて単独のデータ管理者となり、MaxMindのデータ処理方法についてShopifyは責任を負いません。MaxMindにおけるプライバシーの取り扱いについて、詳細はこちらからご確認いただけます:

  • 3.4.3. また、Shopify EUが、個人データの処理に関するユーザーの指示が該当する欧州データ保護法に違反していると判断する場合は、その旨を通知します。

  • 3.4.4. Shopify EUの個人データの処理に関する監督機関から、問い合わせまたは苦情を受け取った場合、法律で許可されている範囲において迅速に通知します。

  • 3.4.5. 適切な技術的および組織的対策を実施して、履行が義務付けられているお客様の個人データに関連する要請の実行を可能なものとします。

  • 3.4.6. 適切な技術的および組織的対策を実施、維持して、不正または違法な処理、偶発的な損失、破壊、損傷、盗難、改ざん、または開示から個人データを保護します。これらの対策は、個人データの不正または違法な処理、偶発的な損失、破壊、損傷または盗難から生じる可能性のある損害に適切であり、保護されるべき個人データの本質に適切なものです。

  • 3.4.7. 要求に応じて、データ保護影響評価および規制当局との事前協議を完了するために有用で合理的な情報を提供します。

  • 3.4.8. ユーザーが本補遺への準拠を評価できるよう、要求に応じて、Shopify EUのデータ保護プラクティスを担当する監査団体 (外部監査人、内部監査、データ保護監査人など) による最新の評価、レポート、またはその抜粋、もしくは、適切な証明書を提供します。

  • 3.4.9. 個人データの偶発的、不正または違法な処理、開示およびアクセスを認識、確認した場合、不当な遅滞をすることなく通知します。

  • 3.4.10. 個人データにアクセスする担当者が守秘義務を負うことを保証します。

  • 3.4.11. 契約が終了した場合、Shopify EUは個人データを削除または匿名化するためのパージプロセスを速やかに開始します。またユーザーは、契約終了後60日以内に、Shopifyが当該個人データを返却するよう要求することもできます。

**3.5.**サービスを提供する過程で、ユーザーは、Shopify EUが、サブプロセッサ (https://help.shopify.com/ja//manual/privacy-and-security/privacy/subprocessorsからオンラインで一覧を確認できます。「サブプロセッサ一覧」) を使用して個人データを処理する一般的な書面による権限を有することを認め、ここに許可します。Shopify EUが個人データを処理ために特定のサブプロセッサを使用する場合、その使用はヨーロッパのデータ保護法に準拠し、この​データ処理に関する補遺と同等の保護を要求するShopify EUとサブプロセッサの契約によって管理される必要があります。Shopify EUが新しいサブプロセッサを任命する場合、またはサブプロセッサの追加や交換に関する変更を意図する場合、その変更はShopifyのサブプロセッサ一覧に反映されます。ユーザーは、Shopifyのサブプロセッサ一覧の更新日から7日以内に、その変更に異議を唱えることができます。サブプロセッサの任命に異議を唱える場合、お客様は、本契約およびお客様のShopify Plus契約 (該当する場合) に従って、本契約を終了させることができます。

3.6. ユーザーは、欧州データ保護法を遵守し、今後も遵守すること、特に、必要な同意を得て、必要な通知を行い、その他、Shopify EUにデータを開示し、本契約に規定されたShopify EUによる個人データの処理を可能にする正当な根拠があることを保証するものとします。

4. 米国消費者

4.1. 本項は、米国データ保護法との関係で、ユーザーが事業者または管理者であり、サービスを提供する過程で、Shopifyが米国データ保護法の対象となる米国消費者の個人データを処理する場合にのみ適用されます。本項において、「ビジネス」、「ビジネス目的」、「商業目的」、「管理者」、「非識別化」、「処理者」、「販売」、「売上」、「サービスプロバイダー」は、米国データ保護法において付与された意味を持ち、「共有」は、CCPAにおいて付与された意味を持つものとし、参照により本書に組み込まれるものとします。

4.2. 個人データに関して、適用される米国データ保護法が要求する範囲内で、Shopifyは以下を実施します。

  • 4.2.1. サービスプロバイダーおよび/または処理者として、ユーザーに代わり、本サービスを提供するため、または米国のデータ保護法によって許可された方法で、個人データを処理します。

  • 4.2.2. ユーザーとの直接的なビジネス関係以外、またはサービスの提供、または、米国のデータ保護法によって許可された場合以外の目的で、個人データを保持、使用、開示しません (本契約に記載されたビジネス目的の実行以外の商業目的による個人データの保持、使用、開示を含む)。

  • 4.2.3. 当該個人データを販売、共有しません。

  • 4.2.3. サービスの実施に関連して収集した個人データを、サービスの実施、同意、指示、または米国データ保護法で認められている場合を除き、他のソースから受け取った個人データ、または個人との交流から収集した個人データと結合しません。

  • 4.2.4. 個人データの処理に関連して、米国データ保護法により事業者または管理者に要求されるものと同レベルのプライバシー保護を提供することを含め、サービスプロバイダまたは処理者に適用される米国データ保護法の規定を遵守し、これらの義務が遂行不可能になったと判断した場合にはユーザーに通知します。ユーザーは、このような通知を受けた場合、Shopifyによる個人データの不正使用を停止し、是正するために、合理的かつ適切な措置を取ることができます。

  • 4.2.5. このデータ処理補遺条項と同等の保護を要求する書面による契約に従って、自己に代わって個人データを処理する下請け業者にのみ従事させます。サービスを提供する過程で、ユーザーは、Shopifyが、オンライン (https://help.shopify.com/ja//manual/privacy-and-security/privacy/subprocessors) でリストアップされた下請け業者 (「サブプロセッサ一覧」) を使用して個人データを処理する一般的な書面による権限を有することを認め、ここに許可します。Shopifyが、個人データを処理するために特定の下請け業者を使用することは、ヨーロッパのデータ保護法を遵守し、Shopifyと下請け業者の間で、このデータ処理補遺条項と同等の保護を要求する契約によって管理される必要があります。Shopify EUが新しい下請け業者を任命する場合、または下請け業者の追加や交換に関する変更を意図する場合、その変更は当社のサブプロセッサ一覧に反映されます。ユーザーは、当社のサブプロセッサ一覧の更新日から7日以内に、その変更に異議を唱えることができます。ユーザーから回答がない場合、その変更は承認されたものとみなされます。ユーザーは、下請け業者の任命に異議を唱える場合、本契約およびユーザーのShopify Plus契約 (該当する場合) に従って、本契約を終了させることができます。

  • 4.2.6. 個人データを処理する担当者が、そのような情報に関して守秘義務を負うことを保証します。

  • 4.2.7. ユーザーからの合理的な書面による通知に基づき、本契約に規定された守秘義務に従って、Shopifyの個人データの使用が米国のデータ保護法に基づくユーザーの義務に合致していることを確認するために、ユーザーを支援する合理的かつ適切な措置を取るものとします。

  • 4.2.8. 要求に応じて、適切かつ承認されている管理基準または枠組みおよび評価手順を使用して、適用される米国データ保護法の義務をサポートするShopifyのポリシーおよび技術的・組織的措置の妥当な評価の報告書を提供するものとします。

  • 4.2.9 本契約が終了した場合、Shopifyは個人データを削除または非識別化するためのパージプロセスを速やかに開始します。またユーザーは、契約終了後60日以内に、Shopifyが当該個人データを返却するよう要求することもできます。

4.3. ユーザーは、次のことを表明し、保証します。

  • 4.3.1. 適用法の要求に従って、サービスを提供するためにShopifyが個人データを処理できるように、Shopifyへの個人データの開示に関して必要な同意、権利、認可を取得し、個人に対して必要な通知を行っていること。

  • 4.3.2. 米国データ保護法の対象となる個人で、ユーザーが遵守することを約束したオプトアウトを行使した人の個人データをShopifyと共有しないこと。

  • 4.3.3. 機密データの処理に同意していない米国の消費者の機密データを、Shopifyと共有しないこと。

  • 4.3.4. 米国データ保護法に従って個人がユーザーに対して行う、Shopifyが遵守しなければならない権利要求についてShopifyに知らせ、Shopifyがその要求に応じるために必要な情報を提供すること。

  • 4.3.5. これらの法律の遵守について単独で責任を負うこと。

4.4 ユーザーとShopifyは、本補遺条項の存在が、個人データの共有が販売または共有を構成することを認めるものではないことに同意するものとします。

5. 一般条項

5.1. 契約の条項と本補遺の間に競合または矛盾がある場合、本補遺の条項が優先されるものとします。ただし、かかる条項の規定が適用法に基づく要件と矛盾する場合は、かかる要件が優先されるものとします。疑念を回避するため、適用法により許可されている範囲において、本補遺に基づく制限を含めたすべての責任は、契約の関連条項に準拠するものとします。修正および書き換えを行った該当の補遺をShopifyのウェブサイトに掲載することにより、Shopifyが本補遺を随時修正する場合があることを認め、それに同意するものとします。https://shopify.com/jp/legal/dpa>から内容をご確認いただけます。また、そのように修正した補遺は、掲載された日から有効になるものとします。補遺の修正がShopifyのウェブサイトに掲載された後もサービスを継続利用することにより、修正された補遺に同意し、修正を受諾したものとします。補遺の変更に同意されない場合は、サービスの利用を中止してください。

5.2. 本補遺で具体的に修正および変更された場合を除き、契約に含まれるすべての条件、条項、要件は引き続き有効なまま存続し、本補遺に優先されるものとします。補遺のいずれかの条項が司法手続きにおいて違法または執行不能であると判断された場合、当該規定は本補遺から切り離されて無効となりますが、本補遺の残る部分は引き続き有効であり、拘束力を保持するものとします。

5.3. 本補遺の条件は、法の抵触のルールは適用せず、オンタリオ州の法および適用されるカナダの法に準拠し、それらに従って解釈されるものとします。当事者は、本補遺または本補遺に関連して生じるいかなる異議申し立てまたは請求に関して、オンタリオ州の裁判所の専属的管轄権を取消不能かつ無条件として提出するものとします。

付録1:処理の詳細

処理の性質と目的:Shopify利用規約および本補遺条項が組み込まれるその他の規約に基づくサービスを提供および改善するため、顧客への関連サポートを提供するため、欧州データ保護法または米国データ保護法 (該当する場合) により許可されたため、またはお客様により適宜開始されたため。

対象、個人データの種類、データ主体のカテゴリ:顧客に関する個人データ。

処理の期間:本補遺条項の期間に加え、期間終了後、本補遺条項の義務に従ってShopifyがすべての顧客の個人データを削除するまでの期間。