For your convenience, we have provided a translation of this page below. This translation is for informational purposes only, and the definitive version of this page is the English version.
Last updated: February 3, 2022
This Privacy Policy includes important information about your personal data and we encourage you to read it carefully.
Welcome
We provide economic infrastructure for the internet. Businesses of all sizes use our software and services to accept payments and manage their businesses online. Stripe cares about the security and privacy of the personal data that is entrusted to us.
This Privacy Policy (“Policy”) describes the “Personal Data” that we collect about you, how we use it, how we share it, your rights and choices, and how you can contact us about our privacy practices. This Policy also outlines your data subject rights, including the right to object to some uses of your Personal Data by us. Please visit the Stripe Privacy Center for more information about our privacy practices.
“Stripe”, “we”, “our” or “us” means the Stripe entity responsible for the collection and use of personal data under this Privacy Policy. It differs depending on your country. Learn more.
“Personal Data” means any information that relates to an identified or identifiable individual, and can include information about how you engage with our Services (e.g. device information, IP address).
“Services” means the products and services that Stripe indicates are covered by this Policy, which may include Stripe-provided devices and apps. Our “Business Services” are Services provided by Stripe to entities (“Business Users”) who directly and indirectly provide us with “End Customer” Personal Data in connection with those Business Users’ own business and activities. Our “End User Services” are those Services which Stripe directs to individuals (rather than entities) so that those individuals do business directly with Stripe. “Sites” means Stripe.com and the other websites that Stripe indicates are covered by this Policy. Collectively, we refer to Sites, Business Services and End User Services as “Services”.
Depending on the context, “you” means End Customer, End User, Representative or Visitor:
- When you directly use an End User Service (such as when you sign up for Link, or make a payment to Stripe Climate in your personal capacity), for your personal use, we refer to you as an “End User.”
- When you do business with, or otherwise transact with, a Business User (typically a merchant using Stripe Checkout, e.g. when you buy a pair of shoes from a merchant that uses Stripe for payment processing) but are not directly doing business with Stripe, we refer to you as an “End Customer.”
- When you are acting on behalf of an existing or potential Business User (e.g. you are a founder of a company, or administering an account for a merchant who is a Business User), we refer to you as a “Representative.”
- When you visit a Site without being logged into a Stripe account or otherwise communicate with Stripe, we refer to you as a “Visitor.” (e.g. you send Stripe a message asking for more information because you are considering being a user of our products).
Depending on the activity, Stripe acts as a “data controller” or “data processor” and for more information about this and on the Stripe entity that is responsible under this Policy, see here.
- 1. Personal data that we collect and how we use and share it
- 2. More ways we collect, use and share personal data
- 3. Legal bases for processing data
- 4. Your rights and choices
- 5. Security and retention
- 6. International data transfers
- 7. Updates and notifications
- 8. Jurisdiction-specific provisions
- 9. Contact us
3. Legal bases for processing data
For the purposes of the General Data Protection Regulation, we rely upon a number of legal bases to enable our processing of your Personal Data. For more information see here.
a. Contractual and Pre-Contractual Business Relationships. We process Personal Data for the purpose of entering into business relationships with prospective Business Users and End Users and to perform the respective contractual obligations that we have with these Users. Activities include:
- Creation and management of Stripe accounts and Stripe account credentials, including the evaluation of applications to commence or expand the use of our Services;
- Creation and management of Stripe Checkout accounts;
- Accounting, auditing, and billing activities; and
- Processing of payments, including fraud detection and prevention, optimizing valid transactions, communications regarding such payments, and related customer service.
b. Legal Compliance. We process Personal Data to verify the identity of our Users in order to comply with fraud monitoring, prevention and detection obligations, laws associated with the identification and reporting of illegal and illicit activity, such as "Anti-Money Laundering ("AML") and Know-Your-Customer ("KYC")" obligations, and financial reporting obligations. For example, we may be required to record and verify a User’s identity for the purpose of compliance with legislation intended to prevent money laundering and financial crimes. These obligations are imposed on us by the operation of law, industry standards, and by our financial partners, and may require us to report our compliance to third parties, and to submit to third party verification audits.
c. Legitimate Business Interests. Where allowed under applicable law, we rely on our legitimate business interests to process Personal Data about you. The following list sets out the business purposes for which we have a legitimate interest in processing your data:
- Detect, monitor and prevent fraud and unauthorized payment transactions;
- Mitigate financial loss, claims, liabilities or other harm to End Customers, End Users, Business Users and Stripe;
- Determine eligibility for and offer new Stripe products and services Learn More;
- Respond to enquiries, send Service notices and provide customer support;
- Promote, analyze, modify and improve our Services, systems, and tools, and develop new products and services, including reliability of the Services;
- Manage, operate and improve the performance of our Sites and Services by understanding their effectiveness and optimizing our digital assets;
- Analyze and advertise our Services;
- Conduct aggregate analysis and develop business intelligence that enable us to operate, protect, make informed decisions, and report on the performance of, our business;
- Share Personal Data with third party service providers that provide services on our behalf and business partners which help us operate and improve our business Learn More;
- Enable network and information security throughout Stripe and our Services; and
- Share Personal Data among our affiliates.
d. Consent. We may rely on consent to collect and process Personal Data as it relates to how we communicate with you and for the provision of our Services like Link, Atlas and Identity. When we process data based on your consent, you have the right to withdraw your consent at any time without affecting the lawfulness of processing based on such consent before the consent is withdrawn.
4. Your rights and choices
You may have choices regarding our collection, use and disclosure of your Personal Data:
a. Opting out of receiving electronic communications from us
If you no longer want to receive marketing-related emails from us, you may opt-out via the unsubscribe link included in such emails or as described here. We will try to comply with your request(s) as soon as reasonably practicable. Please note that if you opt-out of receiving marketing-related emails from us, our Business Users may still send you messages and direct us to send you messages on their behalf.
b. Your data protection rights
Depending on your location and subject to applicable law, you may have the following rights described here with regard to the Personal Data we control about you:
- The right to request confirmation of whether Stripe processes Personal Data relating to you, and if so, to request a copy of that Personal Data;
- The right to request that Stripe rectifies or updates your Personal Data that is inaccurate, incomplete or outdated;
- The right to request that Stripe erase your Personal Data in certain circumstances provided by law. Learn more;
- The right to request that Stripe restrict the use of your Personal Data in certain circumstances, such as while Stripe considers another request that you have submitted (including a request that Stripe make an update to your Personal Data);
- The right to request that we export your Personal Data that we hold to another company, where technically feasible;
- Where the processing of your Personal Data is based on your previously given consent, you have the right to withdraw your consent at any time; and/or
- Where we process your information based on our legitimate interests, you may also have the right to object to the processing of your Personal Data. Unless we have compelling legitimate grounds or where it is needed for legal reasons, we will cease processing your information when you object.
c. Process for exercising your data protection rights
To exercise your data protection rights please also see the Stripe Privacy Center or contact us as described below.
5. Security and retention
We make reasonable efforts to provide a level of security appropriate to the risk associated with the processing of your Personal Data. We maintain organizational, technical and administrative measures designed to protect Personal Data covered by this Policy against unauthorized access, destruction, loss, alteration or misuse. Personal Data is only accessed by a limited number of personnel who need access to the information to perform their duties. Unfortunately, no data transmission or storage system can be guaranteed to be 100% secure.
To help us protect personal data, we encourage you to use a strong password and never share your password with anyone or use the same password with other sites or accounts. If you have reason to believe that your interaction with us is no longer secure (e.g. you feel that the security of your account has been compromised), please contact us immediately. Learn More.
We retain your Personal Data as long as we are providing the Services to you or our Business Users (as applicable) or for a period during which we reasonably anticipate providing the Services. Even after we stop providing Services directly to you or a Business User with which you are doing business, and even if you close your Stripe account or complete a transaction with a Business User, we retain your Personal Data in order to comply with our legal and regulatory obligations. We may also retain it to allow for fraud monitoring, detection and prevention activities. We also keep Personal Data to comply with our tax, accounting, and financial reporting obligations, where we are required to retain the data by our contractual commitments to our financial partners, and where data retention is mandated by the payment methods you used. In cases where we keep Personal Data, we do so in accordance with any limitation periods and records retention obligations that are imposed by applicable law. Learn More.
6. International data transfers
We are a global business. Personal Data may be stored and processed in any country where we do business, where our service providers do business or if you use an international payment method or financial partner service, the countries in which that payment method or financial partner operates. We may transfer your Personal Data to countries other than your own country, including to the United States. These countries may have data protection rules that are different from your country. When transferring data across borders, we take measures to comply with applicable data protection laws related to such transfer. In certain situations, we may be required to disclose Personal Data in response to lawful requests from Officials (such as law enforcement or security authorities).
If you are located in the European Economic Area (“EEA”), the "United Kingdom ("UK")" or Switzerland, please see Stripe Privacy Center for more information. Where applicable law requires a data transfer mechanism, we use one or more of the following: EU Standard Contractual Clauses with a data recipient outside the EEA, Switzerland or the UK, verification that the recipient has implemented Binding Corporate Rules, or other legal methods available to us under applicable law. For transfers to third countries we have entered into Standard Contractual Clauses, approved by the European Commission, to ensure an adequate level of protection for the transfer of your Personal Data to those entities outside the EEA. You can obtain a copy of the relevant Standard Contractual Clauses. Learn More.
While Stripe Inc. remains self-certified under the E.U.-U.S. Privacy Shield and the Swiss-U.S. Privacy Shield, it is not currently relying on these frameworks for the transfer of personal data to the U.S. For more information, please see Stripe Privacy Center.
7. Updates and notifications
We may change this Policy from time to time to reflect new services, changes in our privacy practices or relevant laws. The “Last updated” legend at the top of this Policy indicates when this Policy was last revised. Any changes are effective when we post the revised Policy on the Services.
We may provide you with disclosures and alerts regarding the Policy or Personal Data collected by posting them on our website and, if you are an End User or Business User, by contacting you through your Stripe Dashboard, email address and/or the physical address listed in your Stripe account.
If applicable law requires that we provide notice in a specified manner prior to making any changes to this Policy applicable to you, we will provide such required notice.
8. Jurisdiction-specific provisions
- Australia. If you are an Australian resident, and you are dissatisfied with our handling of any complaint you raise under this Policy, you may wish to contact the Office of the Australian Information Commissioner.
- EEA and UK. To exercise your rights, you may contact our DPO. If you are a resident of the EEA or we have identified Stripe Payments Europe Limited as your data controller, and believe we process your information within the scope of the General Data Protection Regulation (GDPR), you may direct your questions or complaints to the Irish Data Protection Commission. If you are a resident of the UK, you may direct your questions or concerns to the UK Information Commissioner’s Office. Where Personal Data is used for regulated financial activities in Europe, Stripe Payments Europe Limited and Stripe local regulated entities (defined as those who are licensed, authorized or registered by a Local Regulatory Authority) are considered joint controllers. Learn More.
- Indonesia. As used in this Policy, “applicable law” includes Law No. 11 of 2008 as amended by Law No. 19 of 2016 on Electronic Information and Transactions, Government Regulation No. 71 of 2019 on the Implementation of Electronic Systems and Transactions, and Minister of Communication and Informatics Regulation No. 20 of 2016 on Personal Data Protection in Electronic Systems and “Personal Data” includes “personal data” as defined under such laws.
- Malaysia. If you have any questions or complaints about this Policy, please contact our DPO.
- Thailand. Thailand residents may have additional rights under applicable laws. If we process your Personal Data due to a legal obligation or contractual right, and you do not provide us with personal Information, we may not be able to lawfully provide you services.
- United States - California. If you are a consumer located in California, we process your personal information in accordance with the California Consumer Privacy Act ("CCPA"). You have a right to receive notice of our practices at or before collection of personal information. This section provides additional details about the personal information we collect and use for purposes of CCPA.
- How We Collect, Use, and Disclose your Personal Information. The Personal Data We Collect section further describes the personal information we may have collected about you, including the categories of sources of that information. We collect this information for the purposes described in the How We Use Personal Data section. We share this information as described in the How We Disclose Personal Data section. For specific details, please see here. Stripe uses cookies, including advertising cookies, as described in our Cookie Policy.
- Your CCPA Rights and Choices. As a California consumer and subject to certain limitations under the CCPA, you have choices regarding our use and disclosure of your personal information (learn more):
- Exercising the right to know: you may request that we disclose to you the personal information we have collected about you. You also have a right to request additional information about categories of their personal information collected, sold, or disclosed; purposes for which this personal information was collected or sold; categories of sources of personal information; and categories of third parties with whom we disclosed this personal information.
- Exercising the right to delete: you may request that we delete the personal information we have collected from you, subject to certain limitations under applicable law.
- Exercising the right to opt-out from a sale: We do not sell Personal Data as defined by the CCPA and have not done so in the past 12 months.
- Non-discrimination: The CCPA provides that you may not be discriminated against for exercising these rights.
- To submit a request to exercise any of the rights described above, please contact us using the methods described in the Contact Us section below. You may designate, in writing or through a power of attorney, an authorized agent to make requests on your behalf to exercise your rights under the CCPA. Before accepting such a request from an agent, we will require the agent to provide proof you have authorized it to act on your behalf, and we may need you to verify your identity directly with us.
- Further, to provide or delete specific pieces of personal information we will need to verify your identity to the degree of certainty required by law. We will verify your request by asking you to send it from the email address associated with your account or requiring you to provide information necessary to verify your account.
- An authorized agent may submit a request on your behalf by contacting us using the methods described in the Contact Us section below. We may still require you to directly verify your identity and confirm that you provided the authorized agent permission to submit the request.
9. Contact us
If you have any questions or complaints about this Policy, please contact us. If you are an End Customer (i.e. an individual doing business or transacting with a Business User), please refer to the privacy policy or notice of the Business User for information regarding the Business User’s privacy practices, choices and controls, or contact the Business User directly.
プライバシーポリシー
お客様の便宜を図るため、本ページの翻訳版をご用意しております。翻訳版は情報提供のみを目的としており、本ページは英語版が正式なものとなります。
最終更新日:2022年2月3日
本プライバシーポリシーには、お客様の個人データに関する重要な情報が記載されていますので、注意深くお読みください。
ようこそ
Stripeは、インターネットのための経済インフラストラクチャーを提供しています。様々な規模のビジネスが、当社のソフトウェアおよびサービスを利用して、オンラインで支払いの受領を行い、ビジネスを管理しています。Stripeは、お預かりする個人データのセキュリティおよびプライバシーについて細心の注意を払っています。
本プライバシーポリシー(以下「本ポリシー」といいます)は、当社がお客様について収集する「個人データ」、当社による個人データの使用および共有方法、お客様の権利および選択肢、ならびに当社のプライバシーの取り扱いに関するお問い合わせ方法について説明しています。また、本ポリシーは、当社によるお客様の個人データの一部の使用に異議を唱える権利を含む、お客様のデータ主体としての権利についても概説しています。当社のプライバシーの取り扱いの詳細については、Stripeプライバシーセンターをご覧ください。
「Stripe」または「当社」とは、本プライバシーポリシーに基づく個人データの収集および使用に責任を負うStripeの事業体を意味し、国によって異なります。 もっと詳しく知る。
「個人データ」とは、識別されたまたは識別可能な個人に関連するあらゆる情報を意味し、お客様が当社サービスにどのように関与するかに関する情報(デバイス情報、IPアドレスなど)が含まれます。
「サービス」とは、本ポリシーの対象となることをStripeが示している製品およびサービスを意味し、Stripeが提供するデバイスやアプリを含みます。当社の「ビジネスサービス」とは、自身の事業および活動に関連して、直接的または間接的に「最終顧客」の個人データを当社に提供する事業体(以下「ビジネスユーザー」といいます)に対して、Stripeが提供するサービスです。当社の「エンドユーザーサービス」とは、Stripeが個人(事業体ではない)に対して提供し、それにより当該個人がStripeと直接取引を行うサービスです。「サイト」とは、Stripe.comならびに本ポリシーの対象となることをStripeが示しているその他のウェブサイトを意味します。サイト、ビジネスサービス、およびエンドユーザーサービスを総称して「サービス」といいます。
文脈に応じて、「お客様」とは、最終顧客、エンドユーザー、代表者、または訪問者を意味します。
- お客様が個人的利用のためにエンドユーザーサービスを直接利用する場合(お客様がLinkにサインアップする場合、または個人の立場でStripe Climateに支払いを行う場合など)、当社はそのお客様を「エンドユーザー」と呼びます。
- お客様が、ビジネスユーザー(通常はStripe Checkoutを使用する加盟店。例えば、支払処理にStripeを使用する加盟店から靴を購入する場合など)と取引もしくは業務を行っているものの、Stripeとは直接取引を行っていない場合、当社はそのお客様を「最終顧客」と呼んでいます。
- お客様が既存または潜在的なビジネスユーザーの代表として行動する(例えば、お客様が会社の創設者である、またはビジネスユーザーである加盟店のアカウントを管理している)場合、当社はお客様を「代表者」と呼びます。
- お客様がStripeアカウントにログインせずにサイトを訪問する場合、またはStripeと通信する場合、当社はそのお客様を「訪問者」と呼びます(例えば、当社製品のユーザーとなることを検討しているため、Stripeに詳細情報を求めるメッセージを送信するなど)。
活動に応じて、Stripeは「データ管理者」または「データ処理者」の役目を果たします。この件および本ポリシーに基づき責任を負うStripeの事業体の詳細については、こちらを参照してください。
1. 当社が収集する個人データおよびその使用・共有方法
1.1 エンドユーザー
当社は、エンドユーザーサービスを提供する場合、企業に対するサービスプロバイダーとしては行動せず、お客様の個人的な利用(例えばLinkユーザー)のために、サービスを直接お客様に提供します。当社がお客様の個人データを使用(処理)する際に依拠する法的根拠の詳細については、こちら を参照してください。
エンドユーザーについて当社が収集する個人データ
- Linkの使用または銀行口座への接続 Stripeは、お客様が自分の支払方法をStripeに保存し、それを当社のビジネスユーザーである加盟店で便利に使用できるようにする機会を提供しています。これを「Link」と呼んでいます(旧称「Remember Me」)。お客様は、Linkにオプトインすることで、当社がお客様の支払方法(氏名、カード番号、セキュリティコード(CVC)、有効期限など)を保存することに同意することになります。これによりお客様は、Linkを通じて、当社の支払処理ビジネスサービスのビジネスユーザーからより簡単に購入できるようになります。お客様がLinkを使った支払いを選択した場合、当社はお客様の取引データも収集します。詳しくはこちらをご覧ください。
- お客様が銀行口座情報(Linkでの使用を含む)を当社と共有することを選択した場合、Stripeは、お客様の銀行口座情報(口座名義人情報、口座残高、口座番号および詳細、口座取引、および場合によっては認証情報など)を定期的に収集し、処理します。ただし、お客様が当社に対し、お客様の銀行口座への接続停止を要請するまでとします。詳しくはこちらをご覧ください。
- Stripeへの支払い お客様が商品またはサービスを直接Stripeから購入する場合、当社は取引データを受け取ります。例えば、お客様がStripe Climateに支払いを行う場合、当社は連絡先情報、支払方法情報、その取引に関する情報、場合によっては出荷情報を収集します。
- その他のサービス 当社は、特定の金融サービスを含め、その他のエンドユーザーサービスを随時お客様に直接提供する場合があります。個人データの収集および使用の詳細については、こちらをご覧ください。
- その他 当社が収集する可能性のあるその他の種類の個人データ(オンライン活動に関する情報を含む)については、以下をご覧ください。
当社がエンドユーザーの個人データを使用・共有する方法
- サービス 当社は、お客様の個人データを使用してエンドユーザーサービスをお客様に提供します。それには、セキュリティ、配信、サポート、パーソナライゼーション、およびエンドユーザーサービスに関連するメッセージ(本ポリシーの更新や当社サービスに関する情報の伝達など)が含まれます。当社はまた、詐欺行為を検出および軽減するビジネスサービスのためにお客様の個人データを使用し、これらのビジネスサービスの一環として、お客様が取引を希望するビジネスユーザーと、特定の個人データを共有する場合があります。この個人データの使用には、ビジネスユーザーのプライバシーポリシーが適用されます。
- 当社のビジネスユーザー お客様は、銀行口座をStripeに接続することを選択する場合、取引を行う特定のビジネスユーザーと口座情報を共有することも選択できます。これらのビジネスユーザーには、情報の使用方法を示した独自のプライバシーポリシーがあります。
- 取引 Linkを使った支払取引では、エンドユーザーの個人データは、取引を有効にするために他者と共有されます。例えば、お客様がStripeとの取引またはLinkを使った取引に、特定の支払方法(クレジットカード、デビットカード、後払い決済、自動引き落としなど)を使用することを選択した場合、その支払方法はお客様の個人データを含む取引情報を受け取ります。詳細については、お客様の支払方法のプライバシーポリシーをご確認ください。お客様がLinkを使用するとき、お客様が取引相手として選択した加盟店は、お客様の個人データを含む取引データを受け取り、お客様の許可がある場合はお客様の銀行口座情報も受け取ります。加盟店は、その個人データを他者と共有する場合があります(最終顧客については以下を参照)。詳細については、加盟店のプライバシーポリシーをご確認ください。
- 詐欺行為検出サービス 当社は、当社サービス(Stripe Radarなど)を通じて収集したお客様の個人データを使用して、当社、当社のビジネスユーザー、および金融パートナーに対する詐欺行為を検出および防止します。これには、お客様のオンライン活動を使用した不正なログインの検出も含まれます。当社は、詐欺行為を検出するビジネスサービスの提供を依頼したビジネスユーザー(カード発行会社および支払処理活動に関与するその他の者を含む)にお客様に関する個人データ(お客様が試みた取引を含む)を提供する場合があります。これは取引に伴う詐欺行為のリスクを評価できるようにするためです。試行された取引に関連する詐欺行為のリスクを評価するために、当社がテクノロジーを使用する方法について、詳細はこちらをご覧ください。
- 広告 当社は、お客様の個人データを使用して、お客様の資格を評価し、お客様に他のエンドユーザーサービスを提供する場合があります。お客様による許可がある場合、または法律により許可されている場合、適用法上要求される同意の要件に従い、興味関心連動型広告などを含む方法を通じて、当社の製品およびサービスをお客様にマーケティングするために、個人データを使用および他者と共有する場合があります。当社のクッキーポリシーをご覧ください。当社は、お客様が当社または第三者に許可を与えない限り、マーケティングまたは広告のために、エンドユーザーの個人データを第三者と共有しません。当社が、エンドユーザーのデータを販売することはありません。
- その他 当社がお客様の個人データを使用・共有するその他の方法については、以下をご覧ください。
1.2 最終顧客
Stripeは、当社のビジネスユーザーにビジネスサービス(対面チェックアウトやオンラインチェックアウトなど)を提供します。当社がビジネスユーザーのサービスプロバイダー(またはデータ処理者)として行動する場合、当社は、ビジネスユーザーとの契約条件およびビジネスユーザーの適法な指示に従って個人データを処理します。例えば、お客様がビジネスユーザーから製品を購入することにより、ビジネスユーザーのために支払取引を処理します。ビジネスユーザーは、自らのサービスに関連して発生するデータの収集および使用に関する適切な開示を保証することを含め、自らの最終顧客のプライバシー権が確実に尊重されるよう責任を負います。お客様が最終顧客(オンラインビジネスユーザーサイトの製品の購入者など)である場合、ビジネスユーザーのプライバシーの取り扱い、選択および管理に関する情報については、ビジネスユーザーのプライバシーポリシーまたは通知を参照するか、ビジネスユーザーに直接お問い合わせください。当社がお客様の個人データを使用(処理)する際に依拠する法的根拠の詳細については、こちら を参照してください。
a. 当社が最終顧客について収集する個人データ
- 取引データ お客様が最終顧客である場合は、支払処理ビジネスサービスの提供で当社を使用するビジネスユーザーとの間で、お客様が支払いをする、返金を受ける、購入を開始する、寄付を行う、もしくはその他の取引を行うとき、当社は取引データを受け取ります。当社が収集する「取引データ」には、個人データが含まれ、お客様の氏名、電子メールアドレス、請求先住所、配送先住所、支払方法情報(クレジットカード番号またはデビットカード番号、銀行口座情報、またはお客様が選択した支払カード画像など)、加盟店および所在地、購入金額、購入日、ならびに場合によっては、お客様が購入したものに関する情報およびお客様の電話番号が含まれる場合があります。また、当社は、お客様のビジネスユーザーとの取引履歴を受け取る場合があります。詳しくはこちらをご覧ください。お客様がフォームの記入またはビジネスユーザーからの購入を行わないことを選択した場合でも、当社はチェックアウトフォームに入力された情報を収集する場合があります。詳しくはこちらをご覧ください。
- 身元情報/検証情報 Stripeは、お客様の年齢(年齢制限のある商品を購入する場合)や支払方法の使用許可など、ビジネスユーザーがお客様に関する個人データを検証できるようにする検証および詐欺行為検出サービスを提供しています。お客様は個人データの共有を求められ、当社は、お客様の政府発行ID、画像、入力した個人データ、または物理的な支払い方法から明らかなもの(例えば、クレジットカードの画像)など、この目的のためにお客様が共有を認める情報を収集します。当社はこの情報を、ビジネスユーザー、金融パートナー、ビジネスパートナー、身元確認サービス、公開されている情報源、および第三者サービスプロバイダーから収集したお客様に関する情報と比較する場合があります。詳しくはこちらをご覧ください。
- その他 当社が収集する可能性のあるその他の種類の個人データ(オンライン活動に関する情報を含む)については、以下をご覧ください。
b. 当社が最終顧客の個人データを使用・共有する方法
当社は通常、以下に説明されるビジネスサービスを提供するため、また以下に説明される当社ビジネスサービスの確保、改善、提供というStripe自身の目的のために、エンドユーザーの個人データを使用し、ビジネスユーザーと共有します。
- 支払い 当社は、オンライン支払取引の処理、適用される売上税の計算、請求書作成および送付、ならびに収益の計算を含む、当社の支払関連のビジネスサービスをビジネスユーザーに提供するために、お客様の取引データを使用します。詳しくはこちらをご覧ください。当社はまた、当社のビジネスサービスの提供および改善のために個人データを使用する場合があります。
- 支払取引に関連して、お客様の個人データは、お客様の取引に関連する複数の当事者と共有されます。当社はサービスプロバイダーまたは処理者として行動することから、取引を可能にするために個人データを共有します。例えば、お客様が取引のための支払方法(クレジットカード、デビットカード、後払い決済、自動引き落としなど)を選択した場合、お客様の支払方法は、お客様の個人データを含む取引データを受け取ることになります。この情報がどのように使用・共有されるかの詳細については、支払方法のプライバシーポリシーを確認してください。
- お客様が取引相手として選択した加盟店は、お客様の個人データを含む取引データも受け取り、その個人データを他者と共有する場合があります。詳細については、加盟店のプライバシーポリシーをご確認ください。
- その他の金融サービス 当社のビジネスユーザーの一部は、Stripeまたはその金融パートナーを通じて、お客様に金融サービスを提供するために当社のサービスを使用します。例えば、商品やサービスを購入できるカード商品を提供する場合があります。これらのカードには、Stripeブランド、銀行パートナーのブランド、および/またはビジネスユーザーのブランドが付いている場合があります。これらのカードが購入に使用される際に当社が作成または受領する可能性のある取引データに加えて、当社は、これらの商品を提供して管理するために、お客様の個人データを受領して使用します。また、該当する場合、金融サービスに関連している、ビジネスユーザーおよび当社の銀行パートナーのプライバシーポリシーも参照してください(カードにそのブランドが記載されている場合があります)。
- 身元/検証サービス 当社は、Stripeまたはお客様が取引するビジネスユーザーのために検証サービスを実施し、詐欺行為を減らして、セキュリティを強化するため、お客様の身元に関する個人データ(お客様および当社のサービスプロバイダーが提供する情報を含む)を使用します。お客様が、身分証明書類の画像とともに「自撮り写真」を提供する場合、当社はテクノロジーを使用して照合し、一致するかどうかを計算し、お客様を検証できるようにします。詳しくはこちらをご覧ください。
- 詐欺行為検出サービス 当社は、当社サービス全体で収集されたお客様の個人データを使用して、当社、当社のビジネスユーザー、および金融パートナー(Stripe Radarなど)に対する詐欺行為を検出および防止します。これには、お客様のオンライン活動を使用した不正なログインの検出も含まれます。当社は、詐欺行為を検出するビジネスサービスの提供を依頼したビジネスユーザー(カード発行会社および支払処理活動に関与するその他の者を含む)にお客様に関する個人データ(お客様が試みた取引を含む)を提供する場合があります。これは取引に伴う詐欺行為のリスクを評価できるようにするためです。当社がテクノロジーを使用して取引の試行に伴う詐欺行為のリスクを評価する方法、およびかかるリスクについてビジネスユーザーと共有する可能性のある情報についての詳細は、こことここ。
- 当社のビジネスユーザー(ビジネスユーザーに許可された第三者) 当社は、最終顧客の個人データを、それぞれのビジネスユーザーおよび当該ビジネスユーザーが個人データの受け取りを直接許可した当事者と共有します。これには、ビジネスユーザーが第三者アプリケーションプロバイダーにStripe Connectを使用して自分のStripeアカウントにアクセスすることを許可した場合に、最終顧客の個人データをビジネスユーザーと共有することが含まれます。例えば、ビジネスユーザーが身元確認サービスを使用して最終顧客の身元を確認する場合、Stripeは最終顧客が提供する情報、文書、または写真をビジネスユーザーと共有して、最終顧客の身元を確認します。お客様が取引相手として選択したビジネスユーザーはさらに、ビジネスユーザーが許可した第三者と、お客様の個人データを共有することができます。詳細については、加盟店のプライバシーポリシーをご確認ください。
- ビジネスユーザーによる広告 お客様が購入を開始した場合、当社は、サービスの提供に関連して、そのビジネスユーザーと個人データを共有します。また、そのビジネスユーザーは、自社の製品またはサービスのマーケティングおよび宣伝のために、お客様の個人データを使用する場合があります。マーケティング目的でのお客様の個人データの使用を停止させるお客様の権利を含め、詳細については、加盟店のプライバシーポリシーをご確認ください。当社は、当社のマーケティングもしくは広告のため、またはお客様が取引した、もしくは取引しようと試みたビジネスユーザーではない第三者によるマーケティングおよび広告のために、最終顧客の個人データを使用または共有することはありません。当社が、最終顧客のデータを販売することはありません。
- その他 当社がお客様の個人データを使用するその他の方法については、以下をご覧ください。
1.3 代表者
ビジネスサービスを提供するため、当社は、当社のビジネスユーザーの代表者(例えば、事業主)から個人情報を収集、使用、共有します。代表者がビジネスユーザーの唯一の従業員である場合、「エンドユーザー」および「最終顧客」のセクションを参照して、お客様が当社のサービスを利用する際に当社がお客様の個人データを収集および使用する他の方法をご確認ください。当社がお客様の個人データを使用(処理)する際に依拠する法的根拠の詳細については、こちらを参照してください。
a. 代表者について当社が収集する個人データ
- 登録および連絡先情報 お客様がビジネスユーザー向けのStripeアカウントに登録する(会社の設立を含む)場合、当社はお客様の名前とアカウントのログイン認証情報を収集します。お客様が、Stripeが企画または参加するイベントに登録する場合、またはお客様がStripeのコミュニケーションにサインアップする場合、当社はお客様の登録およびプロフィール情報を収集します。お客様が潜在的ビジネスユーザーの代表者である場合、当社は、下記および第2セクションに詳述するとおり、お客様に宣伝、売り込みおよび連絡をするために、第三者(データプロバイダーを含む)からお客様の個人データを受領します。
- 身元情報 お客様がビジネスユーザーの所有者である場合、またはお客様がビジネスユーザーの株主、役員、または取締役になることが見込まれている場合、当社は、当社の金融パートナーおよび規制上の要件を満たすために、お客様の氏名、住所、電話番号、電子メールアドレスなどの連絡先情報を提供するようお客様に要求します。また、当社は、ビジネスユーザーに対するお客様の所有権、お客様の生年月日、お客様およびお客様のビジネスユーザーに関連する政府発行の識別子(社会保障番号、納税者番号、または雇用者識別番号など)のような、お客様に関する財務的および個人的な情報を収集する場合があります。また、お客様は銀行口座情報の提供を選択することもできます。
- その他 当社が収集する可能性のあるその他の種類の個人データ(オンライン活動に関する情報を含む)については、以下をご覧ください。
b. 代表者の個人データの使用および共有方法
当社は通常、関連するビジネスユーザーにビジネスサービスを提供するため、および以下に説明する目的のために、代表者の個人データを使用します。
- ビジネスサービス 当社は、サービスを提供するため、代表者の個人データを使用し、ビジネスユーザーと共有します。当社の税金ビジネスサービスのユーザーについては、当社は、関連するビジネスユーザーに代わってお客様の個人データを使用して税の申告をする場合があります。お客様のビジネスユーザーがAtlasを使用する場合、当社は、お客様に代わってIRSにフォームを提出し、その他の政府当局に文書(お客様の設立州における定款など)を提出するために、お客様の個人データを使用する場合があります。
- 当社は、個人データを受け取ることをビジネスユーザーが直接許可した当事者(例えば、金融商品のサービスを提供する金融パートナー)とデータを共有します。ビジネスユーザーに許可された第三者による個人データの使用には、第三者のプライバシーポリシーが適用されます。当社のビジネスサービスでは、お客様の個人データを政府機関に提出することが必要になる場合があります(企業の設立、または適用される売上税の支払いなど)。
- 広告 当社は、お客様の許可を得た場合、または適用法により許可される場合、適用法上要求される同意の要件に従い、興味関心連動型広告などを含む方法を通じて、当社の製品およびサービスをお客様に宣伝し、マーケティングをするために代表者の個人データを使用および他者と共有する場合があります。当社のクッキーポリシーをご覧ください。当社が、代表者の個人データを販売することはありません。
- その他 当社がお客様の個人データを使用・共有するその他の方法については、以下をご覧ください。
1.4 訪問者(エンドユーザー、最終顧客または代表者ではないStripeサイトへの訪問者など)
当社がお客様の個人データを使用(処理)する際に依拠する法的根拠の詳細については、こちらを参照してください。
a. 当社が収集する訪問者の個人データ
お客様が当社サイトを訪問する際、当社は通常、お客様が当社に提供するか、または当社がクッキーや類似の技術を使用することにより、お客様の個人データを受け取ります。当社のクッキーポリシーをご覧ください。
- フォーム お客様が当社サイトまたは当社の広告を掲載する第三者のウェブサイト(LinkedInやFacebookなど)上のフォームに記入することを選択した場合、当社はフォームに含まれる情報(通常はお客様の連絡先情報、および当社サービスに関するお客様の質問に関するその他の情報)を収集します。
- その他 当社が収集する可能性のあるその他の種類の個人データ(オンライン活動に関する情報を含む)については、以下をご覧ください。
b. 訪問者の個人データの使用・共有方法
- パーソナライゼーション 当社は、クッキーおよび類似の技術から収集するお客様に関する情報を使用して、サイトのコンテンツへのエンゲージメントを測定し、関連性とナビゲーションを向上させ、お客様の体験をパーソナライズし、Stripeに関するコンテンツおよび当社サービスをお客様に合わせてカスタマイズします。
- 広告 お客様による許可がある場合、または法律で許可されている場合、適用法上要求される同意の要件に従い、興味関心連動型広告などを含む方法を通じて、当社の製品およびサービスをお客様に宣伝し、マーケティングするために、訪問者の個人データを使用および他者と共有する場合があります。当社のクッキーポリシーをご覧ください。
- その他 当社がお客様の個人データを使用するその他の方法については、以下をご覧ください。
2. 当社が個人データを収集、使用、共有するその他の方法
上記の当社による個人データの収集、使用、共有方法に加え、当社は以下のようにお客様の個人データを処理します。
a. 個人データの収集
- オンラインアクティビティ お客様が使用するサービスおよびビジネスユーザーによる当社のビジネスサービスの導入に応じて、当社は以下に関する情報を収集します。
- 当社サイトおよび第三者のウェブサイト、アプリ、その他のオンラインサービス(以下「第三者サイト」)全体にわたるデバイスおよびブラウザ。
- それらのデバイスやブラウザに関連した使用データ。これには、IPアドレス、プラグイン、使用言語、当社関連サイトや第三者サイトに費やした時間、訪問したページ、クリックしたリンク、当社関連サイトや第三者サイトに誘導または参照したページが含まれます。例えば、マウスのアクティビティインジケーターなどのアクティビティインジケーターは、詐欺行為の検出に役立ちます。詳しくはこちらをご覧ください。当社のクッキーポリシーも参照してください。
- コミュニケーションおよびエンゲージメント情報 当社は、サポートチケット、電子メール、ソーシャルメディアなどを通じて、お客様が当社に提供することを選択したあらゆる情報を収集します。お客様がStripeの電子メールまたは調査に回答する際、当社は、お客様の電子メールアドレス、氏名、およびお客様が電子メールまたは回答の本文に含めることを選択したその他の情報を収集します。お客様が電話で当社に連絡する場合、当社は、お客様がStripeに電話をかける際に使用した電話番号、およびお客様が通話中に提供したその他の情報を収集します。また、お客様のStripeイベントの登録、参加、視聴、およびStripeスタッフとのその他のやり取りなど、エンゲージメントデータも収集します。
- フォーラムおよびディスカッショングループ 当社のサイトがお客様にコンテンツの投稿を許可する場合、当社はその投稿に関連してお客様が提供した個人データを収集します。
b. 個人データの使用 当社は、 上記の個人データを使用する方法に加えて、以下の場合に個人データを使用します
- 当社のサービスの改善および開発 当社は、お客様による当社サイトおよびサービスの利用の分析と、技術的な問題の診断に役立てるために、当社サイト上のアナリティクスを使用します。当社のサイトを通じて提供される可能性のあるクッキー、および当社によるクッキーおよび第三者アナリティクスの使用をお客様が管理する方法についての詳細は、当社のクッキーポリシーをご覧ください。また、当社は、お客様がエンドユーザー、最終顧客、代表者、または訪問者であるかを問わず、当社のサービスを改善し、新しいサービスを開発し、お客様にとってより関連性があり、より有益なものとなるよう当社の取り組みをサポートするために、当社のさまざまなサービスを通じて個人データを収集および処理します。
- コミュニケーション 当社は、サービスを実施するために、当社が保有するお客様に関する連絡先情報を使用します。これには、お客様を認証するためにSMS経由でコードを送信することが含まれる場合があります。詳しくはこちらをご覧ください。お客様がエンドユーザー、代表者、または訪問者の場合、当社は、当社サービスおよび当社の関連会社のサービスに関する情報の提供、当社のイベントまたは調査への参加の招待、または当社のマーケティング目的でお客様と通信を行うために、当社が保有するお客様に関する連絡先情報を使用して(電子メール、電話、テキストメッセージ、またはビデオ会議などを使って)お客様と連絡を取る場合があります。ただし、当社は、同意またはオプトアウトの要件に従う場合を含め、適用法に従ってこれを行うものとします。例えば、お客様が当社に連絡先情報を提出した場合、またはトレードショーやその他のイベントへの参加を通じて当社がお客様のビジネス連絡先情報を収集する場合、当社はその情報を使用して、イベントに関してお客様にフォローアップを行い、お客様が当社の製品およびサービスに関して要求した情報を送信し、当社のマーケティング情報キャンペーンにお客様を含める場合があります。
- ソーシャルメディアおよびプロモーション お客様が、オファー、プログラム、またはプロモーションに参加するため、当社に個人データを提出することを選択した場合、当社は、お客様が提出した個人データをそのオファー、プログラム、またはプロモーションの実施に使用します。また、お客様の許可またはオプトアウトに基づき、当社は、当該個人データおよびお客様がソーシャルメディア上で提供している個人データを、お客様への販売活動のために利用します。
- 詐欺行為防止とセキュリティ 当社は、当社サービス全体における詐欺行為およびその他の悪意ある行為を検出して対処して、当社の詐欺行為検出ビジネスサービスを有効にし、または、個人データ、情報および資金の不正なアクセス、使用、変更または流用から当社のサービスおよび取引を保護するのに役立てるために、個人データを収集して使用します。Stripeおよびそのビジネスユーザーに関わる詐欺行為およびセキュリティの監視、防止、検出、およびコンプライアンス活動に関連して、当社は、サービスプロバイダー(信用調査機関を含む)、第三者、および当社が提供するサービスから情報を受け取ります。当社は、お客様からの情報、お客様に関する情報、ビジネスユーザー、金融関係者からの情報を収集する場合があり、また第三者からの情報を収集する場合もあります。例えば、当社のサービスを保護するために、当社は、悪意のある攻撃者が侵害したIPアドレスに関する情報を第三者から受け取る場合があります。詳しくはこちらをご覧ください。この個人データ(例:氏名、住所、電話番号、国)は、当社が身元を確認し、適用法に従って信用調査を行い、詐欺行為を防止するのに役立ちます。また当社は、最終顧客またはエンドユーザーがビジネスユーザーまたは金融パートナーとの取引を試みたことに伴う詐欺行為のリスクを評価するためにテクノロジーを使用する場合があります。
- 法的義務の遵守 当社は、マネーロンダリング対策、本人確認(KYC)法、テロ行為防止、輸出管理、および規制対象者との取引または特定の事業分野での取引の禁止に関連する契約上および法律上の義務、およびその他の法的義務を果たすために個人データを使用します。当社は、当社のサービスを安全かつセキュアなものに、そして法令を遵守するよう努めており、個人データの収集と使用は、この取り組みにおいて非常に重要です。例えば、当社は、支払取引のパターンやその他のオンラインシグナルを監視し、これらの分析を利用して、詐欺、マネーロンダリング、およびStripe、当社のエンドユーザー、およびその最終顧客に害を及ぼすその他の活動のリスクを減らしています。
- 未成年者 サービスは、13歳未満の子供を含む未成年者を対象としておらず、当社は、未成年者がサービスを通じて個人データを提供しないよう要請します。国によっては、適用法で求められるより高い年齢制限を課している場合があります。当社が、13歳から16歳までの顧客を含め、最終顧客、代表者、訪問者、またはエンドユーザーの個人データを販売することはありません。
c. 個人データの共有 当社は、上記の方法に加えて、以下の場合に個人データを共有します。
- Stripe関連会社 当社は、他のStripe関連会社と個人データを共有します。当社がこれらの事業体と個人データを共有する場合、それは本ポリシーで示された目的によるものです。
- サービスプロバイダーまたは処理者 当社のビジネスユーザーおよびエンドユーザーにサービスを提供するため、また当社のサービスに関して訪問者、代表者およびエンドユーザーに伝達、売り込みおよび宣伝を行うために、当社は、他者にサービスを提供してもらいます。サービスプロバイダーは、ホスティング(保存および配信)、当社のサービスの速度、正確性および/またはセキュリティを評価するアナリティクス、身元確認、カスタマーサービス、電子メールおよび監査などの様々な重要なサービスを提供します。当社は、当該サービスプロバイダーに対し、当社に代わってサービスを実施し、また適用される法的要件を遵守するために当社が利用できるようにしている当社ユーザーの個人データの使用または開示を許可します。当社は、当該サービスプロバイダーに対し、当社に代わって処理する個人データのセキュリティおよび機密性を保持することを契約上約束するように要求します。当社のサービスプロバイダーは、主に欧州連合、米国、インドに所在しています。詳しくはこちらをご覧ください。
- 金融パートナー 「金融パートナー」とは、当社がサービスを提供するために提携する金融機関(加盟店契約会社、銀行、決済代行業者を含む)です。当社は、関連するビジネスユーザーにサービスを提供するため、および当社の金融パートナーと提携して特定のサービスを提供するため、当社のユーザーの個人データを特定の金融パートナーと共有します。例えば、当社は、代表者の特定の個人データ(ローン返済データおよび連絡先情報など)を、関連ビジネスユーザーに対して当社が行ったキャピタルローンを購入する機関投資家と共有します。
- その他(同意あり) 当社はサービスを提供せず、代わりに、お客様がサービスを得られるように、他者(例えば、当社がAtlasを提供するために提携している専門のサービス会社)にお客様を紹介する、またはお客様がその他者と取引できるようにする場合があります。このような場合、当社は、第三者の身元および第三者と共有されることになる情報を開示し、情報の共有に対してお客様の同意を求めます。
- 企業間取引 当社が、再編成、合併、売却、ジョイントベンチャー、譲渡、移転、支配権の変更、または当社の事業、資産もしくは株式の全部もしくは一部の処分など、当社の事業の構造を変更する取引契約を締結する場合、またはそのような予定がある場合、当社は、かかる取引に関連して、第三者と個人データを共有する場合があります。当社または当社の事業の一部を買収するその他の事業体は、引き続きお客様の個人データを使用する権利を有しますが、本ポリシーの条件に従います。
- コンプライアンスと損害防止 当社は、必要と考える場合、以下の目的で個人データを共有します。(i) 適用法を遵守するため、(ii) 支払方法の使用に関連して、その支払方法によって課される規則(Visaのネットワーク規則など)を遵守するため、(iii) 当社の契約上の権利を行使するため、(iv) 悪意のあるまたは詐欺的な行為およびセキュリティインシデントに対するものを含めて、Stripe、お客様、または他者のサービス、権利、プライバシー、安全性および財産を守り保護するため、(v) 裁判所、法執行機関、規制当局、公共機関や政府機関からの有効な法的手続きの要請に対応するため(お客様の居住国外の当局が含まれる場合があります)。
3. データ処理の法的根拠
EU一般データ保護規則(GDPR)の目的上、当社は、お客様の個人データの処理を可能にするために、いくつかの法的根拠に依拠しています。詳細については、こちらを参照してください。
a. 契約上および契約前のビジネス関係 当社は、潜在的なビジネスユーザーおよびエンドユーザーとビジネス関係を開始する目的で、また当該ユーザーとのそれぞれの契約上の義務を履行する目的で、個人データを処理します。活動内容には以下が含まれます。
- 当社のサービスの利用開始または拡大を申請する際の評価を含む、StripeアカウントおよびStripeアカウントの認証情報の作成と管理
- Stripe Checkoutアカウントの作成および管理
- 会計、監査、請求業務
- 詐欺行為の検出と防止、有効な取引の最適化、支払いに関する連絡、および関連するカスタマーサービスを含む支払処理
b. 法令の遵守 当社は、詐欺行為の監視、防止、検出の義務を遵守し、マネーロンダリング対策(AML)や本人確認(KYC)の義務、財務報告の義務など、違法および不法な行為の特定と報告に関連する法律を遵守するために、当社ユーザーの身元を確認するために個人データを処理します。例えば、当社は、マネーロンダリングおよび金融犯罪の防止を目的とした法律を遵守する目的で、ユーザーの身元を記録および検証しなければならない場合があります。これらの義務は、法律や業界基準の運用、および当社の金融パートナーによって当社に課されており、当社は、当社のコンプライアンスを第三者に報告し、第三者の検証監査を受けることが必要となる場合があります。
c. 正当なビジネス上の利益 適用法で認められる範囲で、当社は、正当なビジネス上の利益に基づき、お客様に関する個人データを処理します。以下のリストは、当社がお客様のデータを処理する正当な利益を有するビジネス上の目的を示したものです。
- 詐欺および不正な支払取引を検出、監視、防止すること。
- 最終顧客、エンドユーザー、ビジネスユーザー、およびStripeに対する財務上の損失、請求、負債、またはその他の損害を軽減すること。
- 新しいStripe製品およびサービスに対する適格性を判断し、それら製品およびサービスを提供すること。詳しくはこちらをご覧ください。
- 問い合わせに対応し、サービスに関する通知を送信し、カスタマーサポートを提供すること。
- 当社のサービス、システム、およびツールを促進、分析、修正、および改善し、サービスの信頼性を含めた新しい製品およびサービスを開発すること。
- 当社サイトおよびサービスの有効性を理解し、当社のデジタル資産を最適化することにより、当社サイトおよびサービスのパフォーマンスを管理、運営、改善すること。
- 当社のサービスを分析し、宣伝すること。
- 集計分析を行い、当社事業の運営、保護、情報に基づく意思決定、および業績に関する報告を可能にするビジネスインテリジェンスを開発すること。
- 当社に代わってサービスを提供する第三者サービスプロバイダーおよび当社の業務運営および業務改善を支援するビジネスパートナーと個人データを共有すること。詳しくはこちらをご覧ください。
- Stripeおよび当社サービス全体におけるネットワークおよび情報セキュリティを有効にすること。
- 個人データを当社の関連会社間で共有すること。
d. 同意 当社は同意に基づいて、当社がお客様と通信する方法、およびLink、Atlas、Identityなどの当社サービスの提供に関連して、個人データを収集および処理する場合があります。当社がお客様の同意に基づいてデータを処理する場合、お客様は、同意が撤回される前の当該同意に基づく処理の適法性に影響を与えることなく、いつでも同意を撤回する権利を有します。
4. お客様の権利と選択肢
お客様は、当社によるお客様の個人データの収集、使用、開示に関して、以下の選択肢がある場合があります。
a. 当社からの電子的コミュニケーションの受信をオプトアウトする
当社からのマーケティング関連の電子メールの受信を今後希望されない場合は、当該電子メールに含まれる配信停止リンクまたはここに記載されている方法でオプトアウトすることができます。当社は、合理的に可能な限り速やかにお客様の要請に応じるよう努めます。お客様が当社からのマーケティング関連の電子メールの受信をオプトアウトした場合でも、当社のビジネスユーザーが引き続きメッセージを送信し、彼らに代わってお客様にメッセージを送信するよう当社に指示する場合があることに注意してください。
b. お客様のデータ保護権
お客様の所在地および適用法に従い、お客様は、当社が管理するお客様に関する個人データに関して、以下の権利を有する場合があります。
- お客様に関する個人データをStripeが処理する際に確認を要請する権利、および処理する場合、その個人データのコピーを要請する権利
- お客様の不正確、不完全、または古い個人データを修正または更新するようStripeに要請する権利
- 法律で規定されている特定の状況において、お客様の個人データの消去をStripeに要請する権利 詳しくはこちらをご覧ください。
- お客様が提出した別の要請(お客様の個人データを更新するようStripeに要請することを含む)をStripeが検討中である場合など、特定の状況において、Stripeがお客様の個人データの使用を制限するように要請する権利
- 技術的に可能な場合、当社が保持するお客様の個人データを別の会社にエクスポートするよう当社に要請する権利
- お客様の個人データの処理が、以前にお客様から与えられた同意に基づく場合、お客様はいつでもその同意を撤回する権利を有します。また、
- 当社がその正当な利益に基づいてお客様の情報を処理する場合、お客様は、お客様の個人データの処理に異議を唱える権利を有する場合もあります。当社が説得力のある正当な根拠を有している場合、または法令上必要な場合を除き、お客様が異議を申し立てた場合には、当社はお客様の情報の処理を中止します。
c. データ保護権を行使するプロセス
お客様がデータ保護権を行使するには、Stripeプライバシーセンターをご覧になるか、以下に記載のとおり当社までご連絡ください。
5. セキュリティと保持
当社は、お客様の個人データの処理に関連するリスクに適切なレベルのセキュリティを提供するため、合理的な努力を払います。当社は、本ポリシーの対象となる個人データを不正なアクセス、破壊、紛失、改ざん、または誤用から保護するための組織的、技術的、および管理上の措置を維持します。個人データには、職務を遂行するために情報へのアクセスを必要とする限られた人数の人員のみがアクセスします。残念ながら、いかなるデータ送信またはストレージシステムも完全に安全であると保証することはできません。
当社による個人データの保護を支援するため、強力なパスワードを使用することをお勧めします。また、パスワードを他人と共有したり、他のサイトやアカウントと同じパスワードを使用したりすることは絶対にしないでください。当社とのやり取りが安全ではなくなったと思われる理由がある場合(例えば、お客様のアカウントのセキュリティが侵害されていると感じる場合)、直ちに当社までご連絡ください。詳しくはこちらをご覧ください。
当社は、当社がお客様または当社のビジネスユーザー(該当する場合)にサービスを提供する限り、または当社がサービスを提供すると合理的に予想する期間において、お客様の個人データを保持します。当社がお客様への直接的なサービスの提供またはお客様が取引を行っているビジネスユーザーへのサービスの提供を停止した後であっても、また、お客様がStripeアカウントを閉鎖し、またはビジネスユーザーとの取引を完了した場合であっても、当社は、当社の法的および規制上の義務を遵守するために、お客様の個人データを保持します。また、詐欺行為の監視、検出、防止活動のために、データを保持する場合もあります。また、当社は、当社の金融パートナーに対する契約上のコミットメントによりデータを保持する必要がある、またはお客様が使用した支払方法によりデータを保持することが義務付けられている場合には、税務、会計、および財務報告の義務を遵守するために個人データを保持します。当社が個人データを保持する場合、当社は、適用法により課される制限期間および記録保持義務に従ってそれを行います。詳しくはこちらをご覧ください。
6. 国際的なデータ移転
当社はグローバル企業です。個人データは、当社が事業を行う国、当社のサービスプロバイダーが事業を行う国、またはお客様が国際的な決済方法または金融パートナーサービスを利用する場合、その決済方法または金融パートナーが業務を行う国において保存および処理される場合があります。当社は、お客様の個人データを、お客様の居住国以外の国(米国を含む)に移転する場合があります。これらの国には、お客様の居住国とは異なるデータ保護規則がある場合があります。国境を越えてデータを移転する場合、当社は、かかる移転に関連して適用されるデータ保護法を遵守するための措置を講じます。状況によっては、当局者(法執行機関や治安当局など)からの適法的な要請により、個人データの開示を求められる場合があります。
お客様が欧州経済地域(EEA)、英国またはスイスにお住まいの場合は、Stripeプライバシーセンターで詳細をご確認ください。適用法によりデータ移転メカニズムが義務付けられている場合、当社は、EEA、スイス、または英国外のデータ受領者とのEU標準契約条項、受領者が拘束的企業準則を導入していることの確認、または適用法に基づき当社が利用可能なその他の法的手段のうち、1つ以上を使用します。第三国への移転については、当社は欧州委員会が承認した標準契約条項を締結しており、EEA域外の事業体に対するお客様の個人データの移転について、十分なレベルの保護を確保しています。お客様は関連する標準契約条項のコピーを入手することができます。詳しくはこちらをご覧ください。
Stripe Inc.は、EU・米国間のプライバシーシールドおよびスイス・米国間のプライバシーシールドに基づく自己認証を維持していますが、現在、米国への個人データの移転については、これらのフレームワークに依拠していません。詳細については、Stripeプライバシーセンターをご覧ください。
7. 更新と通知
当社は、新しいサービス、当社のプライバシーの取り扱いまたは関連法の変更を反映するために、本ポリシーを随時変更する場合があります。本ポリシーの冒頭にある「最終更新日」の表記は、本ポリシーが最後に改訂された日付を示しています。あらゆる変更は、当社が改訂したポリシーをサービスに掲載した時点で有効となります。
当社は、本ポリシーまたは収集した個人データに関する開示およびアラートを、当社ウェブサイトに掲載することにより、またお客様がエンドユーザーまたはビジネスユーザーである場合には、お客様のStripeダッシュボード、お客様のStripeアカウントに記載された電子メールアドレスおよび/または実際の住所を通じてお客様に連絡することによって、提供する場合があります。
お客様に適用される本ポリシーを変更する際に、適用法により当社が特定の方法で事前に通知を行うことが義務付けられている場合、当社はかかる必要な通知を行います。
8. 法域別の規定
- オーストラリア お客様がオーストラリアに居住しており、お客様が本ポリシーに基づき提起された苦情に対する当社の対応に不満がある場合、お客様はオーストラリア情報コミッショナー事務局(Office of the Australian Information Commissioner)に連絡することができます。
- EEAおよび英国 お客様の権利を行使するには、当社のデータ保護責任者(DPO)までご連絡ください。お客様がEEAに居住している場合、または当社がStripe Payments Europe Limitedをお客様のデータ管理者として指定し、当社がEU一般データ保護規則(GDPR)の範囲内でお客様の情報を処理していると考える場合、お客様は、お客様の質問または苦情をアイルランドのデータ保護委員会(Irish Data Protection Commission)に直接報告することができます。お客様が英国に居住している場合、質問や懸念を英国情報コミッショナー事務局(Information Commissioner’s Office)に伝えることができます。個人データが欧州における規制対象の金融活動に使用される場合、Stripe Payments Europe LimitedおよびStripeの現地の規制対象事業体(現地の規制当局により許可、認可、または登記されている企業と定義されます)は、共同管理者とみなされます。詳しくはこちらをご覧ください。
- インドネシア 本ポリシーにおいて、「適用法」には、電子情報および取引に関する2008年法律第11号(2016年の法律第19号により改正済み)、電子システムと取引の運用に関する政府規制 2019 年第 71 号、電子システムにおける個人情報保護に関する通信情報省規程2016年第20号が含まれており、「個人データ」には、当該法律において定義される「個人データ」が含まれます。
- マレーシア 本ポリシーについてご質問や苦情がある場合は、当社のデータ保護責任者(DPO)までお問い合わせください。
- タイ お客様がタイに居住している場合、適用法に基づき追加の権利を有する場合があります。当社が法的義務または契約上の権利を理由にお客様の個人データを処理し、お客様が当社に個人情報を提供しない場合、当社はお客様にサービスを適法に提供することができない場合があります。
- 米国 - カリフォルニア州 お客様がカリフォルニア州に居住する消費者である場合、当社はカリフォルニア州消費者プライバシー法(以下「CCPA」といいます)に従ってお客様の個人情報を処理します。お客様は、個人情報の収集時または収集前に、当社の慣行に関する通知を受け取る権利を有します。本セクションでは、当社が収集し、CCPAの目的のために使用する個人情報について、さらなる詳細を提供します。
- 当社がお客様の個人情報を収集、使用、開示する方法。「当社が収集する個人データ」のセクションでは、当社が収集した可能性のあるお客様に関する個人情報について、その情報源のカテゴリーを含め、詳しく説明しています。当社は、「個人情報の使用方法」のセクションに記載されている目的のために、この情報を収集します。当社は、「個人データの開示方法」のセクションに記載されているとおり、この情報を共有します。具体的な詳細については、こちらを参照してください。Stripeは、当社のクッキーポリシーに記載されているとおり、広告クッキーを含むクッキーを使用します。
- 者として、CCPAに基づく一定の制限に従い、お客様は、当社によるお客様の個人情報の使用および開示に関して、以下の選択肢があります (くはこちらをご覧ください。)。
- 知る権利の行使:お客様は、当社が収集したお客様に関する個人情報をお客様に開示するよう要請することができます。また、お客様は、収集、販売、または開示された個人情報のカテゴリー、この個人情報が収集または販売された目的、個人情報の情報源のカテゴリー、および当社がこの個人情報を開示した第三者のカテゴリーに関する追加情報を要請する権利があります。
- 削除権の行使:お客様は、適用法に基づく一定の制限に従って、当社がお客様から収集した個人情報の削除を当社に要請することができます。
- 販売からオプトアウトする権利の行使:当社は、CCPAで定義されているとおりに個人データを販売しておらず、過去12カ月間においても販売を行っていません。
- 差別禁止:CCPAでは、これらの権利を行使したことで差別を受けることは認められないと定めています。
- 上記の権利を行使する要請を提出するには、以下の「お問い合わせ」のセクションに記載の方法を使用して、当社までご連絡ください。お客様は、CCPAに基づくお客様の権利を行使するために、お客様に代わって要請を行う委任代理人を、書面または委任状を通じて指定することができます。代理人からかかる要請を受ける前に、当社は代理人に対し、お客様の代理として行動することをお客様が許可したという証拠の提供を要請します。また、当社は、お客様が当社と直接に、お客様の身元を証明するように要求する場合があります。
- また、特定の個人情報を提供または削除するには、法律で求められる確実性の程度までお客様の身元を確認する必要があります。当社は、お客様のアカウントに関連付けられた電子メールアドレスから要請を送信するようお客様にお願いするか、またはお客様のアカウントの確認に必要な情報の提供をお客様にお願いすることで、お客様の要請を検証します。
- 委任代理人は、以下の「お問い合わせ」のセクションに記載されている方法を使用して当社に連絡することにより、お客様に代わって要請を送信することができます。さらに、お客様に、お客様の身元を直接証明して、委任代理人に要請送信の許可を与えたことを承認するよう、お願いする場合もあります。
9. お問い合わせ
本ポリシーに関するご質問や苦情がありましたら、お問い合わせください。お客様が最終顧客(ビジネスユーザーとビジネスまたは取引を行う個人)である場合、ビジネスユーザーのプライバシーの取り扱い、選択および管理に関する情報については、ビジネスユーザーのプライバシーポリシーまたは通知を参照するか、ビジネスユーザーに直接お問い合わせください。