Agoraxa for Shopify

Checkout Address Guard プライバシーポリシー

最終更新日: 2026年2月

対象アプリ: Checkout Address Guard

1. 概要

Checkout Address Guard(以下「本アプリ」)は、Agoraxa(以下「当社」)が開発した Shopify アプリケーションです。本アプリは、チェックアウト時に配送先住所を検証し、PO Box 住所による配送不可を未然に防止します。本プライバシーポリシーは、本アプリがアクセスするデータ、その利用方法、および保護方法について説明します。本アプリをインストールするマーチャント、および本アプリを使用するストアの顧客に適用されます。

2. アクセスするデータ

本アプリは、動作に必要な最小限のデータのみにアクセスします。

  • 配送先住所(リアルタイム処理のみ): チェックアウト時に Shopify Functions を通じて address1、address2、company フィールドを読み取り、PO Box パターンを検出します。このデータは保存・ログ記録・外部送信を一切行わず、検証後即時破棄されます。
  • Shopify OAuth セッション(マーチャントデータ): インストール時に認証用の OAuth セッショントークン(ショップドメイン、アクセストークン、セッションメタデータ)を保存します。暗号化して保存し、アンインストール時に自動削除されます。
  • アプリ設定: マーチャントの設定(有効/無効、カスタムパターン、エラーメッセージ)は Shopify のメタフィールドとして保存されます。当社ではなく Shopify が管理します。
  • API スコープ: 本アプリが要求するスコープは read_validations のみです。read_customers や read_orders などの顧客データスコープは要求しません。

3. 収集しないデータ

当社が収集・保存しないデータについて明示します。

  • 顧客名、メールアドレス、電話番号
  • 請求・決済情報
  • 注文詳細・購入履歴
  • 閲覧行動・アナリティクスデータ
  • IP アドレス
  • デバイスフィンガープリント・広告識別子

4. データの利用目的

データは本アプリの中核機能の提供にのみ使用します。マーケティング、広告、プロファイリング、PO Box 検出およびアプリ運用以外の目的には一切使用しません。

  • 配送先住所 → チェックアウト時の PO Box パターン検出(保存なし)
  • OAuth セッション → アプリ認証および API アクセス(アンインストールまで保存)
  • アプリ設定(メタフィールド)→ マーチャントのブロック設定(Shopify が保存)

5. 自動化された意思決定

本アプリは自動処理(Shopify Functions)により、配送先住所に PO Box パターンが含まれるかを判定します。一致が検出された場合、チェックアウトはエラーメッセージとともにブロックされ、顧客には住所の変更が求められます。人間によるレビューは行われません。判定はパターンマッチングに基づく完全自動処理です。マーチャントはカスタムパターンと Allowlist で検出精度を調整できます。誤ブロックと思われる場合、顧客はマーチャントに直接お問い合わせください。

6. 第三者提供

当社はいかなるデータも第三者に共有・販売・貸与・送信しません。本アプリは Shopify プラットフォーム外のサービスへの API 呼び出しや接続を一切行いません。

7. Cookie・トラッキング技術

本アプリは以下のトラッキング技術を一切使用しません。

  • トラッキング Cookie・サードパーティ Cookie
  • Web ビーコン・ピクセルタグ
  • アナリティクス・広告 SDK
  • ブラウザフィンガープリント
  • 唯一のクライアント側ストレージは、Shopify 管理画面内のテスト用 localStorage 項目(po-box-blocker:test-at-checkout)のみ。トラッキング目的には使用しません。

8. データの保存とセキュリティ

以下のセキュリティ対策を実施しています。

  • ホスティング: 米国(Render クラウドホスティング)
  • 通信の暗号化: 全データを HTTPS(TLS)で送受信
  • Webhook 認証: HMAC-SHA256 によるペイロード検証
  • アクセス制御: API シークレットは環境変数で管理、ソースコードに含めない
  • ログ: アプリケーションログに顧客個人情報を含めない
  • 最小権限: read_validations スコープのみ — 顧客データ API へのアクセスなし

9. データの保持と削除

データは必要な期間のみ保持します。

  • OAuth セッション: アプリインストール中 → アンインストール時に自動削除(app/uninstalled webhook)
  • 残存セッションデータ: アンインストール後最大 48 時間 → shop/redact webhook でクリーンアップ
  • 配送先住所: 保持しません(リアルタイム処理のみ)
  • アプリ設定(メタフィールド): Shopify が管理 → アンインストール時に Shopify が削除

10. 国際データ移転

本アプリのサーバーは米国に所在します。EEA、英国、またはデータ移転制限のある地域のマーチャントの場合: マーチャントのセッションデータ(OAuth トークン)は米国のサーバーに保存されます。顧客の配送先住所は Shopify のインフラ内でリアルタイム処理され、当社サーバーへの転送・保存は行いません。マーチャントデータの移転根拠として、標準契約条項(SCC)および Shopify のデータ処理契約に依拠しています。

11. 処理の法的根拠(GDPR)

EEA または英国のマーチャント・顧客に対して、以下の法的根拠に基づきデータを処理します。OAuth セッションおよびアプリ設定は「契約の履行」(サービス提供に必要)、配送先住所は「正当な利益」(マーチャントが設定した PO Box 検出に必要)を根拠とします。GDPR に基づくデータ主体の権利:

  • 個人データへのアクセス権
  • 不正確なデータの訂正権
  • 消去権(「忘れられる権利」)— アンインストールにより自動削除
  • 処理の制限権
  • データポータビリティ権
  • 正当な利益に基づく処理への異議申立権
  • 所管データ保護機関への苦情申立権
  • これらの権利の行使は commerce-support@agoraxa.com までご連絡ください

12. CCPA/CPRA コンプライアンス(カリフォルニア州)

カリフォルニア州居住者向けの開示: 当社は、アプリ運用のための OAuth セッション以外の個人情報を収集しません。CCPA/CPRA の定義する個人情報の販売・共有は行っておらず、過去 12 ヶ月間においても行っていません。

  • 当社が収集する個人情報を知る権利
  • 削除の権利 — アンインストールにより全データが自動削除
  • 個人情報の販売をオプトアウトする権利(当社は販売を行いません)
  • リクエストは commerce-support@agoraxa.com まで

13. GDPR 準拠 Webhook

本アプリは Shopify の必須コンプライアンス Webhook をすべて実装しており、HMAC-SHA256 で認証されます。

  • customers/data_request → 顧客データの保存なし — 確認応答を返却
  • customers/redact → 削除対象の顧客データなし — 確認応答を返却
  • shop/redact → 該当ショップの全セッションデータを削除

14. 児童のプライバシー

本アプリは、13 歳未満(EEA では 16 歳未満)の児童から故意に個人情報を収集することはありません。本アプリは顧客の個人情報を収集・保存しないため、児童のデータに関する特別な措置は不要です。

15. あなたの権利

マーチャントとして: いつでもアプリをアンインストールでき(全データが自動削除されます)、当社が保持するデータについて問い合わせたり、Shopify 管理画面から設定を変更できます。顧客として: 配送先住所はチェックアウト時のリアルタイム処理のみで保存されません。住所が誤ブロックされたと思われる場合は、ストアのマーチャントに直接お問い合わせください。

16. 本ポリシーの変更

本プライバシーポリシーは随時更新される場合があります。変更は本ページに更新日とともに掲載されます。本ポリシーは少なくとも 12 ヶ月ごとに見直しを行います。

17. お問い合わせ

本プライバシーポリシーまたはデータの取り扱いについてご質問がある場合は、commerce-support@agoraxa.com までご連絡ください。