MEDIA「Shopify制作カオスマップ【2026年版】」の Shopify Plus対応・大規模Enterprise カテゴリに掲載されました詳しく見る →
Security & Governance

Shopifyのセキュリティは大丈夫か — 安全性と管理体制を整理

稟議やセキュリティチェックで必ず出るこの問いに、正面から答えます。要点は「カード情報を自社で持たない構造」と「プラットフォーム側で維持される防御」。何が標準で備わり、組織としてどう統制できるかを、このページで整理します。

Certified
PCI DSS レベル1認定
カード業界で最も厳格な基準に、プラットフォームが準拠
Uptime
稼働率99.99%の実績
脆弱性対応・パッチ適用はShopify側で継続実施
Built-in
二段階認証・不正注文分析
アカウント保護と不正対策が標準で組み込み済み
Governance
権限管理とID統制
スタッフ権限の細分化から、IdPでの一元統制まで
Shopify
Shopify Plus Partnerに認定されました
Shopify Plus構築について
Shopify Plus Partner
Issues

SaaSのECに、こんな不安はありませんか

クラウドに預けて大丈夫なのか
カード情報や顧客データを外部サービスに預けることへの不安。何がどこに保存され、誰が守っているのかが見えない。
自社の統制が効くのか
権限管理や入退社のID統制を、SaaS側でも維持できるのか。ECの管理画面だけ、全社の統制の外にならないか。
稟議・チェックシートを通せるのか
情報システム部門や上長に「SaaSのECは大丈夫なのか」と問われて、根拠を持って答えられない。導入の話が前に進まない。
Answer

「Shopifyは安全なのか」への回答

答えは「守り方の構造が違う」です。自社でサーバーを守る発想から、守られたプラットフォームの上で運用する発想に変わります。

認定カード情報を、そもそも自社で扱わない

Shopifyはクレジットカード業界で最も厳格な基準であるPCI DSSレベル1の認定を受けており、その準拠はストアに標準で適用されます。カード情報はShopifyの決済基盤で処理され、事業者のサーバーにも当社にも触れられません。「カード情報漏えい」のリスク構造そのものが変わります。

実績防御の維持は、プラットフォームの仕事

脆弱性対応・パッチ適用・SSL(常時HTTPS)の維持はShopify側で継続的に行われ、事業者側の作業はありません。稼働率はShopify全体で99.99%の実績があります(大規模事業者向けの上位プラン「Shopify Plus」では、契約上の稼働率保証(SLA)としても提供されます)。

標準装備アカウント保護と不正対策が組み込み済み

スタッフアカウントの二段階認証、注文ごとの不正リスクを自動判定する不正注文分析が、全プランに標準で組み込まれています。「セキュリティ機能を後から買い足す」のではなく、最初から備わっている状態で運用を始められます。

Governance

組織で運用するための管理体制

安全性の次は統制です。「誰が・どこまで操作できるか」を、組織の規模に合わせて設計できます。

01

スタッフ権限の細分化

商品・注文・顧客・レポート・設定など、機能ごとに権限を絞ってスタッフに付与できます。「受注チームは注文だけ」「制作会社にはテーマだけ」という運用が標準機能で組めます。外部パートナーには、スタッフ枠を消費しないコラボレーターアカウントを使います。

02

スタッフアカウント数はプランで変わる

スタッフアカウントの上限はベーシック=追加不可・グロー=5・アドバンス=15で、大規模事業者向けの上位プラン「Shopify Plus」は無制限です。営業・受注・出荷・マーケと部署をまたいで運用する規模では、ここがプラン選定の実質的な分岐点になります。

03

SAML SSOで、ECを全社のID統制に組み込む

Shopify Plusでは、OktaやMicrosoft Entra IDなどのIdPで管理画面のログインを統制できます(SAML SSO)。入退社時のアカウント発行・停止がIdP側に一元化され、「ECだけ統制の外」がなくなります。複数ストア運用でも、Organizations機能でストア横断のユーザー・権限を一元管理できます。

At a Glance

セキュリティ要件チェックの早見表

セキュリティチェックシートでよく問われる項目と、Shopifyでの対応です。

要件 Shopifyでの対応 プラン
通信の暗号化(常時SSL/HTTPS) 標準(証明書の発行・更新も自動) 全プラン
カード情報の取り扱い(PCI DSS) レベル1認定のプラットフォームで処理(自社で保持しない) 全プラン
脆弱性対応・パッチ適用 Shopify側で継続実施(事業者の作業なし) 全プラン
管理者アカウントの二段階認証 標準機能として設定可能 全プラン
不正注文への対策 注文ごとのリスクを自動判定する不正分析を標準装備 全プラン
操作権限の細分化 機能単位の権限をスタッフごとに設定 全プランスタッフ数は Basic=追加不可 / Grow=5 / Advanced=15
スタッフアカウント無制限 部署横断の大人数運用に対応 Plus
SAML SSO(IdPによるID統制) Okta・Microsoft Entra ID等で管理画面ログインを統制 Plus
稼働率の契約保証(SLA) 99.99%の稼働率保証(全体実績としても99.99%) Plus

個別のセキュリティチェックシートへの記入は、構築・移行のご相談とあわせて当社がお手伝いします。

Contact

セキュリティ要件の確認からご相談ください

チェックシートへの回答・要件整理・構成のご提案まで、無料でお手伝いします。

FAQ

Shopifyのセキュリティに関するよくあるご質問

Q. Shopifyのセキュリティは本当に大丈夫ですか?
Shopifyはクレジットカード業界で最も厳格な基準であるPCI DSSレベル1の認定を受けており、脆弱性対応・パッチ適用・SSLの維持はプラットフォーム側で継続的に行われます。稼働率もShopify全体で99.99%の実績があります。「自社でサーバーを守る」構造ではなく「守られたプラットフォームの上で運用する」構造になる、というのが答えです。
Q. カード情報はどこに保存されますか?
Shopifyの決済基盤(PCI DSSレベル1認定)で処理・保管され、事業者のサーバーや構築会社が触れることはありません。カード情報漏えいのリスクを自社で抱える構造そのものがなくなります。
Q. 脆弱性対応やアップデートは誰が行うのですか?
プラットフォーム本体(サーバー・決済・SSL等)はShopifyが行い、事業者側の作業はありません。テーマやアプリ構成など、ストア個別の部分の健全性維持は当社の運用保守サポートでご支援できます。
Q. 退職者のアカウント管理はどうなりますか?
標準機能ではストアごとにスタッフアカウントを削除して運用します。Shopify Plusでは、OktaやMicrosoft Entra IDなどのIdPと連携するSAML SSOにより、入退社のアカウント発行・停止を全社のID統制に一元化できます。
Q. セキュリティチェックシートへの対応はできますか?
はい。本ページの早見表がよく問われる項目の回答になっています。個別のチェックシートへの記入は、構築・移行のご相談とあわせて当社がお手伝いします。
Q. Plusでないと安全ではないのですか?
いいえ。PCI DSS・SSL・二段階認証・不正注文分析といった防御の基盤は全プラン共通です。Plusで加わるのは、SAML SSOによるID統制・スタッフアカウント無制限・稼働率の契約保証(SLA)といった「組織的な統制と保証」の領域です。規模と要件に応じて中立にご提案します。
Contact

Shopifyのセキュリティ・統制要件はご相談ください

情報システム部門との要件確認から、SAML SSO・権限設計の実装まで一貫して支援します。

Related

関連ページ