English

Veno Booking プライバシーポリシー

最終更新日: 2026年5月26日 ・ バージョン: 1.1

本ポリシーは、株式会社 slee(以下「当社」)が Shopify App Store で 提供する Shopify アプリ「Veno Booking — Events & Experiences」(以下「本アプリ」) における個人情報の取り扱いを定めます。

本ポリシーは、日本の個人情報保護法(APPI)、EU 一般データ保護規則 (GDPR)、英国 GDPR、カリフォルニア州消費者プライバシー法(CCPA/CPRA) その他の各国法令に準拠することを目指しています。


1. 事業者情報(管理者連絡先)

1.1 データ保護責任者(DPO)

当社は、当社の処理活動の性質、範囲および目的に照らし、GDPR Article 37 における Data Protection Officer (DPO) の任命義務に該当しません。 データ保護に関するご相談は contact@slee-group.co.jp までお問い合わせ ください。

2. 当社の役割

当社は以下の二つの立場で個人情報を取り扱います。

  1. データ処理者(Processor)として — 本アプリを導入する Shopify マーチャント(以下「マーチャント」)の指示に従い、マーチャントの 顧客の情報を処理します。この場合、データ管理者(Controller)は マーチャントです。
  2. データ管理者(Controller)として — マーチャント自身(店舗 オーナーやスタッフ)の情報を、本アプリの提供・課金・サポート目的で 管理します。

なお、米国カリフォルニア州 CCPA/CPRA における当社の地位は 「Service Provider」(CCPA §1798.140(v))です。マーチャントから 提供される個人情報は、CCPA で定義する "Sell" には該当せず、Service Provider としての契約上の目的でのみ処理します。

3. 取得する個人情報の項目

3.1 マーチャントの顧客に関する情報(処理者として)

項目 取得方法 当社 DB への保存
Shopify 注文 ID(GID) orders/create webhook ✅ 保存(識別子のみ)
注文番号(例 #1024 同上 ✅ 保存(識別子のみ)
チケット閲覧トークン(不透明乱数) アプリが生成 ✅ 保存
予約数量・予約日時・チェックイン状況 アプリ内で生成 ✅ 保存(PII なし)
顧客の氏名・メールアドレス Shopify Admin API(画面表示時のみ) 保存しない(都度 API 取得)
顧客の自由記述アンケート回答 アプリ内の購入後アンケート ⚠️ 保存(PII 混入の可能性あり)

重要: 顧客の氏名・メール・電話番号・住所などの直接識別子は、 当社データベースに保存しません。これらが必要な場面(予約管理画面の 表示など)では、その都度 Shopify Admin API から取得しメモリ上で処理し、 レスポンス返却後に破棄します。

3.2 マーチャントに関する情報(管理者として)

項目 取得方法
マーチャント名・メール・ユーザーID Shopify OAuth
ショップドメイン(*.myshopify.com Shopify OAuth
Shopify Admin API アクセストークン Shopify OAuth
課金・利用履歴 Shopify Billing API

3.3 特殊カテゴリーデータ(GDPR Article 9)

当社は、人種、民族、政治的意見、宗教、健康情報、性的指向、生体情報、 遺伝情報等の特殊カテゴリーの個人データを取得・処理することはありません。 本アプリのアンケート機能等で顧客が任意にこれらを書き込むことを防ぐため、 マーチャントには「個人情報を尋ねる設問を作らない」よう管理画面で 警告しています。

3.4 データの取得元(GDPR Article 14)

顧客に関する個人情報は、データ主体(顧客)から 直接 ではなく、 マーチャントの Shopify ストアおよび Shopify Admin API を経由して 間接的に 取得しています。当社はこれらのデータについて Data Processor として 機能するため、データ主体への直接の取得 通知義務は Data Controller である マーチャントが負います。 データ主体は、まずデータの管理者であるマーチャント(Shopify ストア 運営者)にお問い合わせください。

4. 利用目的

取得した個人情報は、以下の目的でのみ利用します。

  1. 本アプリの予約管理機能の提供(予約対象の作成・チケット販売・ 時間枠管理・在庫管理)
  2. チケットもぎり(チェックイン)機能の提供
  3. マーチャント向け管理画面における予約情報の表示
  4. 購入後アンケート機能の提供
  5. 課金(売上に対する手数料)の計算と請求
  6. 本アプリの品質改善・トラブルシューティング(個別の顧客情報を 解析対象にしません)
  7. 法令遵守・コンプライアンス webhook への対応

利用目的を変更する場合は、合理的に関連すると認められる範囲を超えない ものとし、変更後の利用目的を本ポリシーに反映して通知します。

5. 処理の法的根拠(GDPR Article 6)

EU/EEA および英国 GDPR に従い、各処理活動について以下の法的根拠を 明示します。

処理対象 法的根拠(GDPR Art. 6)
マーチャント情報の処理(OAuth、課金、サポート) Art. 6(1)(b) 契約の履行 — 本アプリ利用契約の履行に必要
マーチャントの顧客に関する識別子(注文ID 等)の処理 マーチャント(Controller)の法的根拠に従う。通常は Art. 6(1)(b)(契約の履行) または Art. 6(1)(f)(正当な利益)
顧客に関する氏名・メール等の一時取得(画面表示時) マーチャントの Art. 6(1)(f) 正当な利益 — 予約管理のため必要最小限の表示
購入後アンケート回答の処理 Art. 6(1)(f) 正当な利益 — 任意回答に基づくサービス改善
Cookie・OAuth セッション Art. 6(1)(b) 契約の履行 — サービス提供に厳密に必要
法的義務に基づく開示・削除 Art. 6(1)(c) 法的義務の遵守

データ主体には、Art. 6(1)(f) 正当な利益を根拠とする処理について、 異議申立て(Right to Object, Art. 21) の権利があります。

6. 保存期間

データ種別 保存期間
Booking(予約レコード) アプリ利用中は保持し続け、アンインストール後 30 日以内に削除
購入後アンケート回答 アプリ利用中は保持し続け、アンインストール後 30 日以内に削除
Session(OAuth トークン) アプリ利用中のみ保持。アンインストール時に即削除
注文識別子(orderName, shopifyOrderId) Booking と同じ(利用中保持 → アンインストール後 30 日以内削除)
アクセスログ(個人データ参照記録) 取得時から 90 日後に自動削除(access-log.cron)
アクセスログ(Render プラットフォーム標準) 概ね 30〜90 日(Render 側の保存方針による)
顧客の氏名・メール(DB 保存なし) N/A(保存しない)

顧客から削除請求があった場合は、本人確認の上、速やかに削除します (後述第 11 条)。マーチャント経由での開示・削除請求の運営フローは 内部手順書「開示請求・削除請求 対応手順書」 に従って対応します。

7. 第三者提供・サブプロセッサー

法令に基づく場合を除き、原則として個人情報を第三者へ提供しません。

以下のサービスはサブプロセッサー(処理委託先)として利用し、最低限の 情報を共有します。

サブプロセッサー 役割 所在国 DPA
Shopify Inc. 認証・注文連携・チェックアウト・課金 カナダ/米国 Shopify の標準 DPA
Render Services Inc. アプリのホスティング・データベース(シンガポール) 米国(事業地)/ シンガポール(データセンター) Render の標準 DPA
Google LLC 管理画面の利用状況分析(Google Analytics 4・対象はマーチャントの管理画面操作のみ) 米国 Google Ads Data Processing Terms(SCCs 含む)

各サブプロセッサーは、それぞれのプライバシーポリシーおよびデータ保護 契約(DPA)に従いデータを処理します。

7.1 サブプロセッサーの追加・変更

当社が新たなサブプロセッサーを採用する場合、合理的な範囲で事前に マーチャントに通知し、30 日以内の異議申立てを認めます。マーチャント が異議を申し立て、合意に至らない場合、マーチャントは本アプリの 利用契約を解除することができます。

8. 国際的なデータ移転

本アプリは Render のサーバー(シンガポール)で稼働するため、 EU/EEA・英国・カリフォルニア州ほかから当該リージョンへ個人データが 移転される場合があります。

GDPR/UK GDPR 上の十分性決定がない地域への移転については、欧州委員会 が承認する 標準契約条項(Standard Contractual Clauses, SCC) (2021/914 決定)を採用してデータの保護を確保します。日本は欧州委員会 により「十分な保護レベルを有する国」として承認されていますが、サブ プロセッサー所在地への二次移転についても引き続き SCC で保護します。

9. 安全管理措置

当社は以下の措置により個人情報の安全を確保します。

10. クッキー・トラッキング

マーチャントの顧客(エンドユーザー)が利用するページ(商品ページの 予約ウィジェット・チケットページ・チェックアウト)では、マーケティング 目的のクッキーやサードパーティ製トラッキングを一切使用していません。

マーチャントが利用する管理画面に限り、機能改善を目的として Google Analytics 4 による利用状況の計測(閲覧画面・操作イベント)を 行います。計測対象はマーチャントの管理画面操作のみで、顧客の個人 情報・注文内容・行動データは送信しません。

Cookie 名(例) 目的 種類 有効期間
shopify_app_session Shopify OAuth セッション維持 必須 Cookie ブラウザセッション終了まで or Shopify の方針
_ga / _ga_*(管理画面のみ) 管理画面の利用状況分析(Google Analytics 4) 分析 Cookie 最長 2 年(Google の方針)

セッション Cookie は ePrivacy Directive 上、サービス提供に厳密に必要な Cookie に分類されるため、別途の同意取得は不要です(Recital 47, GDPR)。 分析 Cookie は本ポリシーでの公表をもって利用をお知らせしています (電気通信事業法の外部送信規律に基づく公表事項を含む)。

11. データ主体の権利

マーチャントの顧客(データ主体)は、本アプリで処理される個人情報に ついて、以下の権利を行使できます。

11.1 行使方法

請求は、当該顧客が購入を行ったマーチャントへの請求として行うことを 推奨します。マーチャント経由で Shopify が customers/data_request / customers/redact webhook を当社へ送信した場合、当社は速やかに対応 します。

直接当社へ請求する場合は、第 1 条記載の連絡先メールアドレスへ連絡 ください。本人確認の上、原則 30 日以内(GDPR Art. 12(3) に従い、 複雑な場合は最大 90 日まで延長)に対応します。

11.2 監督当局への申立権

データ主体は、所在地または侵害発生地の監督当局へ苦情を申し立てる 権利も有します(GDPR Art. 77)。

地域 監督当局
日本 個人情報保護委員会(https://www.ppc.go.jp/)
EU 加盟国ごとの DPA。EDPB 一覧: https://edpb.europa.eu/about-edpb/about-edpb/members_en
英国 Information Commissioner's Office (ICO, https://ico.org.uk/)
米国カリフォルニア州 California Privacy Protection Agency (https://cppa.ca.gov/)

12. 自動意思決定・プロファイリング

本アプリは、データ主体に法的効果または同様の重要な影響を与える、 自動意思決定(プロファイリングを含む)を行いません(GDPR Art. 22)。

13. 未成年者の個人情報

本アプリは、16 歳未満(または各管轄での該当する年齢未満)の方を 直接の対象としていません。マーチャントが未成年の顧客から個人情報を 取得する場合は、マーチャントの責任において適切な同意(GDPR Art. 8、 APPI 第 16 条等)を取得する必要があります。

14. 米国カリフォルニア州居住者の権利(CCPA/CPRA)

カリフォルニア州居住者は、過去 12 ヶ月間に取得された個人情報の カテゴリと利用目的について開示を求める権利、および個人情報の削除 を求める権利を有します。

当社は個人情報を 販売しません(CCPA における "Sell" の定義に該当 する取引なし)。また、行動ターゲティング広告のための 共有 ("Share") も行いません。CCPA 上、当社はマーチャントの "Service Provider"(CCPA §1798.140(v))として機能し、マーチャント から提供される個人情報は契約上の目的でのみ処理します。

15. ポリシーの変更

本ポリシーは、法令の改正やサービスの変更に応じて適宜更新されることが あります。重大な変更がある場合は、本ページ上部の「最終更新日」を改訂し、 マーチャントには Shopify App Store 経由または当該マーチャント宛の通知で 事前にお知らせします。

16. 苦情・問い合わせ窓口

本ポリシーまたは個人情報の取り扱いに関するお問い合わせは、以下までご連絡 ください。


改訂履歴

バージョン 日付 主な変更
1.0 2026-05-26 初版公開
1.1 2026-05-26 GDPR 法的根拠(Art. 6)明示、Article 14 通知整理、特殊カテゴリーデータ非取得明示(Art. 9)、Cookie 詳細、DPO 不在明示、Service Provider 役(CCPA)、データ別保存期間、監督当局リスト、サブプロセッサー異議申立て手順
1.2 2026-06-10 サブプロセッサーに Google LLC(Google Analytics 4・管理画面の利用状況分析のみ)を追加、クッキー節に分析 Cookie(管理画面限定)を追記