Shopifyから「決済に関する新しい管理機能」「スタッフの権限をご確認ください」という件名のメールが届いた方は多いのではないでしょうか。
結論から言うと、このメールはフィッシング詐欺ではなく、Shopify公式からの正規のお知らせである可能性が高いです(少なくとも今回、弊社へ届いたメールは正規のお知らせでした)。
ただし、メールに書かれた期限までに1つだけ確認しておきたい設定があります。
とはいえども、正規だからといってメール内のリンクをすぐ押すのは考えものでしょう。
この記事で整理するのは、このメールが本物かどうかの見分け方、何が変わったのか、そしてPlus未満のストアを運営する方が管理画面で何を・どの順番で・いつまでに確認すればいいのかの3点。
経営の数字とECの現場、その両方を見てきた立場から、判断に迷わない形までお伝えします。
要点このメールで押さえることは3つだけ
(1)正体
決済まわりをスタッフに任せるための新しい権限が4つ増えたという、Shopify公式のお知らせです。
(2)期限つきの確認
メールに記載の2026年8月3日までに、不要な人の「申し立て」権限を見直す必要があります。
(3)放置のリスク
売上の入金が止まるわけではありませんが、不要な人にチャージバック通知が届く状態になります。
そのメールは詐欺ではない。「決済に関する新しい管理機能」通知の正体
まず、届いたメールが何を伝えているのかを整理します。下の画像が、実際に届いたメールで、同じ文面が手元に届き、差出人もShopifyであるなら、正規のお知らせである可能性が高いです。
メールに書かれていたこと
メールの要点は、大きく分けて次の内容です。読み飛ばしやすいので、自分の言葉で噛み砕いておきます。
メール要旨決済に関する新しい管理機能について
・申し立て、支払い、税務書類、決済設定に関する4つの新しいスタッフ権限が追加された
・このうち1つの変更について、2026年8月3日までに確認が必要
・以前「注文情報を管理する」権限を持っていたスタッフには、新しい「注文管理 > 申し立て > 管理」権限が自動で付与された
・8月3日以降、この権限を持つスタッフ全員に、ストアのチャージバックと問い合わせのメール(今はオーナーに届いているもの)が送られるようになる
・通知を受け取るべきでないスタッフは「設定 > ユーザー」で役割を確認し、「申し立て > 管理」権限を取り消すよう案内している
言い換えると、これは「決済まわりの仕事をスタッフに細かく任せられるようになりました。ただし1点だけ、通知の届き先が変わるので確認してください」というお知らせです。新しく何かを契約させられるわけでも、お金を請求されるわけでもありません。
正体はShopify Spring ’26の正規機能。なぜ今あなたに届いたのか
このメールの背景にあるのが、Shopifyが2026年6月17日に公開した大型アップデート「Spring ’26 Edition」。150以上の新機能がまとめて発表され、その中に決済・支払い(入金)・申し立て(チャージバック対応)をスタッフに細かく委任できる機能が含まれていました。今回のメールは、この新機能があなたのストアにも展開されたことを知らせるお知らせです。
こうした新機能は、ストア・地域・プランごとに少しずつ展開されるため、届く時期には個人差があります。今あなたに届いたのは、あなたのストアで展開が始まったタイミングだから、と考えれば自然です。
春アップデート全体で何が変わったのかを先に把握しておきたい方は、Shopifyの2026年春アップデート情報まとめもあわせてご覧ください。
出典: Shopify Editions「26年春(Spring ’26)」公式
まず詐欺メールと見分ける。リンクを押す前の確認
「正規の可能性が高い」とお伝えしましたが、正規だから安心してリンクを押す、という発想は危険です。Shopifyを装ったフィッシングメールは実在し、本物そっくりの文面で偽サイトへ誘導してくるためです。だからこそ大切なのが、本物かどうかを自分で確かめる手順を持っておくこと。
正規Shopifyメールの送信元と、絶対にやってはいけないこと
Shopify公式は、正規メールの送信元ドメインを公開しています。差出人のメールアドレスが次のいずれかなら、正規の可能性が高いと判断できます。
- 送信元が @shopify.com / @email.shopify.com / @em.shopify.com / @shopify-billpay.melio.comのいずれかである
- GmailやYahoo!メールなどのフリーアドレスから届いていない
- 添付ファイル(zipやexeなど)が付いていない
- メール本文でパスワードやクレジットカード番号の入力を求めていない
逆に言えば、フリーアドレスから届いた・添付がある・パスワードやカード情報を求めてくる場合は、フィッシングを強く疑ってください。Shopifyはメールで機密情報を直接求めることはなく、添付ファイルも送りません。怪しいメールはphishing@shopify.comに転送して通報できます。
出典: Shopifyヘルプセンター「フィッシング、ビッシング、スミッシングから身を守る」
いちばん安全な確認法は、メールのリンクを押さないこと
送信元が正しく見えても、表示名は偽装できます。そこで私がおすすめしているのが、メールのリンクは押さず、ブラウザで直接admin.shopify.comにログインして確認する方法。これなら、たとえ手元のメールが巧妙な偽物でも、偽サイトに情報を入力する事故を避けられます。
ログインしたら、「設定」から「ユーザーと権限」(メールでは「ユーザー」と表記)を開いてみてください。正規のお知らせなら、メールに書かれている新しい権限が管理画面側にも実際に存在しています。メールの内容と管理画面の表示が一致するかどうか、これが何よりの確認です。
急かすメールほど一度立ち止まる、という習慣はShopifyに限らず役立ちます。
同じ考え方の実例として、「XServerアカウント認証のお願い」という迷惑メールの記事や、中小企業が今すぐやるべきフィッシング・迷惑メール防止5ステップも判断の助けになります。
何が増えたのか。「4つの新しいスタッフ権限」を経営者目線で
今回追加されたのは、決済・財務まわりをスタッフに任せるための4つの権限です。これまでは決済関連の操作をオーナーが抱えがちでしたが、「閲覧だけ任せる」「対応だけ任せる」といった細かい分担ができるようになりました。まずは、それぞれが誰のための権限なのかを押さえます。
申し立て・支払い・税務書類・決済設定。それぞれ誰のための権限か
| 新しい権限 | できること | 主に渡す相手 |
|---|---|---|
| 申し立て | チャージバックや問い合わせの対応・通知の受信 | 返金やクレーム対応の担当 |
| 支払い | 入金(売上の振込)明細の閲覧・ダウンロード | 経理・記帳の担当 |
| 税務書類 | 税務関連書類の閲覧・ダウンロード | 経理・税理士対応の担当 |
| 決済設定 | 決済方法や不正対策など決済設定の管理 | オーナー本人や信頼できる責任者 |
ここで覚えておきたいのは、「閲覧」と「管理(変更)」は別物だということ。たとえば経理に入金額を見せたいだけなら「支払い」の閲覧を渡せば足り、決済設定そのものを触らせる必要はありません。見せたいだけなのに設定変更まで渡してしまうのが、よくある渡しすぎのパターンです。
なお、Shopifyペイメント本体の設定変更は、引き続きストアオーナーだけが行えます。スタッフに渡せるのはPayPalや手動決済などの「その他の決済方法」までで、ここはメールの新機能後も変わりません。決済の根幹はオーナーが握る設計、と理解しておくと安心です。
いちばん効く変更は、「申し立て」権限を持つ人に通知が届くこと
4つの中で、今すぐ確認したいのが「申し立て」権限。ここでいう申し立てとは、チャージバック(購入者がカード会社に申し出て支払いを取り消す手続き)や問い合わせへの対応を指します。メールにある通り、以前「注文情報を管理する」権限を持っていたスタッフには、新しい「申し立て > 管理」権限が自動的に付与されています。
そして2026年8月3日以降は、この権限を持つスタッフ全員に、ストアのチャージバックと問い合わせのメールが届くようになります。これまでオーナーだけに届いていた決済トラブルの通知が、注文を扱っていた全スタッフに共有される、という変化。
つまり、何もしなければ「決済の紛争情報が、本来は見る必要のない人にも流れる」状態が自動ででき上がってしまうわけです。ここが、今回いちばん効く変更点になります。
今すぐやる初動チェック(設定 > ユーザーと権限)
やることはシンプルで、通知を受け取るべきでない人から「申し立て」権限を外すだけです。これだけで、8月3日以降の不要な通知共有を防げます。順番に進めましょう。
オーナーがまず開く画面と、確認する順番
- メールのリンクは押さず、admin.shopify.comに直接ログインする
- 設定を開き、ユーザーと権限を選ぶ
- 自分以外のスタッフとコラボレーターの一覧を確認する
- 各メンバーの権限に「申し立て」が入っていないかを見る
- チャージバック通知が不要な人の「申し立て」を外す
- 退職者・契約終了した外注先のアカウント自体を停止/削除する
そもそも自分一人でストアを運営していて、スタッフもコラボレーターも追加していない場合は、急いで取り消す対象はいません。その場合でも「こういう機能が増えた」とだけ覚えておけば十分です。慌てて設定を触る必要はありません。
通知が不要な人の「申し立て」権限を外す操作手順
対象になる人が見つかったら、権限を外します。手順自体は1分ほどで終わります。
1. 対象スタッフを開く
設定 > ユーザーと権限で、見直したいスタッフの名前をクリックします。オーナー本人は全権を持つため、権限の編集欄は表示されません。
2. 「申し立て」のチェックを外す
権限一覧の「注文管理」の中にある「申し立て(管理)」のチェックを外します。これで、その人は8月3日以降のチャージバック通知の対象から外れます。
3. 保存する
最後に「保存する」を必ず押します。保存を忘れると設定が反映されません。一覧に戻って、権限表示が変わっているかを確かめてください。
メモ同じ画面で、スタッフの一時停止や削除もできます。退職予定や調査中の人は一時停止、契約が終わった外注先は削除、と使い分けると安全です。
誰に何を渡すか。決済まわりの「最小権限」の決め方
今回をきっかけに、決済まわりの権限を一度整理しておくと安心でしょう。考え方の軸は1つだけ、「その人の仕事に必要な最小限だけ渡す」。1人のアカウントが乗っ取られたとき、渡している権限が多いほど被害は広がるため、必要のない権限は持たせないのが基本です。
立場別の早見。迷ったらここで判断する
| 立場 | 渡してよい権限の目安 |
|---|---|
| 返金・クレーム対応の担当 | 「申し立て」は残す(通知を受けて対応するため) |
| 経理・記帳の担当 | 「支払い」の閲覧のみ。決済設定や申し立ては渡さない |
| 出荷・注文処理だけの担当 | 決済系(申し立て・支払い・税務書類・決済設定)は渡さない |
| 制作会社・運用代行 | 作業に必要な範囲のみ。決済系の機密権限は原則渡さない |
判断に迷いやすいのが、「通知を見せたいだけ」なのか「設定を任せたい」なのかを分けて考えること。クレーム対応だけ任せたいなら「申し立て」、入金額を見せたいだけなら「支払い」の閲覧、という具合に、目的に対して一番狭い権限を選びます。そして決済設定の管理は、オーナーか本当に信頼できる責任者だけに絞るのが安全です。
なお、決済設定の管理などは、Shopify自身が「機密性の高い権限」として位置づけ、もっとも信頼できる人だけに渡すよう推奨しています。あわせて、スタッフ全員に2段階認証を有効にしてもらうことも勧められています。
社内スタッフと外注先で、渡し方を分ける
権限を整理するときは、相手が社内のスタッフなのか外部の制作会社・運用代行なのか、この区別で扱いを分けると整理しやすくなります。
社内の従業員には「スタッフアカウント」を使い、役割に応じて最小限の権限を渡します。一方、外部のパートナー向けにあるのが「コラボレーターアカウント」という別の仕組み。コラボレーターは人数の上限がなく、相手からのリクエストをオーナーが承認する形のため、社内のスタッフ枠を消費せずに外注先と連携できるのが利点です。
注意外注先に決済系を渡したままにしない
制作会社や運用代行に渡すのは、テーマ編集や商品・注文の閲覧など作業に必要な範囲だけに絞ります。申し立て・支払い・税務書類・決済設定は原則渡さない。作業が終わったら権限を取り消すか、アカウントを削除しておきましょう。
放置すると何が起きるか。よくある失敗と再発防止
最後に、見直さずに放置したときに何が起きるのかと、同じ不安を繰り返さないための仕組みづくりを整理します。
8月3日を過ぎて放置したときに起きること
まず安心してほしいのは、放置しても決済(売上の入金)が止まるわけではないことです。今回の変更は「権限と通知の届き先」の話で、ストアの販売機能を止めるものではありません。
ただし、見直さないと本来は見る必要のない人にまで、顧客との決済トラブル情報が届き続ける状態になります。
放置で起きやすいこと
退職者や元外注先に通知が届く
過去に注文権限を渡したまま放置していると、すでに関係のない人へチャージバック通知が流れ続けます。
情報の過剰共有になる
顧客の決済紛争という繊細な情報が、対応する立場にない人にも共有されてしまいます。
対応の遅れにつながる
逆に必要な担当に権限がないと、期限のあるチャージバック対応が遅れ、不利になることもあります。
「誰が決済を確定・返金できるか」を社内ルールにする
今回のような通知が来るたびに慌てないために、「誰が決済を確定し、返金やチャージバック対応をするのか」を一度決めて、簡単な形で書き残しておくことをおすすめします。担当と権限が文章で揃っていれば、人の入れ替わりがあっても見直しがすぐ済みます。
- 決済を確定・返金できる人を明確に決めて書き残す
- 権限の棚卸しを四半期に1回など定例にする
- 入社・退職・外注の開始終了時に権限を見直すルールにする
- スタッフ全員に2段階認証を有効にしてもらう
こうした棚卸しは、決済まわりに限らずWeb全体の安全につながります。
権限管理やセキュリティの基本を社内で固めたい場合は、中小企業が最低限やるべきセキュリティ対策のような身近なところから整えると進めやすいでしょう。
よくある質問
Q「決済に関する新しい管理機能」というメールは本物ですか?
AShopify公式の正規通知である可能性が高いです。2026年6月17日公開のSpring ’26 Editionで追加された決済権限の委任機能の案内です。ただし安全のため、メールのリンクは押さず、ブラウザで直接admin.shopify.comにログインして確認してください。
Qこのメールは何もしなくても大丈夫ですか?放置すると決済は止まりますか?
A決済(売上の入金)が止まることはありません。ただしメール記載の期限である2026年8月3日以降、過去に注文関連の権限を持っていたスタッフ全員に、チャージバックや問い合わせの通知が届くようになります。不要な人に届けたくない場合は、期限までに権限を見直してください。
Qそもそも自分ひとりで運営していて、スタッフがいない場合は?
A急いで取り消す対象はいません。申し立て権限が自動付与される他のスタッフが存在しないためです。今回の機能が増えたことだけ把握しておけば十分で、慌てて設定を触る必要はありません。
Qスタッフの権限はどこで確認・変更できますか?
AShopify管理画面の「設定 > ユーザーと権限」から確認できます。スタッフ名をクリックして権限のチェックを変更し、「保存する」で反映されます。同じ画面でアカウントの一時停止や削除も可能です。
Qチャージバック通知を特定のスタッフに届かないようにするには?
A設定 > ユーザーと権限で対象スタッフを開き、「注文管理」の中の「申し立て(管理)」のチェックを外して保存します。これで、そのスタッフは2026年8月3日以降の通知の対象から外れます。
Q制作会社や運用代行に渡している権限も確認すべきですか?
A確認をおすすめします。外部パートナーは通常コラボレーターアカウントで、同じく設定 > ユーザーと権限から権限を変更できます。決済設定・申し立て・支払い・税務書類などの機密権限は原則渡さず、作業に必要な範囲だけに絞り、契約終了後は速やかに取り消してください。
Qいつまでに対応すればいいですか?
A届いた通知メールには、確認の期限として2026年8月3日が記載されています。それ以降は「申し立て」権限を持つ全スタッフへ通知が自動送信されるため、不要な通知を避けたい場合は8月3日までに権限を見直してください。
迷ったら、まず自社の権限を棚卸しすることから
今回のメールは、慌てて何かを契約したり、リンクを急いで押したりする必要はありません。やるべきは、設定 > ユーザーと権限を開いて、決済まわりの権限を誰に渡しているかを一度棚卸しすること。そのうえで、通知が不要な人の「申し立て」を外す。これだけで、8月3日以降の不要な情報共有は防げます。
ノーサイドでは、Shopifyの構築・設定の見直しから運用の相談まで受けています。権限設計や決済まわりの整理で迷う場合は、お問い合わせフォームからご相談ください。取引事例もあわせてご覧いただくと、自社に近い運用の形が見つかりやすくなります。
