改正割賦販売法への準拠

日本の消費者保護を目的に制定された割賦販売法が 2018 年に改正されました。この法律は日本でクレジットカードを受け付ける全てのオンラインビジネスの事業者に適用され、消費者に関する情報を安全に扱うことが求められます。

改正割賦販売法の施行に伴い、2018 年 11 月以降、日本の Stripe アカウント保有者にはオンライン決済の導入状況に関するアンケートに回答いただいております。アンケートは「はい」「いいえ」の二択でお答えいただく 5 つの質問から構成されます (一問目の回答により、追加で一つ、計 6 つの質問にご回答いただく場合があります)。2018 年 11 月以前に Stripe アカウントの本番環境利用の申請を完了されたお客様には、Stripe Dashboard にアンケートに回答いただきたい旨のポップアップを表示しています。本記事では、アンケートの回答方法、各質問の補足、回答にあたっての考慮点をまとめています。

アンケートの質問内容

2018 年 11 月以降に作成された Stripe アカウントの場合、本番決済を受け付けるためのアカウントの有効化に際してアンケートにご回答いただきます。Stripe アカウントの有効化は、Stripe Dashboard 左上の「本番環境利用の申請」から進めてください。

activate_your_account.png

2018 年 11 月以前に Stripe アカウントを有効化されたお客様は、Stripe Dashboard の上部にアンケートにご回答いただきたい旨のポップアップを表示しています。以下のスクリーンショットに捉えられた黄色いポップアップが表示されない場合、アンケートには既にご回答いただいています。

popup.png

黄色のポップアップ中の「質問へ進む」をクリックしていただくと、以下の 5 つの質問が表示されます (アカウントの有効化に際してご回答いただくアンケートと文言が一部異なりますが、質問の内容は同じです)。

compliance_questions.png

質問 1

顧客のカード番号を取り扱っていますか?

お客さまのサーバ上にカード情報を保存したり、電話にてクレジットカード情報を伺う場合は[はい]とお答えください。Stripe でのすべての決済におけるカード情報の収集に、Checkout、Elements、Invoices、モバイル SDK をご利用されてる場合は[いいえ]とお答えください。

質問中の「カード番号」、「クレジットカード情報」は、クレジットカードに印字された 16 桁の番号 (15 桁の AMERICAN EXPRESS など、一部異なる番号体系の場合があります) を指します。消費者の方がお客様のウェブサイトでクレジットカードによる決済を行われる際、そのクレジットカードの番号をお客様が参照可能であったり、お客様のサーバ上でクレジットカードの番号が保管 (通過する場合も含む) される場合は「はい」とお答えください。

Stripe が提供する CheckoutElements 等の機能をご利用いただくことにより、クレジットカード情報は消費者のブラウザ (モバイルアプリケーションの場合、iPhone 等の端末) と Stripe のサーバの間でのみやりとりされます。Stripe のサーバからはクレジットカード情報に紐づくトークンが発行され、ブラウザから連携されたトークンを用いてお客様のサーバで決済を実行します。トークンからクレジットカード番号を特定することは不可能なため、「顧客のカード番号を取り扱っていますか?」という状況にはあたりません。その場合、質問には「いいえ」とお答えください。

質問 2

ビジネスまたはビジネスの代理として処理を実行する接続アプリケーション (Connect Standard) では、顧客の身元を特定することを目的として、何らかの種類の付加的な検証手段を利用していますか?

例: 3D セキュア

Stripe アカウントは、それを単体で用いる方法以外に、複数の Stripe アカウントを親子関係として連結して管理する Stripe Connect と呼ばれる形態でご利用いただくことが可能です。2019 年の時点で、Stripe Connect は三つの形態を提供していますが、そのなかの一つ、Standard Connect は子アカウントにおいても Stripe Dashboard へのアクセスを含めた単体での利用と同じ操作が可能です (他の形態では Stripe Dashboard へのアクセスなどを制限しています)。Standard Connect の子アカウントの場合もアンケートにご回答いただく必要がありますが、Stripe で決済を行うための実装は親アカウントを管理されるプラットフォームが行われることが一般的です。質問中の「ビジネスの代理として処理を実行する接続アプリケーション (Connect Standard)」は、ご利用の Stripe アカウントが Standard Connect の子アカウントにあたる場合、3D セキュアの実装はプラットフォームが行われている場合があるため、プラットフォームの実装方法に従ってご回答いただきたいという旨の注意書きです。

3D セキュアは、決済に際して消費者にパスワードを入力していただくことにより本人認証を行い、不正使用の危険性を軽減するための仕組みです。パスワードの設定方法や決済に際してパスワードを入力するインタフェースはカード発行会社やカードブランドにより異なり、VISA は VISA Secure、Mastercard は Mastercard SecureCode、AMERICAN EXPRESS は American Express SafeKey、JCB は J/Secure と呼ばれる場合もあります。決済に際して、消費者が 3D セキュアによるパスワード入力が求められる場合は「はい」、求められない場合は「いいえ」とお答えください。

質問 3

ビジネスまたはビジネスの代理として決済を生成する接続アプリケーション (Connect Standard) では、決済ごとにカードのセキュリティコードを要求していますか?

クレジットカードのセキュリティコード (カード確認番号 (CVC) とも呼ばれる) を Stripe に送信することを常に推奨しています。Checkout、Elements、iOS、および Android の SDK はセキュリティコードの収集を標準装備しています。

セキュリティコードは、VISA や Mastercard のクレジットカードの場合、一般的には裏面の署名欄の端に 3 桁の数字で印字されています (AMERICAN EXPRESS の様に表面に 4 桁の数字が印字されている場合もあります)。クレジットカードの決済に際して消費者にセキュリティコードの入力も求めることによって、不正使用の危険性を軽減することが可能です。お客様のウェブサイトで決済を行われる際、16 桁のクレジットカード番号と合わせて 3 桁 (AMERICAN EXPRESS の場合は 4 桁) のセキュリティコードの入力を求める場合は「はい」、求めない場合は「いいえ」とお答えください。

質問 4

ビジネスまたはビジネスの代理として処理を実行する接続アプリケーション (Connect Standard) では、疑わしい配送先住所を検出するための対策を講じていますか?

例:自社で不正な配送先などのデータを蓄積して活用することもしくは外部の不正住所を検知するサービスを利用すること。

これは物理的な商品を扱われているお客様において、配送先の住所に関する検査 (例:実在する住所か、架空の住所か) をされているか否かに関する質問です。対策を行われている場合は「はい」、物理的な商品を扱われているが対策を行われていない、もしくは物理的な商品を扱われていないために該当しない場合は「いいえ」とお答えください

質問 5

過去5年間に特定商取引法違反もしくは過去に消費者契約法違反による敗訴判決を受けたことがありますか?

特定商取引法違反もしくは過去に消費者契約法違反による敗訴判決を受けたことがある場合は「はい」、受けたことがなければ「いいえ」とお答えください。Standard Connect の子アカウントの場合、プラットフォームではなくお客様の状況に関してお答えください。

先の 5 つの質問とは別に、一つ目の質問に「はい」と回答された場合に限り、以下の PCI-DSS に関する質問にご回答いただく必要があります。

PCI への準拠の要件を満たしていますか?

PCI-DSS準拠のための必要事項はこちらより詳しく解説致します。カード情報の保持に必要な条件を満たしていることをご確認ください。PCI-DSS準拠のための必要事項はお客さまの Stripe の組み込み状況に応じて変わります。

PCI-DSS の認証は取得するだけでなく、毎年更新を続けるにも多くの工数を必要とします。Stripe は PCI Service Provider Level 1 の認証を取得しており、お客様は Stripe が提供する CheckoutElements をご利用いただくことにより、PCI-DSS の認証を取得しなくとも PCI に準拠することが可能です。一方、クレジットカード番号をお客様で取り扱う (「通過」、「保存」、「処理」) 場合、お客様ご自身が PCI-DSS の認証を取得する必要があります。PCI-DSS の認証を取得しており PCI に準拠されている場合は「はい」、準拠されていない場合は「いいえ」とお答えください。PCI-DSS の認証を取得しないまま、クレジットカード番号をお客様が取り扱う場合、Stripe のサービスはご利用いただくことができません。

アンケートへの再回答

一度提出を完了したアンケートも、内容を更新して改めて提出していただくことが可能です。再提出をしていただく場合、以下の URL からアンケートのページに直接アクセスください。

https://dashboard.stripe.com/settings/update/company/update-risa-survey

PCI-DSS の認証を取得しないまま、クレジットカード番号をお客様が取り扱う場合、Stripe のサービスはご利用いただくことができないことは先に申し上げました。一つ目の質問 (「顧客のカード番号を取り扱っていますか?」) が「はい」、「PCI への準拠の要件を満たしていますか?」を「いいえ」と回答された場合に該当しますが、誤った回答をした (実際にはクレジットカード情報は扱っていない、もしくはクレジットカード情報を扱っているが PCI-DSS の認証を取得して PCI に準拠している)、もしくは前回の回答以降に PCI-DSS の認証を取得されたり、CheckoutElements の導入をされた場合、お客様の実情に即した回答内容でアンケートを更新してください。

Standard Connect をご利用の場合

Standard Connect の子アカウントとして Stripe をご利用になられている場合、システムの実装はプラットフォームが行われることが一般的です。アンケートへの回答の仕方に関してお困りの場合、以下のフローチャートを合わせてご参照ください。

standard_connect_flowchart.png

よくある質問

アンケートへの回答は必須ですか?

割賦販売法の改正に伴い、クレジットカード決済を行う Stripe の利用者は、アンケートにご回答いただくことが法的な義務です。

Stripe が代わりにアンケートに答えてもらえませんか?

最新の情報をご提供いただくため、ウェブサイトを管理されるお客様にアンケートへの回答をお願いしています。

複数の Stripe アカウントを保持している場合、全てに回答する必要がありますか?

はい、日本の Stripe アカウント全てがアンケートにご回答いただく必要があります。

トークンを利用して Stripe による決済は安全と考えてしましたが、何故アンケートへの回答が必要ですか?

Stripe は PCI Service Provider Level 1 の認証を取得しており、CheckoutElements 等を活用していただくことによりお客様がクレジットカード情報を直接扱わずとも決済を行うことが可能です。現実には Stripe を導入するための複数 (例:サードパーティーのプラグインを使用) の手段が存在し、Stripe では全てのお客様の実態を把握することは困難なため、お客様にアンケートへの回答をお願いしています。

実際にウェブサイトが問題ないかは、どうやってわかるのですか?

お客様ご自身でウェブサイトを作成されていない場合、作成にかかわったエンジニアの方にご相談のうえお答えください。Stripe Connect の子アカウントをご利用になられている場合、必要に応じて親アカウントの担当者の方にお問い合わせください。

PCI-DSS を取得せずにクレジットカード情報を扱っており、その旨回答しましたがどうなりますか?

Stripe が提携する金融パートナーからの監査対象として、Stripe のアカウントを停止させていただく可能性があります。

アンケートに回答しない場合、どうなりますか?

Stripe が提携する金融機関からの監査対象として、Stripe のアカウントを停止させていただく可能性があります。

複数の Stripe アカウントを持っていますが、アンケートを一回で終わらせることはできますか?

残念ながら、複数の Stripe アカウントをお持ちの場合、全てのアカウントでアンケートにご回答いただく必要があります。

アンケートへの回答内容はどの様に扱われますか?

Stripe より提携する金融機関に連携されます。回答内容は Stripe のプライバシーポリシーに従い管理され、他社と共有することはありません。

アンケートの後、なにが起きるのですか?

追加の対応が必要となりましたら、こちらより追ってご連絡さしあげます。回答内容により、即座に Stripe アカウントをご利用いただけなくなることはありません。