今すぐ試す  営業にお問い合わせ 
今すぐ試す  お問い合わせ 

CCPA 準拠の決済プロバイダーの選び方

Payments
Payments

成長中のスタートアップからグローバル企業まで、あらゆるビジネスに対応できる決済ソリューションを利用して、オンライン決済、対面支払いなど、世界中のあらゆる場所で決済を受け付けます。

もっと知る 
  1. はじめに
  2. なぜカリフォルニア消費者プライバシー法が支払いに重要なのか?
  3. 決済処理業者はどのような個人データを使用していますか?
  4. ベンダーの CCPA 準拠をどのように評価すべきか?
  5. 決済におけるデータガバナンスの弱さを示す兆候は?
  6. 調達チームは、CCPA コンプライアンスのギャップを早期に発見するために、提案依頼書をどのように構成できるのか?
  7. Stripe Payments でできること
  8. Stripe を始める 

カリフォルニア消費者プライバシー法 (CCPA) およびその発展であるカリフォルニア州プライバシー権法 (CPRA) は、デジタルサービスプロバイダーが顧客データを 収集・使用・保持・共有 する際の基準を定めています。支払いプロバイダーを選ぶ際には、CCPA と CPRA の準拠が特に重要です。違反ごとの罰金は最大で 8,000 ドルに達する可能性があります。

以下では、CCPA 準拠の決済ベンダーの選び方、ベンダーのプライバシー能力の評価方法、調達プロセスの早期段階でのコンプライアンスギャップの発見方法について説明します。

目次

  • なぜカリフォルニア消費者プライバシー法が支払いに重要なのか?
  • 決済処理業者はどのような個人データを使用していますか?
  • ベンダーの CCPA 準拠をどのように評価すべきか?
  • 決済におけるデータガバナンスの弱さを示す兆候は?
  • 調達チームは、CCPA コンプライアンスのギャップを早期に発見するために、提案依頼書をどのように構成できるのか?
  • Stripe Payments でできること

なぜカリフォルニア消費者プライバシー法が支払いに重要なのか?

CCPA はカリフォルニア州民に対し、自らの個人情報がどのように収集されるかを知る権利、その削除を求める権利、販売を停止させる権利を付与しています。CCPA の範囲には、決済プロバイダーが含まれます。これは、決済プロバイダーが氏名、メールアドレス、住所、カード番号、取引詳細などの機密データを扱うためです。

多くの場合、決済ベンダーは法律上「サービスプロバイダー」と見なされます。企業は限定的な条件下で決済ベンダーと顧客データを共有できますが、ベンダーは同レベルのプライバシー保護を提供しなければなりません。決済処理業者がそのデータを(例えば取引履歴を分析して自社のマーケティング商品を構築するなど)再利用した場合、その法的境界を越えることになります。

CCPA を無視すると、たとえ事業がカリフォルニア州外にあっても金銭的損失や評判の失墜につながる可能性があります。CCPA は、事業所在地に関わらずカリフォルニア州のすべての居住者に適用されます。これはヨーロッパの一般データ保護規則 (GDPR) と同様です。

決済処理業者はどのような個人データを使用していますか?

すべての支払いには、さまざまな個人情報や機密情報が関わっています。

以下がその内容です:

  • 顧客識別子: 氏名、メールアドレス、郵便住所、アカウント名。チェックアウト時に収集されたインターネットプロトコル (IP) アドレスも個人情報として認められます。

  • 金融データ: クレジットカードおよびデビットカード番号、有効期限、 セキュリティコード、銀行口座番号やルーティング番号も含まれます。CCPA はこれらを金融身元に直接結びつくため、機密性の高い個人情報と分類しています。

  • 取引データ: 購入履歴、注文金額、タイムスタンプ、ビジネス詳細。これらの記録は特定の個人に関連する支出パターンを明らかにします。

  • 詐欺防止データ: デバイスの指紋、位置情報、行動指標はすべて法律上個人データとしてカウントされます。

  • 認証データ: 暗号化されたログイン情報、アカウントトークン、時には顔認証や指紋認証などの生体認証も機密データとみなされます。

  • 顧客通信: サポートメール、チャットログ、通話録音には、アカウントや取引に関連する個人情報が含まれていることが多いです。

ベンダーの CCPA 準拠をどのように評価すべきか?

決済プロバイダーはあなたの代わりにデータを処理しますが、顧客が法的に行う権利のあるリクエストを彼らがサポートできるか確認する必要があります。

以下の点を考慮してください:

  • オプトインの同意処理:: CCPA では、多くの決済プロバイダーはオプトイン同意を必要としません。しかし「販売または共有を拒否する」設定(Do Not Sell or Share)を尊重する必要があります。もしクッキーやトラッキングツールを使って不正検出や分析を行う場合は、それらがオプトアウト権と衝突していないか確認してください。

  • アクセスと携帯性: 顧客は企業が保有する個人データを知る権利があります。つまり、ベンダーは必要に応じて回収できるはずです。個別の記録をどのように見つけてまとめているのか(メールで、 カードトークンまたはトランザクション ID)と、データを公開する前に身元をどのように検証するかについてです。成熟したベンダーであれば、この情報を API や定義済みのワークフローで提供できます。

  • 削除および保持管理: サービスプロバイダーは一般的に、要請があれば顧客情報を削除する義務があります。支払いデータの削除は必ずしも簡単ではありません。ベンダーは、あなたが指示したとおりに個人データを削除しつつ、法令遵守に必要な部分は保持しなければなりません。

決済におけるデータガバナンスの弱さを示す兆候は?

弱いデータガバナンスの警告サインを見逃すことで、後のコンプライアンスリスクや評判の損失から身を守ることができます。

以下の点にご注意ください。

  • コンプライアンスの証明なし: 成熟したベンダーであれば、慎重なデータ管理を行っている証拠を示すことができます。決済カード業界データセキュリティ標準 (PCI DSS) 報告書、文書化された CCPA 手続き、 システムおよび組織制御 (SOC) 2 報告書、または 国際標準化機構 (ISO) 認証 などが、そのデータ管理状況を示す根拠になります。

  • 曖昧なセキュリティ対策: たとえば暗号化の基準が不明確であったり、アクセス制御や脆弱性テストを定期的に実施していない場合です。ベンダーが暗号化されていないカードデータを保存している、多要素認証がなければ、侵害対応計画を説明できない場合、それは致命的な問題です。

  • 不透明なデータ使用: 一部の決済プロバイダーは、ビジネスとは無関係な分析、広告、機械学習モデルのために取引データを利用しています。顧客は、自分のデータがどのように利用されるかについて選択し管理できなければなりません。

  • 透明性への抵抗: デューデリジェンス中の回避(例:データフロー、保持、サブプロセッサー(下請け処理業者)に関する直接的な回答を避ける)は明確な警告サインです。その他の問題点としては、セキュリティアンケートの回答拒否や限定的な監査の許可が挙げられます。

  • プライバシーのリーダーシップが欠如している: ベンダーにプライバシー責任者やコンプライアンスチーム、または顧客データを扱うスタッフ向けの社内研修がない場合、リスク管理が後手に回る可能性があります。

調達チームは、CCPA コンプライアンスのギャップを早期に発見するために、提案依頼書をどのように構成できるのか?

提案依頼書 (RFP) は、決済プロバイダー各社のデータガバナンスの成熟度を比較するのに役立ちます。

以下の行動を検討してください:

  • 専用のプライバシーセクションを含める: 付録にデータ保護を埋もれてはいけません。CCPA 準拠を独自のスコア付きカテゴリーにし、プライバシーがビジネス基準の一部であり、脇役の問題ではないことを示しましょう。

  • データの詳細を求める: ベンダーが収集・処理・保持する個人情報(名前、メール、カードデータ、デバイス ID など)とその理由を明確に示すリストを要求してください。ベンダー間で回答を比較し、不必要に詳細なデータ収集が警告サインであることを理解しましょう。

  • 顧客の権利処理を調査する: アクセスや削除のリクエスト、検証や処理時間の処理方法を問う。強力なベンダーは、このプロセスをステップバイステップで説明したり、サンプルワークフローを提供したりできます。

  • データの保持および終了手続きを確認する: ベンダーに対し、個人データをどのくらいの期間保持するか、削除のトリガーとなるもの、契約終了時のデータ処理方法を明記させましょう。指示でデータを削除または返すコミットメントが必要です。

  • セキュリティと透明性を評価する: 監査報告書(例: SOC 2、PCI DSS、ISO/IEC 27001) および書面による違反通知手続きなどを要求しましょう。供給できないベンダーは、エンタープライズコンプライアンスに対応できていません。

Stripe Payments でできること

Stripe Payments は統合型のグローバル決済ソリューションです。成長中のスタートアップから大企業まで、あらゆる企業がオンライン・対面・世界中で決済を受け付けることができます。

Stripe Payments の特徴

  • 決済体験の最適化: 構築済みの決済 UI、125 種類以上の決済手段へのアクセス、Stripe が構築したウォレットである Link により、スムーズな顧客体験を実現し、エンジニアリングの工数を何千時間も節約できます。

  • 新市場への迅速な展開: 195 か国、135 以上の通貨で利用可能な国際決済オプションにより、世界中の顧客にリーチし、多通貨管理の複雑性とコストを軽減できます。

  • 対面とオンライン決済の統合: オンラインと対面チャネルにまたがるユニファイドコマース体験を構築し、インタラクションをパーソナライズし、ロイヤルティに報い、収益を伸ばします。

  • 決済パフォーマンスの向上: コード不要の不正利用対策や、承認率向上のための高度な機能を含む、カスタマイズ可能で設定が簡単な支払いツールを活用して、収益を増やします。

  • 柔柔軟で信頼性の高いプラットフォームによる迅速な成長: 99.999% の稼働実績と業界トップクラスの信頼性を備え、あなたの成長に合わせてスケールするよう設計されたプラットフォーム上でビジネスを展開できます。

Stripe Payments がオンラインおよび対面での支払いをどのようにサポートできるか、詳しくはこちらをご覧ください。または、今すぐ始めることもできます。

この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。

その他の記事

  • 問題が発生しました。もう一度お試しいただくか、サポートにお問い合わせください。

今すぐ始めましょう

アカウントを作成し、支払いの受け付けを開始しましょう。契約や、銀行情報の提出などの手続きは不要です。貴社ビジネスに合わせたカスタムパッケージのご提案については、営業担当にお問い合わせください。
Payments

Payments

あらゆるビジネスに対応できる決済ソリューションを利用して、世界中のあらゆる場所でオンライン決済と対面決済を受け付けましょう。

Payments のドキュメント

Stripe の支払い API の導入方法について、ガイドをご覧ください。