プライバシーポリシー
プライバシーポリシー
CARRY THINGS / エムアールエム株式会社
| 制定日 | 2024年12月3日 |
|---|---|
| 最終更新日 | 2026年5月13日 |
| バージョン | 1.1 |
はじめに
エムアールエム株式会社(以下「当社」)は、CARRY THINGS(https://carrythings.com)を運営するにあたり、お客様および取引先の皆様の個人データを適切に取り扱うことを社会的責任と考えています。
本プライバシーポリシー(以下「本ポリシー」)は、当社がどのように個人データを取得・利用・管理・提供するかを説明するものです。本サービスをご利用いただくことで、本ポリシーへの同意をいただいたものとみなします。
本ポリシーに同意いただけない場合は、本サービスのご利用をお控えください。なお、特定の処理についての同意はいつでも撤回できます(第13条参照)。撤回によって、撤回前の処理の適法性は影響を受けません。
第1条 準拠法令
当社は、以下の法令・ガイドラインを遵守して個人データを取り扱います。
- 個人情報の保護に関する法律(個人情報保護法、以下APPI)および同施行令・施行規則
- 個人情報保護委員会が策定するガイドライン
- 欧州一般データ保護規則(GDPR)および英国GDPR(EU域内・英国居住者のデータを処理する場合)
- その他適用のある国内外の関連法令
法令等の改正に伴い、本ポリシーを随時改定することがあります。
第2条 事業者情報
| 会社名 | エムアールエム株式会社 |
|---|---|
| ブランド名 | CARRY THINGS |
| 所在地 | 〒150-0041 東京都渋谷区神南1-9-10 番匠ビル3F |
| 代表取締役 | 宮永 卓 |
| プライバシー問合せ窓口 | privacy@carrythings.com |
| データ保護責任者(DPO) | Yashiro(privacy@carrythings.com) |
| EU/UK域内代理人(GDPR Art.27) | 現在EU・英国向け販売を行っていないため設置していません。EU/UK向け販売開始時に指名し記載します。 |
第3条 取得する個人データ
当社は、サービス提供のために以下の個人データを取得・保管します。
(1)お客様から直接いただく情報
- 氏名、住所(請求先・配送先)、電話番号、メールアドレス
- 生年月日、性別
- アカウント情報(ユーザー名、パスワード、セキュリティ情報)
- クレジットカード・デビットカードその他の決済情報
- 購入履歴、返品・交換履歴、ウィッシュリスト情報
- お問い合わせ・カスタマーサポートとの通信内容
- レビュー・アンケート等の投稿情報
- 職業・役職・会社名(B2B取引の場合)
(2)自動的に収集する情報
- IPアドレス、デバイスID・ブラウザ情報・OS情報
- Cookie・類似技術により収集する閲覧履歴・行動履歴(詳細は第10条)
- サービスへのアクセス方法・日時・ページ遷移
- 位置情報(GPS等、お客様が許可した場合)
(3)第三者から取得する情報
- 決済代行業者・配送業者から取得する取引情報
- Shopify Inc.が提供するデータ
- マーケティングパートナー・SNSプラットフォームから取得する情報(連携を選択した場合)
(4)匿名加工情報・仮名加工情報
当社は現時点において、匿名加工情報(特定の個人を識別できないよう加工した情報)を作成していません。今後作成する場合は、APPIおよびガイドラインに従い安全管理措置を講じたうえで公表します。
仮名加工情報は、統計分析・サービス改善等の目的で利用する場合があります。法令に基づき管理し、第三者には提供しません。
(5)未成年者のデータ
未成年のお客様が本サービスを利用し、個人データを提供される場合は、必ず親権者等の法定代理人の同意を得たうえでご利用ください。当社は、法定代理人の同意がない未成年者から意図的に個人データを収集することはありません。
万が一、法定代理人の同意なく未成年者のデータが提供されたことが判明した場合は、該当する保護者の方は privacy@carrythings.com までご連絡ください。当社は速やかに当該データを削除する等の適切な措置を講じます。
適用される年齢基準は以下のとおりです。
| 準拠法 | 未成年の定義・同意要件 |
|---|---|
| 日本法(民法) | 18歳未満(2022年4月改正) |
| GDPR(EU・英国) | 原則16歳未満は親権者同意が必要(加盟国によって13歳まで引き下げ可) |
| 米国COPPA | 13歳未満は親権者同意が必要 |
当社は、EU・英国・米国向け販売を行う場合は上記各基準を遵守します。GDPR対象地域のユーザーについては、16歳未満のお客様の個人データを処理する際に保護者の検証可能な同意を取得します。
第4条 個人データの利用目的
当社は、取得した個人データを以下の目的の範囲内で利用します。目的外の利用は行いません。
サービスの提供・運営
- 会員登録・ログイン・アカウント管理
- 商品・サービスの販売および発送手配
- 決済処理・課金計算・返金対応
- 注文・返品・交換・キャンセルの処理
- ポイント・クーポンサービスの提供
- お客様へのサービス関連通知(配送状況等)
カスタマーサポート・アフターサービス
- 問い合わせ・苦情・異議申立への対応
- 購入後のフォローアップ
マーケティング・広告
- メールマガジン・DM・プッシュ通知の配信(同意取得ベース)
- 行動履歴・購買履歴に基づくパーソナライズド広告の配信
- キャンペーン・アンケートの実施
サービス改善・開発
- マーケティング調査・統計資料の作成
- 新サービス・新機能の研究開発
- ウェブサイトのパフォーマンス改善
法的義務・安全管理
- 法令上の義務の履行(税務・会計関連等)
- 不正アクセス・不正利用・詐欺の検知・防止
- 契約上の権利行使および義務履行
- 規約違反の調査・対応
その他の業務
- 採用活動
- 業務提携・M&A等の検討
- 委託元からの業務遂行
必要な情報をご提供いただけない場合、当社サービスの一部または全部をご利用いただけなくなる場合があります。
第5条 個人データの保持期間
当社は、個人データを利用目的の達成に必要な期間のみ保管します。保持期間は以下の要素を考慮して決定します。
- アカウントの維持・サービス提供に必要な期間
- 法令(税務関連:7年、電子商取引関連等)により定められた保存義務期間
- 紛争解決・法的請求対応に必要な期間
- 適用契約・ポリシーの執行に必要な期間
不要になった個人データは、安全な方法で消去または匿名化します。
第6条 Shopifyとの関係
本サービスはShopify Inc.(カナダ)によってホストされており、当社はShopifyのプラットフォームを利用してサービスを提供しています。
お客様がサービスを利用する際に提供された情報は、サービス提供・改善のためにShopifyおよびその関連会社と送信・共有されます。Shopifyはこれらのデータ処理について独立した責任を負います。
Shopifyがお客様の個人データをどのように取り扱うか、またShopifyに対する権利行使については以下をご参照ください。
- Shopify消費者向けプライバシーポリシー:https://www.shopify.com/legal/privacy/app-users
- Shopifyプライバシーポータル(権利行使窓口):https://privacy.shopify.com/en
また当社は、本サービス・他の販売者・Shopify全体でのお客様のやりとりに基づいたShopifyの一部強化機能を使用しており、これによりお客様に合わせたショッピング体験を提供しています。
第7条 個人データの第三者提供
当社は、お客様の同意なしに個人データを第三者に開示しません。ただし以下の場合を除きます。
(1)業務委託先への提供
サービス提供のために、以下のような委託先に個人データを提供することがあります(第11条の委託先一覧参照)。
- 決済代行業者
- 配送・フルフィルメント業者
- ITシステム管理・クラウドストレージ事業者
- マーケティング・広告配信事業者
- カスタマーサポートシステム提供事業者
- データ分析・解析ツール提供事業者
(2)マーケティングパートナーへの提供
当社はShopifyのパートナープログラムを通じ、他の販売者・ウェブサイトでのオンライン活動に基づくパーソナライズド広告配信をサポートするために、マーケティングパートナーに個人データを提供することがあります。
お客様はターゲティング広告目的での個人データの販売・共有からオプトアウトする権利を有します(第13条参照)。
(3)グループ会社(共同利用)
詳細は第8条をご参照ください。
(4)法令等に基づく場合
- 裁判所・行政機関・法執行機関からの正当な請求への対応
- マネーロンダリング等の違法行為への対応
- 当社・ユーザー・第三者の権利・財産・安全の保護のために必要な場合
- 企業合併・事業譲渡等の事業取引に関連する場合(適用法に従い通知します)
(5)お客様の指示による場合
ソーシャルログイン連携、外部サービスとの連携をお客様が選択した場合など、お客様の指示・同意に基づき開示します。
第8条 個人データの共同利用
当社は、以下の条件でグループ会社と個人データを共同利用します。
| 共同利用する項目 | 第3条(1)に記載のすべての個人データ(氏名、住所、連絡先、購入履歴等) |
|---|---|
| 共同利用する者の範囲 | エムアールエム株式会社および当社グループ会社(将来グループに加わる会社を含む) |
| 利用目的 | 第4条に記載の利用目的に準じます |
| 管理責任者 | エムアールエム株式会社 代表取締役 宮永 卓 |
| 問い合わせ先 | privacy@carrythings.com |
第9条 EU・英国・海外販売に関する事項(GDPR / UK GDPR対応)
本条は、当社が将来的にEU域内または英国居住者に対して商品・サービスの提供を開始した場合に備えた事前の方針を定めるものです。
(1)現在の販売対象地域
当社は現在、EU・英国居住者を対象とした販売および配送を行っておらず、EU・英国向けのチェックアウトを提供していません。そのため、現時点ではGDPRおよび英国GDPRの適用対象外と判断しています。
EU・英国居住者の方から偶発的にアクセスがあった場合でも、当社は積極的に当該地域の方をターゲットとしたデータ処理は行いません。
(2)EU/UK向け販売開始時の対応方針
将来的にEU・英国向け販売を開始する際は、販売開始と同時に以下の対応を実施します。
- GDPR Art.27に基づくEU/UK域内代理人の指名および本ポリシーへの記載
- 処理の法的根拠(Lawful Basis)の整理と明示(契約の履行・法的義務・正当な利益・同意)
- マーケティング・分析目的のCookieに関するEU/UK居住者向け同意管理バナー(CMP)の導入
- 16歳未満のユーザーに対する親権者の検証可能な同意取得プロセスの整備
- EEA・英国外へのデータ移転に関する標準契約条項(SCC)またはIDTAの締結確認
(3)EU/UK在住のお客様へ
現時点では当社サービスはEU・英国向けに提供されていませんが、万が一EU・英国在住のお客様がご利用になる場合は、privacy@carrythings.com までご連絡ください。GDPRに基づく権利行使のご要望についても同窓口で受け付けます。
第10条 Cookieおよびトラッキング技術
当社は、サービスの利便性向上・トラフィック計測・パーソナライズされた体験の提供のためにCookieおよび類似技術(ローカルストレージ、ピクセル等)を使用します。
(1)Cookieとは
Cookieは、ウェブサイトがお客様の端末に保存する小さなデータファイルです。ログイン情報の記憶やカートの維持、訪問回数の把握などに使用されます。ブラウザの設定でCookieを無効化することができますが、無効化した場合、当社サービスの一部機能がご利用いただけなくなることがあります。
(2)Global Privacy Control(GPC)への対応
当社は、Global Privacy Control(GPC)に対応しています。GPCシグナルを有効にした状態でご訪問された場合、お住まいの地域によっては、ご利用のデバイス・ブラウザに対するターゲティング広告オプトアウトのリクエストとして自動的に処理されます。
GPCについて詳しくはこちら:https://globalprivacycontrol.org/
GPC以外のDo Not Track(DNT)シグナルへの対応は現時点では行っておりません。
(3)マーケティング・広告目的
当社では、以下の第三者配信事業者を通じてインターネット広告を配信しています。
| Google LLC |
プライバシーポリシー:https://policies.google.com/privacy?hl=ja 広告管理:https://myadcenter.google.com/ |
|---|---|
| Meta Platforms, Inc. |
Cookieポリシー:https://mbasic.facebook.com/privacy/policies/cookies プライバシーポリシー:https://mbasic.facebook.com/privacy/policy/ 広告管理:https://www.facebook.com/help/1075880512458213 |
| LINEヤフー株式会社 |
プライバシーポリシー:https://www.lycorp.co.jp/ja/company/privacypolicy/ オプトアウト:https://btoptout.yahoo.co.jp/optout/index.html LINEオプトアウト:https://optout.tr.line.me/ |
| X Corp. |
プライバシーポリシー:https://x.com/ja/privacy 広告プライバシー制限:https://help.x.com/ja/safety-and-security/privacy-controls-for-tailored-ads |
| A8.net (株式会社ファンコミュニケーションズ) |
プライバシー:https://www.a8.net/privacy.html オプトアウト:https://www.fancs.com/btapolicy |
(4)パフォーマンス改善・分析目的
ウェブサイトのパフォーマンス改善・利便性向上のために以下のツールを使用しています。
| Google Analytics / Firebase Analytics (Google LLC) |
収集情報:訪問者識別情報・デバイス情報・セッション情報・位置情報・行動履歴 https://policies.google.com/privacy?hl=ja |
|---|---|
| HubSpot (HubSpot Inc.) |
収集情報:訪問者識別情報・デバイス情報・位置情報・閲覧履歴・Cookie同意ステータス https://legal.hubspot.com/jp/privacy-policy |
| SATORI (SATORI, Inc.) |
収集情報:閲覧履歴・訪問者識別情報・行動履歴 https://satori.marketing/privacy-policy/ オプトアウト:https://satori.marketing/optout/ |
| KARTE (株式会社プレイド) |
収集情報:訪問者識別情報・閲覧履歴・セッション情報・行動履歴・位置情報・デバイス情報 https://karte.io/karte-policy.html オプトアウト:https://karte.io/optout/ |
| ad ebis (株式会社イルグルム) |
収集情報:訪問者識別情報・閲覧履歴・セッション情報・行動履歴 https://yrglm.co.jp/policy/ |
| Microsoft Clarity (Microsoft) |
収集情報:ログイベント・ページタイトル・画面解像度・セッション情報・デバイス情報・位置情報 https://clarity.microsoft.com/terms |
| Re:lation (Ingage Inc.) |
収集情報:顧客情報・入力内容・チャネル情報・対応履歴 https://ingage.co.jp/policies |
| ChatGPT (OpenAI, LLC) |
収集情報:テキストデータ・セッション情報・識別情報 https://openai.com/ja-JP/policies/terms-of-use/ |
各ツール提供元のオプトアウトページ・プライバシーポリシーから、Cookie使用を無効化またはオプトアウトできます。収集情報は原則として匿名化されており、個人を特定する情報は含まれません。
第11条 個人データの国外移転および委託先
当社は、個人データを日本国外に移転する場合があります。その場合は、移転先の法制度を確認のうえ、APPIおよびGDPRに基づく適切な保護措置(標準契約条項等)を講じます。
| Shopify Inc. | 提供国:カナダ 保護措置:APPIの基準と同等以上の措置(Shopify DPA締結済) 参考:https://www.ppc.go.jp/files/pdf/canada_report.pdf |
|---|---|
| Shopify Commerce Singapore Pte Ltd. |
提供国:シンガポール 保護措置:APPIの基準と同等以上の措置 参考:https://www.ppc.go.jp/files/pdf/singapore_report.pdf |
| Google LLC | 提供国:アメリカ合衆国(カリフォルニア州) 保護措置:APPIの基準と同等以上の措置(標準契約条項) 参考:https://www.ppc.go.jp/files/pdf/california_report.pdf |
| OpenAI, LLC | 提供国:アメリカ合衆国(カリフォルニア州) 保護措置:APPIの基準と同等以上の措置(標準契約条項) 参考:https://www.ppc.go.jp/files/pdf/california_report.pdf |
| HubSpot Inc. | 提供国:アメリカ合衆国(マサチューセッツ州) 保護措置:標準契約条項(SCCs)または相当する保護措置 |
| Meta Platforms, Inc. | 提供国:アメリカ合衆国 保護措置:標準契約条項(SCCs)または相当する保護措置 |
| Microsoft Corporation | 提供国:アメリカ合衆国 保護措置:標準契約条項(SCCs)または相当する保護措置 |
委託先の監督
当社は個人データの取扱いを委託する場合、委託先との間で個人データの取扱いに関する契約(DPA等)を締結し、必要かつ適切な監督を行います。委託先が再委託を行う場合は事前承認を求めます。
第12条 セキュリティ
当社は、個人データへの不正アクセス・漏洩・改ざん・滅失を防止するために以下の措置を講じています。
技術的措置
- TLS(Transport Layer Security)による通信の暗号化
- ファイアウォールおよびウイルス対策ソフトウェアの導入
- アクセスログの記録・監視
- 定期的なセキュリティパッチの適用
組織的措置
- 個人データへのアクセス権限の最小化・管理
- 担当者への個人情報保護教育の実施
- 定期的なセキュリティ審査・リスク評価
- インシデント対応手順の整備
当社は個人データの保護に最善を尽くしていますが、いかなるセキュリティ対策も完全ではなく、絶対的な安全を保証することはできません。
第13条 お客様の権利
お客様は、当社が保有する個人データに関して以下の権利を有します。これらの権利は絶対的なものではなく、法令により例外が認められる場合があります。
| アクセス権 | 当社が保有するお客様の個人データの開示を請求できます |
|---|---|
| 訂正権 | 不正確・不完全な個人データの訂正・追加を請求できます |
| 削除権(忘れられる権利) | 一定の条件のもとで個人データの削除を請求できます |
| 利用停止・消去権 | 法令違反等がある場合に処理の停止・消去を請求できます |
| 第三者提供停止権 | 第三者への提供の停止を請求できます |
| データポータビリティ権 | 電子的形式による個人データのコピー受取・移転を請求できます(GDPR適用の場合) |
| 処理への異議申立権 | 正当な利益に基づく処理や直接マーケティングへの異議を申し立てられます |
| 利用目的の通知請求権 | 当社が保有する個人データの利用目的の通知を請求できます |
| 同意の撤回権 | 同意に基づく処理については、いつでも同意を撤回できます(撤回前の処理の適法性には影響しません) |
| ターゲティング広告 オプトアウト権 |
行動ターゲティング広告目的での個人データの販売・共有からオプトアウトできます。また、GPCシグナルが有効な場合は自動処理されます |
権利行使の方法:下記お問い合わせ窓口(privacy@carrythings.com)または第15条に定める手順にてお申し込みください。
当社は、権利行使に際してお客様を差別することはありません。ご要望を処理する前に、本人確認(メールアドレス・アカウント情報等)をお願いする場合があります。代理人による申請も可能ですが、正式な委任状の提出が必要となる場合があります。
当社は適用法令に定める期限内にご要望に対応します(APPIに基づく開示請求等:原則2週間以内、GDPRに基づく請求:原則1ヶ月以内)。
メール配信の停止
プロモーションメールは、メール内の配信停止リンクからいつでも受信停止できます。配信停止後も、注文確認・配送通知等の取引関連メールは引き続き送信されます。
第14条 苦情申立
当社の個人データ取扱いについてご不満がある場合は、まず下記お問い合わせ窓口にご連絡ください。誠実に対応いたします。
解決に至らない場合は、以下の監督機関に苦情を申し立てる権利があります。
| 日本(APPIに基づく申立先) |
個人情報保護委員会 https://www.ppc.go.jp/ 相談窓口:https://www.ppc.go.jp/personal/guidance/ |
|---|---|
| EU域内居住者(GDPRに基づく申立先) |
お住まいのEU加盟国のデータ保護機関(Supervisory Authority) 一覧:https://edpb.europa.eu/about-edpb/about-edpb/members_en |
| 英国居住者(UK GDPRに基づく申立先) |
Information Commissioner's Office(ICO) https://ico.org.uk/ |
第15条 個人データの開示請求等の受付方法
個人データの開示・訂正・追加・削除・利用停止・消去・第三者提供停止・利用目的通知・同意撤回・第三者提供記録開示を請求される場合は、以下の手順でお申し込みください。
- 所定の請求書に必要事項を記入してください。(書式は privacy@carrythings.com へのメールにてご請求ください)
- 本人確認書類(運転免許証・パスポート等のコピー)を添付してください。
- 郵送の場合は下記住所宛にお送りください。メール申請も受け付けます。
- 開示請求には所定の手数料(1件につき1,000円)、書面での開示を希望される場合は郵送料を同封してください。
| 受付窓口住所 | 〒150-0041 東京都渋谷区神南1-9-10 番匠ビル3F エムアールエム株式会社 個人情報担当窓口 |
|---|---|
| 受付窓口メール | privacy@carrythings.com |
| 手数料 | 1件につき1,000円(税込) ※手数料不足の場合はお申し出に応じられない場合があります |
| 回答方法 | 書面(郵送)またはメール(お申し出ください) |
| 回答期限 | 受付から原則2週間以内 |
なお、以下の場合は対応できないことがあります。
- APPI所定の要件を満たさないご請求
- 本人確認ができない場合
- 業務の適正な実施に著しく支障を及ぼすおそれがある場合
- 他の法令に違反することとなる場合
第16条 外部サービスへのリンク
本サービスには外部サービスが運営するウェブサイトへのリンクが含まれる場合があります。当社は、当社が管理しない外部サービスのプライバシー・セキュリティ・情報の正確性について責任を負いません。外部サービスへのアクセス前に、当該サービスのプライバシーポリシーをご確認ください。
第17条 プライバシーポリシーの変更
当社は、法令の改正・事業内容の変更・その他の事由により、本ポリシーを随時改定することがあります。重要な変更を行う場合は、本ウェブサイトへの掲載またはメール等の適切な方法でお知らせします。改定後のポリシーは、掲載時から効力を生じます。
第18条 個人データに関するお問い合わせ窓口
個人データの取扱いに関するご意見・苦情・ご相談は、以下の窓口までお問い合わせください。
| 会社名 | エムアールエム株式会社 |
|---|---|
| 所在地 | 〒150-0041 東京都渋谷区神南1-9-10 番匠ビル3F |
| プライバシー問合せメール | privacy@carrythings.com |
| データ保護責任者(DPO) | Yashiro |
| EU/UK域内代理人 | 現在EU・英国向け販売を行っていないため設置していません。EU/UK向け販売開始時に指名し記載します。 |
| 受付時間 | 平日 11:00〜17:00 |
以上