稟議やセキュリティチェックで必ず出るこの問いに、正面から答えます。要点は「カード情報を自社で持たない構造」と「プラットフォーム側で維持される防御」。何が標準で備わり、組織としてどう統制できるかを、このページで整理します。
答えは「守り方の構造が違う」です。自社でサーバーを守る発想から、守られたプラットフォームの上で運用する発想に変わります。
安全性の次は統制です。「誰が・どこまで操作できるか」を、組織の規模に合わせて設計できます。
商品・注文・顧客・レポート・設定など、機能ごとに権限を絞ってスタッフに付与できます。「受注チームは注文だけ」「制作会社にはテーマだけ」という運用が標準機能で組めます。外部パートナーには、スタッフ枠を消費しないコラボレーターアカウントを使います。
スタッフアカウントの上限はベーシック=追加不可・グロー=5・アドバンス=15で、大規模事業者向けの上位プラン「Shopify Plus」は無制限です。営業・受注・出荷・マーケと部署をまたいで運用する規模では、ここがプラン選定の実質的な分岐点になります。
Shopify Plusでは、OktaやMicrosoft Entra IDなどのIdPで管理画面のログインを統制できます(SAML SSO)。入退社時のアカウント発行・停止がIdP側に一元化され、「ECだけ統制の外」がなくなります。複数ストア運用でも、Organizations機能でストア横断のユーザー・権限を一元管理できます。
セキュリティチェックシートでよく問われる項目と、Shopifyでの対応です。
| 要件 | Shopifyでの対応 | プラン |
|---|---|---|
| 通信の暗号化(常時SSL/HTTPS) | 標準(証明書の発行・更新も自動) | 全プラン |
| カード情報の取り扱い(PCI DSS) | レベル1認定のプラットフォームで処理(自社で保持しない) | 全プラン |
| 脆弱性対応・パッチ適用 | Shopify側で継続実施(事業者の作業なし) | 全プラン |
| 管理者アカウントの二段階認証 | 標準機能として設定可能 | 全プラン |
| 不正注文への対策 | 注文ごとのリスクを自動判定する不正分析を標準装備 | 全プラン |
| 操作権限の細分化 | 機能単位の権限をスタッフごとに設定 | 全プランスタッフ数は Basic=追加不可 / Grow=5 / Advanced=15 |
| スタッフアカウント無制限 | 部署横断の大人数運用に対応 | Plus |
| SAML SSO(IdPによるID統制) | Okta・Microsoft Entra ID等で管理画面ログインを統制 | Plus |
| 稼働率の契約保証(SLA) | 99.99%の稼働率保証(全体実績としても99.99%) | Plus |
個別のセキュリティチェックシートへの記入は、構築・移行のご相談とあわせて当社がお手伝いします。
入力内容はサービス品質向上のため記録されます(90日間保存)。個人情報の入力はお控えください。