【シンプル領収書】アプリのセキュリティとデータの取扱について

【シンプル領収書】アプリのセキュリティとデータの取扱について

  • Reduced tax rate

  • simple

  • $3.99~/month

NEW
NEW
【シンプル領収書】アプリのセキュリティとデータの取扱について

App Features

  • Reduced tax rate
  • Easy to get started at $3.99/month
  • Of course, it supports Japanese
  • Simple and no unnecessary features
  • No unnecessary features make it easy to set up
  • Beautiful formatting supervised by a designer

*Note: Supports "new customer accounts".
Partial support for "traditional customer accounts." (Themes "Dawn/Rise/Studio" are supported.)

導入のお問い合わせの中で、セキュリティや個人情報の取り扱いに関するご質問を多くいただきます。領収書アプリは、注文情報やお客様の氏名・住所といった個人情報に触れる性質上、ご懸念をお持ちになるのは当然のことです。

本記事では、実際にいただいたお問い合わせをもとに、SAKUシンプル領収書がどのような設計でデータを扱っているかを整理してご説明します。

結論から申し上げると、当アプリはお客様の個人情報を自社サーバーに保存せず、領収書の閲覧もご本人に限定する設計になっています。

 

個人情報を自社サーバーに保存しない設計

最も重要な点として、SAKUシンプル領収書は、注文情報やお客様の個人情報を当アプリのデータベースに保存・蓄積しておりません。

領収書を生成・表示する際には、Shopifyから必要なデータを都度取得して処理しますが、処理に使ったデータはサーバー上に残らない構造になっています。つまり、当社側で個人情報を「保有する」「ためておく」状態が発生しません。

この結果、お客様の個人情報はShopifyのインフラ上に集約されます。世界基準のセキュリティ要件を満たすShopifyというプラットフォーム上でアプリが動作することで、当社が独自にデータを抱え込む場合に比べ、漏洩リスクを大きく抑えられる構造です。

 

領収書を見られるのは「ご本人」だけ

「他人の注文番号やURLを操作したら、別のお客様の領収書が見えてしまうのではないか」というご質問をよくいただきます。SAKUシンプル領収書では、これを防ぐために二つの仕組みを用意しています。

注文ページ(マイページ)からの表示については、URLを書き換えても、その注文を持つアカウントでログインしていなければ閲覧できないよう制御しています。ログイン状態に紐づいているため、第三者が他人の領収書を覗くことはできません。

メール通知に埋め込む形式の領収書については、メールという性質上ログインを前提にできないため、注文ID(order ID)と confirmation_number が一致した場合にのみ表示される仕組みにしています。この二つが揃わない限り、第三者が領収書にアクセスすることはできません。

メールへの埋め込み設定について詳しくは、こちらの記事をご覧ください。

 https://saku-apps.com/blogs/receipt/mail-setting

 

アプリが要求する権限(スコープ)について

SAKUシンプル領収書は、領収書の生成・表示に必要な範囲のみに権限を限定しています。

基本は参照(read)権限が中心です。書き込み(write)権限については、次の二つの目的に限って使用しています。

  • 会社ロゴのアップロードと表示のための write_files
  • 領収書の表示場所を設けるための write_app_proxy

重要な点として、お客様情報や注文そのものに対する書き込み権限は持っていません。アプリが注文やお客様のデータを書き換えることはありませんので、ご安心ください。

実際に取得しているスコープは以下のとおりです。

 read_all_orders, read_customers, read_files, read_orders,
write_app_proxy, write_files, read_draft_orders, read_locales

 

Shopify App Storeの審査を通過しています

SAKUシンプル領収書は、Shopify App Storeのレビュープロセスを通過して公開されています。これは、Shopifyによるセキュリティ・プライバシー要件のチェックを受けていることを意味します。アプリの権限やデータの扱いが、第三者であるShopifyの基準に沿っていることの一つの裏付けとなります。

 

プライバシーマーク・ISMSなどの第三者認証について

プライバシーマークやISMSといった第三者認証については、現時点では取得しておりません。

これは小規模事業者として運営しているためですが、より本質的には、上記のとおり個人情報を自社環境に保有・蓄積しない設計を採用していることが理由です。認証取得に伴う運用コストと、設計上のリスクの所在を勘案したうえでの判断です。

社内のセキュリティ審査などで認証の有無を確認される場合は、本記事でご説明したデータ取り扱い構造を判断材料としてご活用いただければ幸いです。

 

プライバシーポリシー

弊社のプライバシーポリシーは下記をご参照ください。

https://saku-apps.com/policies/privacy-policy

 

ご不明な点があれば

導入前のセキュリティ確認や社内審査にあたって、追加でご確認が必要な事項がございましたら、お気軽にお問い合わせください。御社の審査・検討の材料となる情報を、できる限りご提供いたします。

お問い合わせはこちらから。

https://saku-apps.com/pages/contact

 
Read more