身分証明書を収集したり、消費者の生体情報を使用したりすることは、多くの国においてさまざまな法の下で厳しく監視されています。Stripe の本人確認サービスでは、コンプライアンスプログラムの一環として使用できる単一の入力またはツールを提供しています。Stripe の本人確認サービスを自社のコンプライアンスプログラムの一環として使用することが適切かどうかを判断する際に、独立した立場からの法務上またはコンプライアンス上のアドバイスを求めることを推奨しています。Stripe では、顧客確認 (KYC) などの規制当局による法的義務を遵守するための包括的な手法を提供していません。また、Stripe がお客様に代わってこうした要件を満たす代理店としてのサービスを提供することはありません。
お客様の意図をユーザーに正しく理解していただき、安全な組み込みを構築できるように、本番環境へ移行する前にベストプラクティスを確認してください。また、Stripe Identity を介した本人確認の仕組みをユーザーに説明する際には、こちらのよくあるご質問のテンプレートをご利用ください。
Stripe Identity では、顧客情報が Stripe の各プライバシーポリシーに基づきお客様と Stripe の両方に使用、共有されることを通知すると共に、本人確認を目的とした生体認証情報の使用に関する事前同意を得ることで、法的要件へのスムーズな対応を実現しています。
Stripe では、顧客の画像と身分証明書のコピー、および同意の記録 (該当する場合) を Stripe ダッシュボードに保存しますが、こうしたデータの保持、使用、および削除に適用される追加の義務が発生する場合があります。
こうした機密性の高い個人データをどのように使用、保持、および削除すべきかを把握するために、常に弁護士に確認する必要があります。いくつかの分野で適用される、留意すべき義務の具体例を以下にいくつか示します。
顧客が生体認証情報の使用に同意しない場合、サービスにアクセスするための、生体認証識別子の作成が不要な代替手段をお客様が提供しなければならない可能性があります。 詳しくは、弁護士にご確認ください。1 つの代替案は、本人確認のための人の手によるレビューフローを用意することです。
プライバシー法には、企業が個人データを取得時の目的に必要な期間よりも長く保持することや、個人が削除をリクエストした後も個人データを保持することを禁止しているものが増えつつあります。 デフォルトでは、Stripe はビジネスニーズとこうした要件のバランスを取り、データを 3 年間 Stripe ダッシュボードに保持して、顧客からリクエストがあった場合やデータが不要になった場合に、データを速やかに削除できるようにしています。 生体情報については、Stripe による生体情報の保持期間をこちらでご確認いただけます。
シンガポールやドイツなどの一部の国では、ID カードを特に機密性の高い情報として扱っています。十分かつ正当な理由がない限り、シンガポールの ID カードをリクエストすることはできません。また、明示的な同意がなければ、初回の本人確認が行われた後にドイツの ID カードのコピーを保持することはできません。適用される法律を調べて、自社のユースケースに問題がないことを確認し、伏字処理エンドポイントを使用して、保持する法的根拠のないデータを削除してください。
Stripe はお客様の法的義務を把握しておらず、データ処理業者としてサービスを提供する場合に、お客様に代わってデータを削除することはできません。このため、自分の情報の削除をリクエストする顧客には、加盟店へ直接連絡を取るように要請しています。顧客からデータの削除を求められた場合は、VerificationSession を伏字処理して、その VerificationSession から個人データを削除できます。この処理には最大 4 日かかる場合があります。完了すると、Stripe はサービスプロバイダーとして当該の VerificationSession からの個人データを保存しなくなります。
Stripe が個人データの独立した管理者でもあることを顧客に知らせていただいたうえで、個人データの削除を Stripe に依頼する際の連絡先 (privacy@stripe.com) を顧客に案内することをお勧めします。