プライバシー・データ処理ポリシー

Amazon情報取扱方針 (Data Protection Policy)

最終更新日: 2026-06-04
版数: v1.0
適用範囲: Re:zA Works 全機能
次回レビュー期限: 2026-12-04

1. 目的と適用範囲

本ポリシーは、当社が Amazon Marketplace で出品事業を遂行するにあたり、Amazon Selling Partner API (SP-API) を通じて取得・処理する 購入者個人情報および取引関連情報の取扱方針を定めるものです。Amazon の Acceptable Use Policy / Data Protection Policy に準拠する形で運用しています。

2. 収集する情報 (Collection)

当社は、業務遂行に必要な範囲で以下の情報のみを Amazon SP-API を通じて取得します。

  • 注文情報: 注文ID、商品SKU、数量、金額、購入日時、注文ステータス
  • 配送先個人情報 (PII): 購入者氏名、配送住所、電話番号
  • 在庫・販売情報: 在庫数、価格、販売手数料、財務取引情報
  • 適格請求書発行用: 法人購入者の法人名・所在地 (該当する場合のみ)
  • 商品マスター情報: ASIN、商品名、ブランド、画像URL等 (公開情報)

以下の情報は 取得しません: 購入者のメールアドレス、支払い情報 (クレジットカード番号等)、過去の購買履歴のクロス分析データ、ギフトメッセージの全文。

3. 処理方法 (Processing)

取得した情報は、以下の目的に限定して処理します。

  • FBM注文の配送業務 (送り状発行・配送会社への引渡)
  • 在庫管理・発注推奨・自動価格改定
  • 売上分析・粗利計算・キャッシュフロー予測
  • 法令に基づく帳簿保存と税務申告
  • 適格請求書 (インボイス) の発行
  • 購入者からの問い合わせ対応

マーケティング目的での分析、購入者プロファイリング、ダイレクトメッセージ送信、他の Amazon 出品者への提供、 第三者への販売は 一切行いません

4. 保存方法 (Storage)

  • 保存場所: 日本国内のVPS上のPostgreSQLデータベース
  • PIIの暗号化: 列単位 AES-256-GCM (Authenticated Encryption)
  • 通信路の暗号化: TLS 1.2以上
  • パスワード: bcryptハッシュ化保存 (cost factor 12)
  • 暗号化鍵の管理: 環境変数として保管 (chmod 600)、年1回ローテーション
  • バックアップ: 暗号化バックアップを別媒体に保管
  • 監査ログ: 12ヶ月以上保持

5. 使用とアクセス制御 (Use)

アクセスは、メールアドレス + パスワード + TOTP多要素認証 (MFA) の3要素認証で本人確認した上で、 ロールベースアクセス制御 (RBAC) により職務に応じた範囲のみに限定します。

  • ADMIN (経営責任者): 全機能 + 設定変更権限
  • STAFF (運用担当): PII閲覧可、設定変更不可
  • SUPPLIER (契約配送代行業者): 自社担当注文のPIIのみ閲覧可

全PIIアクセスは監査ログ (誰が・いつ・どのIPから・何を) として12ヶ月以上保持し、不正アクセスを追跡可能としています。

6. 第三者との共有 (Sharing)

当社は、以下の業務委託先に対してのみ、業務遂行に必要最小限の項目を共有します。すべて秘密保持契約 (NDA) または個人情報保護契約を締結済みです。

  • 配送代行業者: 自社担当注文の配送先氏名・住所・電話 (Web画面参照)
  • 配送会社 (ヤマト運輸・佐川急便等): 配送ラベル発行に必要な氏名・住所・電話 (TLS送信)
  • 顧問税理士・経理代行: インボイス制度対応のため法人購入者の法人名・所在地 (暗号化PDF)

上記以外の第三者への販売・移転・マーケティング目的の利用は 一切行いません

7. 廃棄 (Disposal)

  • 配送先PII (氏名・住所・電話): 出荷完了後30日以内に自動削除 (日次cronで実施)
  • 送り状・納品書PDF: 出荷完了後30日以内に物理削除
  • 注文台帳・適格請求書: 法令義務 (法人税法・消費税法) に基づき7年間保存後に削除
  • 監査ログ: 12ヶ月経過分を日次cronで自動削除
  • 退職者・契約終了業者のアカウント: 即時無効化、30日後に完全削除
  • 暗号化バックアップ: 30日経過分を自動廃棄

8. セキュリティ管理体制

  • ネットワーク防御: ファイアウォール (ufw)、SSH公開鍵認証のみ、fail2ban
  • 監視・アラート: 10分毎の異常検知 (ブルートフォース・IPスキャン・権限昇格試行)
  • 脆弱性管理: 月次自動スキャン、Critical=7日 / High=30日 のSLAで修正
  • リリース管理: 各リリース前に脆弱性スキャン実施、Critical/High検出時はリリース停止
  • 変更管理: 4段階ロール (Developer/Reviewer/Approver/Deployer) で承認プロセスを規定

9. インシデント対応

セキュリティインシデント (情報漏洩・不正アクセス・脆弱性悪用等) を検知した場合、 インシデント対応計画 (IRP) に従い、検知から 24時間以内 に Amazon Security (security@amazon.com) に通知します。 PII漏洩の場合は個人情報保護委員会への報告および本人通知も行います。

10. 開示・訂正・削除請求

個人情報保護法に基づく開示・訂正・削除請求は、下記窓口までご連絡ください。 本人確認を行った上で、合理的な期間内に対応いたします。

11. ポリシーの改訂

本ポリシーは6ヶ月ごとに見直し、法令改正・サービス変更により改訂される場合があります。最新版は本ページにて公開します。

お問い合わせ窓口

個人情報の取扱いに関するお問い合わせは下記までご連絡ください。

改訂履歴

日付変更内容
2026-06-04初版公開
← トップに戻る