Stripe の Financial Connections (以下「サービス」) を利用すると、利用者のデータにアクセスして、利用者に提供する商品やサービスをサポートすることができます。顧客データへのアクセスは、適用法を遵守し、収集されるデータやその使用方法、共有方法をユーザーが管理できて透明性が確保されたやり方で行われる必要があります。サービスのご利用に関するお客様の義務について、ご自身の法務顧問にご相談ください。ここでは、注意すべき分野について、具体的な義務の例をいくつかご紹介します。
顧客から同意を取得する
サービスを利用する上で、データへのアクセスと使用に関する有効な同意を顧客から得ることは重要です。顧客に対し Stripe を介して外部の金融口座と関連付ける選択肢を提示する場合、以下を行ってください。
(1) 顧客のデータを取得する目的を適切に表示する、および
(2) 顧客のデータの使用、保存、共有方法をわかりやすく開示する
ユーザーインターフェースで、顧客のデータを収集して使用する目的を伝えてください。同様に、お客様のビジネスが顧客のデータを使用するのは、その目的に限定する必要があります。情報にアクセスして引き落としを開始する場合は、それぞれのアクティビティーについて顧客から明確な個別のオーソリを取得する必要があります。ACH デビットの同意書についての詳細は、こちらをご覧ください。
その後の Stripe 同意ペインで Stripe の利用規約およびプライバシーポリシーについて顧客の同意を取得します。顧客は同意フローの中で金融口座を関連付けることができます。Stripe の同意ペインをお客様や加盟店が修正することはできません。
プラットフォームの設定時に、顧客に特定のデータカテゴリーをリクエストします。これらのデータカテゴリーは Stripe の同意フローで顧客に開示されます。今後、顧客のアカウントの他のタイプのデータへのアクセスを希望する場合、Stripe が提供する同意フローを通じて、顧客にこの新しい情報を表示する必要があります。
記録管理
Stripe の利用規約および適用法の遵守に関する以下の記録を保持する必要があります。
データ処理のために顧客に提示し目的を表示したユーザーインターフェースの画面またはフローのスクリーンショット。それぞれの固有バージョンの有効日付範囲を含む。
お客様のプライバシーポリシーまたはデータ共有サービスに関連して顧客に表示したその他の資料、およびそのすべての修正または改定。
Stripe は、これらの記録管理義務に関連するドキュメントのコピーをリクエストする場合があります。
データ保管プライバシー法には、企業が個人データを取得した目的に必要な期間以上に長く保持することを禁止しているものが多くあります。適用法に基づいて企業内での保管手順を作成するのはお客様の責任です。
顧客サポートの義務
顧客データへのアクセスや使用は適用法や規制の対象であり、以下の顧客とのやり取りがあった場合は特定の行動をとる必要があります。
データ主体者のリクエスト顧客からの個人データの削除や金融口座の関連付けの解除のリクエストの受け付けついて、社内で準備しておくことをお勧めします。管轄区域でデータへのアクセスリクエストの遵守が求められる場合、適用法に従ってこれらのリクエストに対応する必要があります。
関連付けの解除リクエスト:
ユーザーインターフェース: 顧客に対し口座の関連付けを解除する選択肢を提示している場合、関連付けを解除すると新しい金融口座データの共有は停止するものの、それまでに共有したデータは削除されず、Stripeからデータは削除されないことをインターフェースに明示することをお勧めします。こうすることで、顧客は別のデータ削除リクエストを行うかどうかを判断できます。
Stripe への通知:関連付け解除のリクエストは、Stripe の関連付け解除フォームまたは Disconnections API のいずれかの方法で転送してください。Disconnections API では Stripe からユーザーのデータが削除されないことにご注意ください。ユーザーがデータの削除をリクエストしている場合、関連付け解除フォームを使用してください。
削除のリクエスト:
ユーザーインターフェース: インターフェースに、「削除」のリクエストとはどういう意味なのか、つまり削除のリクエストに口座の関連付けの解除も含まれるのかについて明記することをお勧めします。
Stripe への通知:削除のリクエストは件名を「Financial Connections: 口座削除のリクエスト」として privacy@stripe.com まで転送するか、関連付け解除フォームから直接 Stripe にリクエストするよう利用者に依頼してください。お客様のシステムにあるこれらのデータも削除するか、データを保管する法的根拠を利用者に通知する必要があります。
無許可の関連付けデータ共有の同意が顧客の承認したものではないことに気付いた場合 (なりすまし犯罪など)、削除のリクエストを privacy@stripe.com まで直接お寄せください。
苦情ユーザーから Stripe が「苦情」と定義する連絡を受けた場合は、complaints@stripe.com に連絡するか、お申し出フォームのドロップダウンリストから「関連付けられた金融口座」を選択して、すぐに Stripe までご連絡ください。
Stripe は、苦情とは「Connections サービスに関連した、製品、サービス、ポリシー、または従業員に対する不満の表現。ただし、お客様の従業員からの不満を除く」と定義しています。
訴訟のおそれがある、または規制当局から提出されたものである場合、「行政機関による苦情」とみなすことがあります。こうした苦情は受領から 1 日以内に Stripe に通知してください。