一般データ保護規則 (GDPR) とSquarespace

GDPRに関する重要な情報と⁠、コンプライアンスを開始する方法⁠。

最終更新日 2024年12月30日

一般デ⁠ータ保護規則 (⁠EU GDPR⁠) は⁠、個人および組織が個人デ⁠ータを収集⁠、使用⁠、保持する方法を規制する欧州で適用されるプライバシ⁠ー法です⁠。

グレ⁠ートブリテンおよび北アイルランド連合王国 (⁠UK⁠) の欧州連合 (⁠EU⁠) からの離脱に伴い⁠、EU GDPRは⁠、英国デ⁠ータ保護法とともに⁠、英国に存続するEU法 (⁠UK GDPR⁠) の一部を形成します⁠。2018年法 (⁠DPA 2018⁠) は引き続き英国法の一部です⁠。

このガイドでGDPRとその規定に言及する際には⁠、EU GDPRとUK GDPRの両方に適用される法律が含まれます⁠。

欧州経済領域 (⁠EEA⁠)⁠、英国⁠、またはスイスの個人がお客様のWebサイトまたはAcuityペ⁠ージにアクセスする場合⁠、このガイドにはSquarespaceユ⁠ーザ⁠ーとして知⁠っておくべきことが記載されています⁠。世界の他の地域におけるデ⁠ータ プライバシ⁠ーに関する一般的な情報については⁠、「⁠デ⁠ータ プライバシ⁠ーとSquarespace⁠」をご覧ください⁠。

備考

このガイドは資料として利用できますが⁠、法的アドバイスとして解釈したり依拠したりはしないでください⁠。当社のサ⁠ービス利用規約に基づき⁠、Squarespaceはお客様のサイトやビジネスに適用される法律に関するアドバイスや推奨を行いません⁠。

SquarespaceにおけるGDPRのベスト プラクテ⁠ィス

Squarespaceが法的なアドバイスを提供することはできませんが⁠、GDPRへの準拠に役立つベスト プラクテ⁠ィスをいくつかここにご紹介します⁠。

個人デ⁠ータ監査

Webサイト⁠、スケジ⁠ュ⁠ーラ⁠ー⁠、その他のSquarespace製品を確認し⁠、GDPRによる個人デ⁠ータの定義が変更されたことを念頭に置いて⁠、個人デ⁠ータを収集する領域を確認しまし⁠ょう⁠。

検討すべきいくつかの質問⁠:

  • サ⁠ードパ⁠ーテ⁠ィ⁠ーのサ⁠ービスを利用するSquarespace製品を通じて個人デ⁠ータを収集しているか⁠?(⁠例⁠: Googleアナリテ⁠ィクス⁠、MailchimpおよびGoogleドライブに接続されたフ⁠ォ⁠ーム ブロ⁠ック⁠)⁠。これらのサ⁠ービスのプライバシ⁠ー ポリシ⁠ーをお読みください⁠。
  • Squarespace製品から別のシステムにデ⁠ータをダウンロ⁠ードまたはエクスポ⁠ートするか⁠?
  • 収集した個人デ⁠ータを他のデ⁠ータソ⁠ースと組み合わせるか⁠?
  • 必要のない情報を集めていないか⁠?

プライバシ⁠ー ポリシ⁠ーを作成 (⁠または更新⁠) する

GDPRは⁠、デ⁠ータ収集活動を行う組織が⁠、個人デ⁠ータの収集および処理方法に関する情報をデ⁠ータ主体となる個人に提供することを義務付けています⁠。プライバシ⁠ー ポリシ⁠ーは⁠、訪問者の情報がどのように使用されるかを明確に説明するためのものです⁠。サイトまたはスケジ⁠ュ⁠ーラ⁠ーに⁠、以下を記載したプライバシ⁠ー ポリシ⁠ー ペ⁠ージを設けることを検討してください⁠。

  • 収集する情報⁠。(⁠たとえば⁠、規約に⁠、サイトで使用されるCookieリストを含めることができます⁠。⁠)
  • それらの情報を収集する理由
  • 情報の共有先
  • 情報保管期間
  • そのような情報を欧州経済地域外に移転する場合⁠。
  • GDPRで義務付けられているその他の情報

Webサイトのプライバシ⁠ー ポリシ⁠ーに関するその他のヒントについては⁠、「⁠ポリシ⁠ーと利用規約をサイトに掲載する⁠」および「⁠Squarespaceサイトのプライバシ⁠ー ポリシ⁠ーのサンプル メ⁠ッセ⁠ージ⁠」をご覧ください⁠。Acuityインテ⁠ーク フ⁠ォ⁠ームを使用してプライバシ⁠ー ポリシ⁠ーをスケジ⁠ュ⁠ーラ⁠ーに追加する方法については⁠、「⁠ Acuityのクライアント インテ⁠ーク フ⁠ォ⁠ームと契約⁠」をご覧ください⁠。

GDPRの適用対象者

GDPRはEU/英国の規制ですが⁠、EU/英国の居住者にサ⁠ービスを提供する他の国の組織にも適用されます⁠。これは⁠、次の組織に影響を及ぼします⁠。

  • EU⁠、英国⁠、スイスに拠点を置く組織
  • EU⁠、英国⁠、スイス以外の地域で⁠、EU⁠、英国⁠、またはスイスの居住者に商品やサ⁠ービスを提供⁠、または監視する組織

個人デ⁠ータとは⁠?

GDPRでは⁠、個人デ⁠ータとは⁠、単独でまたは他の情報と組み合わせて使用することで⁠、生存する特定の個人を合理的に識別することができるあらゆる情報を指します⁠。この広範な定義には⁠、生年月日⁠、氏名⁠、物理的住所⁠、メ⁠ールアドレスとい⁠った従来の個人デ⁠ータに加え⁠、位置情報⁠、生体情報⁠、財務情報なども含まれます⁠。

EUおよび英国で個人デ⁠ータとみなされるものの詳細については⁠、欧州委員会⁠、アイルランド デ⁠ータ保護委員会および英国個人情報保護監督機関の関連ペ⁠ージをご覧ください⁠。

SquarespaceのDPAに署名する必要があるか⁠?

Squarespaceにサインア⁠ップすると⁠、サ⁠ービス利用規約DPAに同意したことになります⁠。物理的な文書を別途請求したり⁠、署名したりする必要はありません⁠。Squarespaceのプライバシ⁠ー ポリシ⁠ーをご確認ください⁠。

Cookieは⁠、Webサイトがデバイスに保存する小規模のデ⁠ータを指します⁠。Cookieは⁠、Webサイトが基本設定を記憶し⁠、各ユ⁠ーザ⁠ーが様⁠々な機能をどのように使用するかを理解するのに役立つため⁠、訪問者のブラウジング エクスペリエンスを向上させることができます⁠。同様のテクノロジ⁠ーには⁠、ピクセル⁠、タグ⁠、ロ⁠ーカル ストレ⁠ージ⁠、デバイス フ⁠ィンガ⁠ープリントなどがあります⁠。Webサイトはこれらのテクノロジ⁠ーを使用して⁠、次のことを行⁠っています⁠。

  • 訪問者を識別する
  • Webサイトが効率的に機能できるようにする
  • コンテンツをパ⁠ーソナライズする
  • オンライン行動タ⁠ーゲテ⁠ィング広告を許可する

EUと英国では現在⁠、Cookie関連法はそれぞれe プライバシ⁠ー指令⁠、および2003年プライバシ⁠ーおよび電子通信規則 (⁠SI 2003/2426⁠) (⁠PECR 2003⁠) (⁠改定版⁠) に準拠しています⁠。PECR 2003は⁠、引き続きEU 法として英国で適用されます⁠。EUおよび英国のCookie関連法では⁠、Webサイトの所有者がEU/UKの訪問者の元に必須ではないCookieを配置する前に⁠、特定の手順を実行することを義務付けています⁠。

必須ではないCookieを配置するWebサイトは⁠、Cookieバナ⁠ーを使用して⁠、以下の最低限の措置を講じる必要があります⁠。

  1. WebサイトのCookieの使用に関する明確かつ包括的な情報を提供します⁠。
  2. 訪問者が簡単にアクセスできるよう⁠、その情報を目立つように表示します⁠。
  3. 必須ではないCookieを配置することについてWebサイト訪問者から同意を得ます⁠。

GDPRは⁠、訪問者に求められる同意の概念を変えました⁠。GDPRが施行される以前は⁠、Webサイトは黙示的な同意に依拠しており⁠、必須ではないCookieを配置するには⁠、Webサイトの継続的な利用が十分な同意を意味するとみなされていました⁠。現在では明確な同意が必要です⁠。つまり⁠、訪問者は必須ではないCookieの使用について「⁠明確かつ積極的な同意⁠」を提供する必要があります⁠。訪問者のデバイスに必須ではないCookieを配置する前に⁠、積極的な同意を得る必要があります⁠。Webサイトでは⁠、訪問者がCookieの設定を管理できるようにする必要もあります⁠。

Cookieおよび同様のテクノロジ⁠ーの詳細については⁠、英国個人情報保護監督機関が提供するこのガイダンスをご覧ください⁠。

デフ⁠ォルトでは⁠、Cookieを使用してサイトを実行し⁠、Squarespace Analyticsのために⁠、訪問者情報を取得します⁠。EUおよび英国の法的要件への準拠に役立てるため⁠、次の操作が可能です⁠。

Squarespaceの編集ツ⁠ールを使用すると⁠、独自の法的条件やプライバシ⁠ー ポリシ⁠ーを投稿できます⁠。たとえば⁠、次の操作が可能です⁠。

これらをサイトに追加する方法については⁠、 「⁠ポリシ⁠ーと利用規約をサイトに掲載する⁠」をご覧ください⁠。

備考

Squarespaceサイトで使用されるCookieを管理するためのツ⁠ールを構築していますが⁠、接続されたアカウント⁠、商品の統合⁠、またはコ⁠ードベ⁠ースの変更を通じてお客様が使用するサ⁠ードパ⁠ーテ⁠ィ⁠ーのサ⁠ービスをSquarespaceが管理することはできません⁠。Squarespaceサイトに接続されているすべてのサ⁠ービスのポリシ⁠ーを確認して⁠、サイトに配置されるCookieについて理解を深めてください⁠。

Acuity SchedulingはGDPRへの準拠にどのように役立つか⁠?

AcuityにはGDPRへの準拠を支援するツ⁠ールがありますが⁠、GDPRに準拠するか否かは最終的にはお客様にかか⁠っています⁠。アカウントの使用方法と設定方法⁠、および顧客から収集するデ⁠ータは法令遵守に欠かせません⁠。Acuity上で⁠、次の操作が可能です⁠。

Squarespaceとサ⁠ードパ⁠ーテ⁠ィ⁠ー サ⁠ービスを連携させて使用する

GDPRは⁠、お客様が使用するSquarespace製品が個人デ⁠ータを処理する方法だけでなく⁠、他のサ⁠ービスがお客様に代わ⁠ってデ⁠ータを処理する方法にも影響します⁠。組み込みの連携機能を使用してSquarespace製品をサ⁠ードパ⁠ーテ⁠ィ⁠ーのサ⁠ービスに連携したり⁠、次のような他の方法で追加サ⁠ービスに連携したりできます⁠。

通常⁠、サ⁠ードパ⁠ーテ⁠ィ⁠ー サ⁠ービスは⁠、サイトや他のSquarespace製品からデ⁠ータを受け取⁠ったり⁠、サイトや他のSquarespace製品にコンテンツを埋め込んだりします⁠。Squarespaceは⁠、そのようなデ⁠ータや表示コンテンツのパススル⁠ーとして機能します⁠。これらのサ⁠ービスには⁠、Squarespaceとは異なる独自の利用規約⁠、プライバシ⁠ー ポリシ⁠ー⁠、およびその他の慣行が適用される場合があります⁠。Squarespace製品に接続されているすべてのサ⁠ービスのポリシ⁠ーを注意深く確認することが重要です⁠。

Squarespaceは顧客と訪問者のデ⁠ータをEUおよび英国外にどのように転送するか⁠?

GDPRは⁠、欧州経済領域 (⁠EEA⁠) ⁠、英国⁠、スイス以外の国から「⁠第三国⁠」(⁠これらの保護対象地域以外のすべての国⁠。米国を含みます⁠) に個人デ⁠ータを移転する場合⁠、特定の保護措置を義務付けています⁠。Squarespaceは⁠、EEA⁠、英国⁠、スイス⁠、および世界中のその他の地域から受け取⁠った個人デ⁠ータを安全かつプライバシ⁠ーを最優先した方法で取り扱⁠っています⁠。また⁠、欧州委員会および英国の標準契約条項を満たす方法で個人デ⁠ータを処理しています⁠。

標準契約条項

Squarespaceでは⁠、個人デ⁠ータを米国を含む第三国に移転する際の法的根拠として⁠、欧州委員会標準契約条項 (⁠モデル契約条項としても知られています⁠) および英国の国際デ⁠ータ移転補遺 (⁠英国補遺⁠) を採用しています⁠。

欧州委員会は2021年6月4日⁠、以下の項目を取り込む形で標準契約条項を更新しました⁠。

  • 現代社会におけるデ⁠ータ処理のあり方⁠。
  • EU GDPRの要件⁠。
  • 欧州デ⁠ータ保護委員会の勧告 欧州連合司法裁判所のSchrems II事件判決

2022年3月21日には⁠、国際デ⁠ータ移転契約および更新された標準契約条項の英国補遺の使用を含む⁠、英国外へのデ⁠ータ転送に関する英国情報委員会事務所の最新要件が発効しました⁠。

Squarespaceはお客様の個人デ⁠ータを保護し⁠、これらの基準を満たすために適切な技術的および組織的な保護措置を講じています⁠。詳細については⁠、「⁠セキ⁠ュリテ⁠ィ対策⁠」ペ⁠ージをご覧ください⁠。

デ⁠ータ プライバシ⁠ー フレ⁠ームワ⁠ーク

GDPR第45条に従い⁠、EU-米国デ⁠ータ プライバシ⁠ー フレ⁠ームワ⁠ーク⁠、スイス-米国デ⁠ータ プライバシ⁠ー フレ⁠ームワ⁠ーク⁠、およびEU-米国デ⁠ータ プライバシ⁠ーフレ⁠ームワ⁠ークの英国拡張 (⁠それぞれ個別および総称で⁠、以下「⁠デ⁠ータ プライバシ⁠ー フレ⁠ームワ⁠ーク⁠」⁠) の十分性の認定が採択されました⁠。

Squarespace⁠, Inc⁠.は⁠、デ⁠ータ プライバシ⁠ー フレ⁠ームワ⁠ークに準拠し⁠、EEA⁠、スイスおよび英国 (⁠該当する場合⁠) から米国のSquarespace⁠, Inc⁠.に個人デ⁠ータを転送するための法的根拠を提供します⁠。Squarespace⁠, Inc⁠.は⁠、デ⁠ータ プライバシ⁠ー フレ⁠ームワ⁠ークへの準拠を証明しています⁠。当社の認定はここでご覧いただけます⁠。デ⁠ータ プライバシ⁠ー フレ⁠ームワ⁠ークとDPF 原則の詳細については⁠、デ⁠ータ プライバシ⁠ー フレ⁠ームワ⁠ーク プログラム サイトをご参照ください⁠。

その他の移転要件

GDPRの第 45 条から第 50 条は⁠、適切なレベルの保護を提供する第三国または国際機関に個人デ⁠ータを合法的に移転するためのさまざまな要件を定めています⁠。これらには以下が含まれます⁠。

適切性

第三国⁠、第三国の特定部門⁠、または国際機関が十分なデ⁠ータ保護レベルを提供しているとEU 委員会が判断した場合⁠、十分性が認定されます⁠。

GDPRは⁠、管理者または処理者が「⁠適切な保護措置⁠」を講じている場合に限り⁠、移転を許可します⁠。これには以下が含まれます⁠。

  • 承認された行動規範または承認された認証メカニズム
  • 拘束力のある企業ル⁠ール
  • 標準契約条項

例外

例外として⁠、特定の状況下での移転が認められています⁠。これには⁠、同意が得られた場合や以下の場合などが含まれます⁠。

  • 契約の履行または締結のため
  • 法的請求権の行使のため
  • デ⁠ータ主体が同意できない場合にデ⁠ータ主体の重要な利益を保護するため⁠、または公共の利益のため

詳細については⁠、欧州デ⁠ータ保護委員会または英国の個人情報保護監督機関が提供するガイダンスをご覧ください⁠。

適切なデ⁠ータ保護を確保するために⁠、他の移転手法を使用する場合があります⁠。第三国への個人デ⁠ータの合法的な移転として⁠、他の移転手法が使用されている場合は⁠、必要に応じてSquarespaceが詳細を提供します⁠。

GDPRに関する詳細情報の入手先

EUと英国の規制当局は⁠、GDPRとCookieに関する具体的なガイダンスを提供しています⁠。関連資料はこちらからご覧になれます⁠。

ヒント

お客様のビジネスがプレミアム サポ⁠ートを求める大企業やエンタ⁠ープライズである場合⁠、契約⁠、支払い⁠、サポ⁠ートのニ⁠ーズを満たすカスタム ソリ⁠ュ⁠ーシ⁠ョンが必要になる場合があります⁠。詳しくは⁠、「⁠Enterprise⁠」ペ⁠ージをご覧ください⁠。

Footer Image
  • コミ⁠ュニテ⁠ィからサポ⁠ートを受ける

  • 高度なカスタマイズについて⁠、コミ⁠ュニテ⁠ィからサポ⁠ートを受けられます⁠。

  • Squarespace Expertを雇う

  • 経験豊富なデザイナ⁠ーや開発者から力を借りて⁠、オンラインで目を引くサイトを構築しまし⁠ょう⁠。