Xtheme - 定期購入 プライバシーポリシーXtheme - Subscriptions Privacy Policy

1. 本ポリシーの対象となる機能（当アプリの範囲）1. What This App Does (Scope of This Policy)

• Shopify 管理画面（埋め込みアプリ）: 定期契約の管理、販売プラン、メール通知テンプレート、請求スケジュール（タイムゾーン・時刻）等の設定、アプリの料金プラン選択、その他の運用設定。Shopify admin (embedded app): Managing subscription contracts, selling plans, email notification templates, billing time zone / schedule settings, app plan selection, and other merchant settings.
• ストアフロント・顧客向け: テーマアプリ拡張のブロック、App Proxy 経由のルート（例: /apps/subscriptions/...）、新しい顧客アカウント等における定期購入の表示・操作（有効な場合）。Storefront & customer-facing features: Theme app extension blocks, App Proxy routes (e.g. under /apps/subscriptions/...), and customer account / subscription management flows where enabled.
• Shopify データに連動した運用: 定期契約や請求試行などに関する Webhook、ダニング・リマインダー、設定に応じた解約アンケートの保存。Operations driven by Shopify data: Webhooks for subscription contracts and billing attempts, dunning and reminder logic, and optional cancellation survey responses you configure.
• トランザクション通知: ストアオーナー向け、および設定に応じたエンド顧客向けのメール。送信にはメール配信サービス Resend を利用し、本文は Shopify から取得した情報とストアのテンプレート設定に基づき生成します。ストアオーナーが実行する一部操作では、Shopify 自身のメール API（例: 支払い手段更新案内メール）を用い、当該内容が当社の配信事業者を経由しない場合があります。Transactional communications: Email notifications to merchants and, where you enable them, to end customers. These are sent using our email delivery provider (Resend) and content built from data retrieved via Shopify; some merchant-initiated actions may use Shopify’s own email APIs (e.g. payment method update emails) without passing message content through our provider.

当アプリの利用料金: アプリの料金プランにかかる支払いは Shopify の課金システム（Shopify Billing API） を通じて処理されます。クレジットカード番号等の決済詳細を当アプリが直接預かるものではありません（Shopify の規約に従います）。Fees for the App: Charges for using the App’s pricing plans are processed through Shopify’s billing system (Shopify Billing API) in accordance with Shopify’s terms. We do not receive or store your full payment card details for those charges; Shopify handles payment processing.

アクセス解析（Google アナリティクス）: 当アプリは、Shopify 管理画面内の埋め込みアプリ（および同一の計測タグを設置するその他の画面）において、Google アナリティクス（例: Google アナリティクス 4）を利用する場合があります。ストアオーナー・管理者の利用状況の把握、品質・パフォーマンスの改善等の目的です。Google により、疑似識別子、端末・ブラウザ情報、おおよその地域、操作に関するデータ 等が処理されることがあります。詳細は Google のプライバシー ポリシー および Google のサービスを使用するサイトやアプリから収集した情報の Google による使用 をご確認ください。ブラウザや端末の設定、Google のオプトアウト手段等により、一定の制御が可能な場合があります。Analytics: We use Google Analytics (e.g. Google Analytics 4) in the embedded Shopify admin experience (and any other App surfaces where we deploy the same measurement tag) to understand how merchants use the App (e.g. feature usage, performance, and quality improvement). Google may process pseudonymous identifiers, device or browser information, approximate location, and interaction data as described in Google’s documentation. For how Google uses data from sites and apps that use Google services, see Google’s Privacy Policy and How Google uses information from sites or apps that use our services. You may be able to control certain collection through your browser or device settings and Google’s opt-out tools where available.

当アプリで行わないこと: 第三者向け広告配信やアフィリエイト成果帰属のために、広告ピクセル、アフィリエイトツール、Google Ads API 等を当アプリに組み込むことは行いません。個人情報の「販売」は行いません。What we do not do in this App: We do not integrate advertising pixels, affiliate marketing tools, or the Google Ads API (or similar products) into the App for third-party advertising or affiliate attribution. We do not sell personal information.

2. 対象者2. Who This Policy Applies To

• ストアオーナー・管理者: Shopify 管理画面から当アプリをインストール・利用する方。Merchants: Store owners and staff who install and use the App in the Shopify admin.
• エンド顧客: ストア上で定期購入機能を利用するお客様。当アプリはストアオーナーに代わり、適用法における処理者（またはこれに相当する地位）として、本ポリシーに記載の目的でのみ当該データを処理します。エンド顧客の個人データについては、原則としてストアオーナーがデータ管理者（コントローラー）となります。End customers: Shoppers who interact with subscription features on a merchant’s store. We process their personal data only on behalf of the merchant, as a processor (or similar role under applicable law), and only as described in this policy. The merchant is typically the controller of end-customer personal data.

3. 収集する情報3. Information We Collect

3.1 アクセススコープ（権限）3.1 Access scopes (Shopify permissions)

インストール時に、Shopify の OAuth 画面に表示されるアクセススコープをお客様が承認します。承認されたスコープに応じ、ストア・ユーザー情報、注文、定期契約・請求サイクル、顧客（保護された顧客データを含み得ます）、商品・販売プラン・割引、メタオブジェクト・翻訳、ロケール・所在地・テーマ、Customer Account API 関連データ等にアクセスすることがあります。スコープ名は変更される場合があります。最新の権限はインストール画面に表示されます。When you install the App, you approve access scopes shown on Shopify’s OAuth screen. We request only what we need to provide subscription management. Depending on the scopes granted, we may access categories of data such as: shop and user account information; orders (including subscription-related orders); subscription contracts and billing cycles; customers and (where enabled) protected customer data as defined by Shopify; products, variants, selling plans, and discounts; metaobjects and translations; locales, locations, themes; and Customer Account API–related data where your store uses features that require it. The exact scope names may change if Shopify updates them; the install screen lists the current permissions.

3.2 Shopify API を通じて受け取る情報3.2 Information we receive through Shopify’s APIs

お客様が承認した権限の範囲で、Shopify からデータを受け取り処理します。例えば次が含まれます。We receive and process data from Shopify in line with the permissions you approve. This may include:

• ストア・アカウント: ストアドメイン、ショップ ID、管理者のユーザー ID、氏名、メール、ロケール等。Shop and account: Store domain, shop ID, and (for authenticated sessions) merchant user ID, name, email, and locale.
• 定期購入・注文: 定期契約、請求サイクル、関連注文、ステータス・支払い試行情報。Subscriptions and orders: Subscription contracts, billing cycles, orders linked to subscriptions, and related status and payment attempt information.
• 顧客: 定期購入運用に必要な範囲の顧客 ID、連絡先・住所、支払い方法情報（protected customer data の要件に従います）。Customers: Customer IDs, contact and address details, and payment method information to the extent necessary to provide subscription management, billing, and customer-facing features, in accordance with Shopify’s protected customer data requirements where applicable.
• 商品・カタログ: 商品・バリエーション、販売プラン、割引、メタオブジェクト等。Products and catalog: Product and variant data, selling plans, metaobjects, discounts, and related configuration.
• その他: 所在地、テーマ・ロケール、翻訳等。Other: Store locations, theme/locale settings, and translations, as needed for the App’s features.

これらは当アプリの運用（定期購入の表示、請求フロー、トランザクション通知、ストア設定の保存等）にのみ使用します。We use this information solely to operate the App (e.g. displaying subscriptions, processing billing flows, sending transactional notifications, and supporting merchant settings).

3.3 当方システムに保存する情報（PostgreSQL データベース）3.3 Information we store in our systems (PostgreSQL database)

PostgreSQL データベース（クラウド上の当社インフラとともにホスト）に、例えば次の区分で保存します。We store the following categories in our PostgreSQL database (hosted with our cloud infrastructure):

• セッション・認証: ストアドメイン、OAuth アクセストークン、ログイン中の管理者のユーザー ID、氏名、メール等。Session and authentication: Shop domain, OAuth access tokens, and (for logged-in merchant users) user ID, name, email, and similar account identifiers, to secure access and provide the App.
• アプリ設定: 請求スケジュール（タイムゾーン、時刻）等。App configuration: Store-level settings such as billing schedule (time zone, hour) managed in the App.
• 運用記録: 定期契約 ID、請求サイクル番号、ダニングの失敗理由、プレオーダーリマインダー送信記録、契約に紐づく内部メモ（ストア側が入力したテキストが含まれる場合があります。不要な個人情報の記載はお控えください）。Operational records: Subscription contract IDs, billing cycle indices, dunning failure reasons, pre-order reminder send records, and internal notes tied to contracts (merchant-entered text may appear here; avoid entering unnecessary personal data).
• 解約アンケート（任意）: 利用する場合、解約理由コードおよび任意の自由記述を契約単位で保存することがあります。自由記述には個人に関する内容が含まれ得ます。Cancellation survey (optional): If you use the feature, we may store survey reason codes and optional free-text detail per contract; free text could include personal opinions—use only what you need for your business.

エンド顧客の氏名・メール・住所等を、継続的な顧客台帳として当方データベースに蓄積することは行いません。 必要なときに Shopify API から取得し、当該処理またはメール送信に使用します（3.6・第 8 節）。We do not maintain a long-term customer CRM of end-customer names, emails, or addresses in our database; such data is retrieved from Shopify when needed for a request or email send and handled as described in sections 3.6 and 8.

個人データの販売は行いません。ストアオーナーおよびエンド顧客のデータを、当アプリ以外の自社広告や無関係なプロファイリングに利用しません。We do not sell personal data. We do not use merchant or end-customer data for our own advertising or for profiling unrelated to the App.

3.4 アクセス解析（Google アナリティクス）3.4 Analytics (Google Analytics)

Shopify 管理画面内で当アプリを利用する際（および計測タグを有効にしたその他の画面）、Google LLC 等を通じて Google アナリティクスにより利用状況が取得・分析される場合があります。アクセス数の把握、不具合分析、機能改善等に利用します。Cookie、ピクセル、アプリインスタンス識別子 等が用いられることがあります。当アプリ内での第三者広告の表示を目的とした利用は行いません。GDPR・英国 GDPR 等で非必須の解析に同意が必要な場合、バナー、Shopify 側の設定等、適用法に沿った方法で同意を取得する実装とします。When you use the App in the Shopify admin (and on any other screens where we enable the tag), Google LLC (and its affiliates) may collect and process usage data through Google Analytics on our behalf. This helps us measure traffic, diagnose technical issues, and improve the App. Depending on your browser, device, and Google’s configuration, this may involve cookies, pixels, app instance identifiers, or similar technologies. The information is generally aggregated or pseudonymous and is not used by us to show third-party ads inside the App. Where the GDPR, UK GDPR, or similar laws require consent for non-essential analytics, we will obtain consent through a mechanism that meets applicable requirements (e.g. a consent banner or Shopify’s controls, as implemented).

3.5 お客様（ストアオーナー）から直接受け取る情報3.5 Information we collect directly from you (merchants)

• お問い合わせ: メールや Partner ダッシュボード等での連絡内容および連絡先。Contact and support: If you contact us (e.g. by email or through the Partner Dashboard), we may keep your contact details and the content of your messages to respond and provide support.
• 利用ログ: ストアドメイン、日時、機能利用状況等が含まれるリクエスト・エラーログ。App usage: We may generate logs (e.g. request logs, error logs) that can include shop domain, timestamps, and feature usage. These are used for operation, security, and troubleshooting.

当アプリのインストール・利用に必要な範囲を超えて、追加の個人データの提供を求めることはありません。We do not require you to provide extra personal data beyond what is necessary to install and use the App.

3.6 エンド顧客に関する情報3.6 Information about merchants’ customers (end customers)

• Shopify 経由: ストアフロント・顧客アカウント等で必要な範囲で Shopify API を参照します。customers/data_request および customers/redact に対応します。Via Shopify: End-customer data is accessed only through Shopify’s APIs when needed to provide subscription management (e.g. showing subscriptions on the storefront or in the customer account). We comply with Shopify’s mandatory compliance webhooks (customers/data_request, customers/redact). We do not retain end-customer personal data as described in section 3.3.
• トランザクションメール: 通知送信中、宛先メールアドレスおよびメール本文が配信事業者（Resend）上で処理されます。Transactional email: When sending customer or merchant notifications, email addresses and message content may be processed by Resend solely to deliver the message. Content is composed from Shopify data and your template settings.
• Cookie・トラッキング（ストアフロント）: ストア来訪者に対する広告やクロスコンテキスト行動広告目的の Cookie は使用しません。ストア向け機能に必要なセッション・セキュリティ・表示設定に限定します。将来、顧客向け画面に計測を追加する場合は、本ポリシーを改めて更新します。Cookies and tracking (storefront): We do not use cookies or similar technologies on store visitors for advertising or cross-site behavioural advertising. Storefront-facing features use only what is necessary for session, security, or display preferences, except where we explicitly add measurement on a customer-facing surface in the future—in that case we will update this policy to describe it.
• Cookie・トラッキング（管理画面・解析）: 3.4 に記載のとおり、ストアオーナー・管理者が埋め込みアプリを利用する際、Google アナリティクスが Cookie 等を使用する場合があります。Cookies and tracking (admin / analytics): As described in section 3.4, Google Analytics may use cookies or similar technologies when merchants use the embedded admin App.

3.7 児童に関する情報3.7 Children’s data

当アプリは児童を主な対象とするものではありません。13 歳未満（または適用法の年齢）の方から故意に個人情報を収集しません。The App is not directed at children. We do not knowingly collect personal information from anyone under 13 (or the age required by applicable law). If you believe we have collected such information, contact us and we will take appropriate steps.

4. 情報の利用目的4. How We Use the Information

当アプリの提供と無関係な自社マーケティングや第三者広告プロファイリングには利用しません。エンド顧客に対する法的效果等を生じさせる自動的な意思決定について、人間による確認なしにストアの設定を超えて行うものではありません。定期購入・請求の中核的処理は Shopify およびストアのルールに従います。We do not use merchant or end-customer data for purposes unrelated to the App (e.g. we do not use it for our own marketing or for building profiles for third-party advertising). We do not use automated decision-making that produces legal or similarly significant effects solely based on automated processing for end customers in a way that would replace human review without your configuration; core billing and subscription actions follow Shopify and your store rules.

カリフォルニア州・米国各州: 「販売」「共有」に該当する取扱いや、クロスコンテキスト行動広告には利用しません。GPC 等の信号について、適用法が求める範囲で対応します。California / U.S. state privacy: We do not “sell” or “share” personal information as those terms are defined under the CPRA and similar state laws in connection with the App, and we do not use personal information for cross-context behavioral advertising through the App. Where required, we honor opt-out signals such as the Global Privacy Control (GPC) for applicable browser or device signals relating to “sale”/“sharing” as defined by law.

5. 法的根拠（EEA・英国等）5. Legal bases (EEA, UK, and similar jurisdictions)

契約の履行、正当な利益、法的義務等が根拠となり得ます。エンド顧客データを処理者として扱う場合は、ストアオーナーの指示および Shopify 上の関係に従います。Where the GDPR or UK GDPR applies, we rely on appropriate bases such as: performance of a contract with you (providing the App); legitimate interests (security, improvement, and support, balanced against your rights); and legal obligation where we must retain or disclose data. Where we act as processor for end-customer data, we process such data on documented instructions from the merchant (controller), as reflected in Shopify’s platform terms and your use of the App.

6. データの保存期間6. Data Retention

• セッション・トークン: 認証に必要な期間。Sessions and tokens: Retained only as long as needed for authentication and secure use; session data may be removed when you log out or when the session expires.
• ストア・アプリ設定: インストール中。アンインストール後は shop/redact 等に従い削除処理。Shop and app configuration: Retained while the App is installed; after uninstall, we process deletion in response to Shopify’s shop redact webhook and our internal retention rules.
• 運用・ログ: 運用・セキュリティ・法令に必要な期間。Operational and log data: Retained only as long as necessary for operation, security, and legal compliance (e.g. in line with applicable law or backup cycles).
• エンド顧客データ: 3.3 の方針のとおり。顧客データ請求・顧客削除 Webhook に対応します。End-customer data: We do not store end-customer personal data as an ongoing database of customer records; when we receive customer data request or customer redact webhooks from Shopify, we respond accordingly.

ストアオーナー様の個人データの削除・訂正のご要望は、適用法の範囲で第 11 節までご連絡ください。You may contact us to request deletion or correction of merchant personal data we hold, subject to applicable law.

7. データの保管場所と国際移転7. Data Location and International Transfers

データベース、メール配信（Resend）、Google アナリティクス 等により、日本国外（米国等）で処理される場合があります。域外移転は、十分性認定、標準契約条項等、適用法に従います。保護措置の詳細はお問い合わせください。Our systems (including databases, Resend, and Google Analytics, which may process data in the United States or other regions) may be hosted outside your country (including outside the European Economic Area or the UK). Where we transfer personal data across borders, we do so in compliance with applicable law (e.g. adequacy decisions, standard contractual clauses, or other approved mechanisms). If you are in the EEA, UK, or another jurisdiction with specific transfer rules, you may contact us for more detail on the safeguards we use.

8. 共有と第三者8. Data Sharing and Third Parties

• Shopify: API・インフラ経由の送受信。Shopify: We receive and send data via Shopify’s APIs and infrastructure in accordance with Shopify’s terms and your store’s configuration.
• 委託先: クラウドホスティング・データベース、トランザクションメール配信（Resend）、Google アナリティクス（Google LLC 等）（3.4）等。契約・秘密保持・委託の範囲で処理します（事業者ごとの利用規約・プライバシー通知もご確認ください）。一覧・詳細はお問い合わせに応じ開示できる範囲で対応します。Service providers (subprocessors): We use cloud hosting and database services, Resend for transactional email delivery, and Google (for Google Analytics) as described in section 3.4. They process data on our instructions (where applicable) and under confidentiality and data protection commitments, subject to their own terms and privacy notices. We can provide more information about our subprocessing practices upon request.
• 法令・安全: 法令・裁判所・当局の要請に基づく開示等。Legal and safety: We may disclose data where required by law, court order, or government request, or to protect the rights, safety, or property of our users or the public.

第三者へのマーケティング目的での販売・貸与は行いません。We do not sell or rent personal data to third parties for their marketing or other unrelated purposes.

9. お客様の権利（ストアオーナー・エンド顧客）9. Your Rights (Merchants and End Customers)

アクセス、訂正、削除、処理の制限、データポータビリティ、同意の撤回、監督当局への申立て等、地域により認められる権利があります。Depending on your location, you may have rights to:

ストアオーナーは第 11 節までご連絡ください。エンド顧客はまずストアへお問い合わせください。Merchants may contact us using the details in Section 11. End customers should contact the merchant’s store in the first instance, as the merchant is the controller for store customer data; we support the merchant in responding as required by law and Shopify’s compliance processes.

日本（APPI）: 保有個人データに関する開示・訂正・利用停止等のご請求は、第 11 節のメール宛にて受け付けます。本人確認のため手続をお願いする場合があります。法令により認められる場合、開示に手数料をいただくことがあります。Japan (APPI): For requests regarding retained personal data under the APPI (e.g. disclosure, correction, cessation of use), contact us at the email in Section 11. We may verify your identity before responding. We may charge a fee for disclosure where permitted by law.

10. 安全管理措置10. Security

TLS による暗号化、アクセス制限、安全な保存等の技術的・組織的措置を講じます。方針・取扱規程の整備、権限の限定、従業者教育・秘密保持、機器・媒体の管理、不正アクセス対策等、個人データの漏えい等を防止するため、事業の規模に応じた安全管理措置を実施します。完全な保証はできません。We implement appropriate technical and organisational measures to protect personal data against unauthorised access, alteration, disclosure, or destruction, including secure transmission (e.g. TLS), access controls, and secure storage. At a high level, these include: documented handling rules; access limitation to systems and databases; employee confidentiality expectations; protection of devices and media; and monitoring and protection of systems against unauthorised access. No method of transmission or storage is 100% secure; we strive to protect your data in line with industry practice and legal requirements.

12. 日本の個人情報保護法に基づく補足表示Supplemental notices (Japan — APPI)

事業者の名称・所在地等Business operator name and address

個人情報の取扱いに関するお問い合わせは、上記「お問い合わせ窓口」までご連絡ください。法人の正式名称・代表者氏名については、運営者の公式サイト等で別途公表している内容がある場合は、そちらをご参照ください（本リポジトリの公開文面のみでは特定できないため、公開ページに合わせて追記してください）。For inquiries about the handling of personal information, please contact us using the “Contact Us” section above. If our legal entity name and representative are published on our official website or corporate disclosures, please refer to those sources.

個人情報保護管理者Personal information protection manager

個人情報の取扱いに関する相談は、上記「お問い合わせ窓口」が対応します。Consultations regarding the handling of personal information are handled through the contact point listed under “Contact Us” above.

保有個人データの利用目的Purposes of use of retained personal data

第 3 節から第 4 節に記載のとおりです。目的外利用はしません。As described in Sections 3 and 4. We do not use personal data for purposes other than those stated.

第三者提供Third-party provision

第 8 節に記載のとおりです。法令に基づく場合を除き、事前の同意なく第三者に個人データを提供することはありません（委託先への提供は委託の範囲内で行います）。As described in Section 8. Except where required by law, we do not provide personal data to third parties without prior consent (provision to subprocessors is within the scope of outsourcing).

開示等の手続Procedures for disclosure and other requests

開示等のご請求は、第 11 節の連絡先にメールにてお申し出ください。本人確認のため、運転免許証等の提示や、申請書の提出をお願いする場合があります。詳細はご連絡時にご案内します。Please email the contact in Section 11 to request disclosure or other APPI rights. We may ask you to verify your identity (e.g. with official ID) or submit a request form. We will explain the steps when you contact us.

認定個人情報保護団体Accredited personal information protection organizations

当アプリの運営者は、認定個人情報保護団体の対象事業者ではありません（該当する場合）。The App operator is not a covered business of an accredited personal information protection organization (unless otherwise applicable).

13. ポリシーの変更12. Changes to This Policy

本プライバシーポリシーは随時更新することがあります。更新版は「最終更新日」を付して掲載し、法令で求められる場合は重要な変更についてお知らせします。We may update this Privacy Policy from time to time. We will post the updated version with a new “Last updated” date and, where required by law, notify you of material changes. Continued use of the App after changes constitutes acceptance of the updated policy.

14. Shopify とのコンプライアンス13. Compliance With Shopify

当アプリは、customers/data_request、customers/redact、shop/redact に登録し、Shopify のドキュメントおよび本ポリシーに従って処理します。We subscribe to Shopify’s mandatory compliance webhooks (customers/data_request, customers/redact, and shop/redact) and handle them in accordance with Shopify’s documentation and this policy. End-customer personal data is not stored in our systems as an ongoing customer database as described above; we access such data through Shopify’s APIs when necessary to provide the App and respond to compliance requests.