Shopify App Privacy Policy
アプリ向けプライバシーポリシー
最終更新日: 2026年6月10日
1. はじめに
CROSSLINE(以下「当方」といいます)は、Shopifyストアのマーチャント向けに提供するShopifyアプリ(以下「本アプリ」といいます)を運営します。本プライバシーポリシーは、本アプリが、マーチャント、マーチャントの顧客、見込み顧客、およびストア訪問者に関する情報をどのように処理するかを説明するものです。
本アプリは、マーチャントが設定した条件に基づき、支払い済み注文に対して無料ノベルティ商品を付与する機能を提供します。
2. 処理するデータ
本アプリは、アプリ機能を提供するために必要な最小限のデータを処理します。
- Shopifyストアの識別情報
- Shopifyアプリの認証およびセッション情報
- 支払い済み注文に関するデータ
- 注文小計
- 注文に含まれる商品IDおよびバリエーションID
- Shopify注文ID
- 本アプリが付与した注文タグ
- 本アプリが所有する注文メタフィールド
- ノベルティ付与処理の状態
本アプリは、顧客の氏名、メールアドレス、電話番号、請求先住所、配送先住所を、ノベルティ付与機能のために必要なデータとして保存しません。
3. データの利用目的
- マーチャントが設定したノベルティ付与条件を判定するため
- 条件を満たす支払い済み注文に、設定済みの無料ノベルティ商品を追加するため
- 同じ注文にノベルティを重複付与しないようにするため
- ノベルティ付与済みの状態を、Shopify Admin上でマーチャントが確認できるようにするため
- アプリの認証、セッション管理、セキュリティ、障害調査を行うため
- Shopifyの必須コンプライアンスWebhookに対応するため
本アプリは、顧客へのマーケティング、広告配信、プロファイリング、顧客への直接メール送信、データ販売のために個人データを利用しません。
4. 保存するデータ
本アプリは、Cloudflare D1にShopifyセッション情報および内部Webhook処理レジャーを保存します。
内部Webhook処理レジャーには、以下の情報が含まれます。
- ストアID
- Shopify注文ID
- 設定ID
- 処理ステータス
- 付与されたバリエーションID
- 注文編集ID
- サニタイズ済みエラー内容
- 試行回数
- 作成日時および更新日時
本アプリは、顧客の氏名、メールアドレス、電話番号、請求先住所、配送先住所、生のWebhookペイロード、マーケティング同意情報、顧客行動の追跡情報をCloudflare D1に保存しません。
Shopifyセッション情報には、アプリを利用するマーチャントスタッフの氏名およびメールアドレスが含まれる場合があります。これらはアプリの認証およびセッション管理のためにのみ使用されます。
5. Shopify上に保存されるデータ
本アプリは、Shopify上の注文に対して、注文タグおよびアプリ所有の注文メタフィールドを保存することがあります。これらは、ノベルティ付与済み状態、重複付与防止、マーチャントによる注文管理のために利用されます。これらの情報はShopify上の注文データの一部として管理され、マーチャントはShopify Adminを通じて確認できます。
6. データの保持期間
- Shopifyセッション情報は、アプリの認証およびセッション管理に必要な期間保持されます。
- 本アプリがアンインストールされた場合、対象ストアのセッション情報を削除します。内部Webhook処理レジャーは、その後Shopifyから送信される shop/redact Webhookの受信時に削除します。
- 内部Webhook処理レジャーのうち、completed または failed になった行は、設定された保持期間後に削除されます。現在の初期設定は90日です。
- 生のWebhookペイロードは保存しません。
7. データの共有先および委託先
本アプリは、アプリ提供に必要な範囲で、以下のサービスを利用します。
- Shopify: アプリ認証、Admin API、Webhook、注文管理、アプリ課金
- Cloudflare Workers: アプリの実行環境
- Cloudflare D1: Shopifyセッション情報および内部Webhook処理レジャーの保存
これらのサービスは、日本国外(米国を含む)のサーバーでデータを処理または保管する場合があります。各社のデータ保護の詳細は、ShopifyおよびCloudflareが公表するプライバシー文書をご確認ください。
本アプリは、顧客データを広告ネットワーク、データブローカー、マーケティング配信事業者に販売または共有しません。
8. セキュリティ
- Shopify Webhook署名の検証
- HTTPSによる通信
- Shopify APIシークレットおよび認証情報の秘密情報としての管理
- Cloudflareによる保存時および転送時の保護機能の利用
- 生のWebhookペイロードを保存しない設計
- エラー内容のサニタイズ
- 必要最小限のShopify APIスコープの利用
個人データの漏えい等を認識した場合、当方は、適用法令およびShopifyの要件に従い、Shopifyおよび影響を受けるマーチャントへ速やかに通知します。
9. Cookieおよびトラッキング技術
本アプリは、広告配信、行動追跡、または第三者マーケティング目的のCookieを使用しません。アプリの認証およびセッション管理は、Shopifyが提供する認証の仕組みおよび本アプリのShopifyセッション情報に基づいて行います。
10. 顧客の同意、オプトアウト、データ販売
本アプリは、顧客へのマーケティング配信、広告配信、行動追跡、パーソナライズ、データ販売を行いません。そのため、本アプリ単体では、顧客のマーケティング同意、広告目的のデータ共有オプトアウト、または類似するデータ販売オプトアウトを処理しません。マーチャントがShopify上で管理する同意設定やプライバシー設定は、Shopifyの機能およびマーチャントの運用に従います。
11. 自動意思決定
本アプリは、注文条件に基づいて無料ノベルティ商品を付与する処理を自動で行います。この処理は、顧客に対して法的または同様に重大な影響を及ぼす自動意思決定を目的とするものではありません。本アプリは、与信、雇用、保険、医療、価格差別、サービス拒否などの判断を行いません。
12. コンプライアンスWebhookへの対応
- shop/redact: 対象ストアのShopifyセッション情報および内部Webhook処理レジャーを削除します。
- customers/redact: Shopifyから指定された注文IDに紐づく内部Webhook処理レジャーを削除します。
- customers/data_request: 本アプリはCloudflare D1に顧客単位の記録を保存していないため、D1上で開示すべき顧客データはありません。Shopify上の注文タグおよび注文メタフィールドは、Shopify Admin上の注文データとしてマーチャントが確認できます。
13. 開示、訂正、削除の依頼
マーチャントまたは顧客から、個人データに関する開示、訂正、削除等の依頼があった場合、当方は、本人確認および権限確認を行ったうえで、原則として30日以内を目安に合理的な範囲で対応します。Shopify上に保存されている注文データについては、マーチャントがShopify Adminを通じて確認および対応できます。
14. 本ポリシーの変更
当方は、法令、Shopifyの要件、アプリ機能、または運用の変更に応じて、本プライバシーポリシーを変更することがあります。重要な変更がある場合は、適切な方法で通知します。
15. お問い合わせ
- 運営者
- 屋号: CROSSLINE(クロスライン)
- 所在地
- 愛知県春日井市上条町6-90-3
- サポートメール
- info@crossline.me
- Webサイト
- https://crossline.me