本件データの保護及びプライバシー
a. 秘密保持: 当社は、本規約による許諾若しくはお客様と当社との間の他の合意による許諾に基づく場合、又はお客様からのその他の指示又は許可に基づく場合に限り、ユーザーデータを使用します。お客様は、お客様が本サービスを通じて受領した全ての本件データを保護するものとし、これを開示又は配布してはならず、本サービスに関連して、かつ本規約又はお客様と当社との間の他の合意による許諾に基づいて使用するものとします。いずれの当事者も、個別に購入・寄付者から明示的な同意を得ている場合を除き、購入・寄付者に対するマーケティングの目的に個人データを使用してはなりません。購入・寄付者により依頼された本取引の処理に関連して適用される関連法令及び支払方法規則に従って開示する場合を除き、お客様は、支払データを他人に開示してはなりません。
b. プライバシー: 個人データの保護は当社にとって非常に重要です。当社のプライバシーポリシーでは、お客様が当社に提供する個人データを当社が収集、利用、保持、開示、及び保全する方法及び目的を説明しています。お客様は、当社が随時更新する当社のプライバシーポリシーに同意し、当社は当該プライバシーポリシーを随時更新することがあります。
お客様は、個人情報の保護に関する法律等お客様による本サービスの利用を通じてお客様が当社に提供し又はアクセスする本件データのプライバシー、保護、及びお客様の利用に関する全ての適用される関連法令を遵守しており、今後も継続して遵守することを確約します。お客様は、購入・寄付者からクッキー又はその他同様の方法により直接収集した本件データを含む、お客様が当社に対して収集することを許諾した個人データを、当社に対して開示し、又は当社がこれを収集、利用、保持、及び開示することを許諾するために必要な全ての権利及び承諾を得ていることも確約します。法令上の義務に従い、かつ本規約に関連して、お客様は当社がお客様のために本取引(支払取引を含む。)を処理しお客様から個人データを受領する可能性があることを購入・寄付者に対して開示する責任を単独で負います。さらに、法令又は支払方法規則により義務付けられている場合には、当社は購入・寄付者からの要請があれば、その購入・寄付者の個人データをお客様の Stripe アカウントから削除又は接続解除する場合があります。
当社は本サービスの全部又は一部を、アメリカ合衆国又はその他の日本以外の国に所在するシステムを通じて提供します。従って、お客様は、支払データが日本国外で送信、処理、及び保管される可能性があり、当社のプライバシーポリシーに規定されている通り、適用される関連法令により開示が義務付けられる場合があることを購入・寄付者に対して開示し、これに関して適用される関連法令必要な全ての同意を購入・寄付者から得る義務を負っています。
当社が、当社のシステム上の購入・寄付者の個人データの不正な取得、開示、又は紛失に気付いた場合、当社は関連法令上の当社の義務に従ってお客様に通知します。さらに当社は、お客様が購入・寄付者に対する悪影響を緩和できるよう支援するためにかかる不正な取得、開示、又は紛失についての十分な情報をお客様に提供します。
c. PCI 遵守: お客様が支払カードによる取引を受付けるため支払処理サービスを利用する場合、お客様は PCI データセキュリティスタンダード(以下、「PCI-DSS」といいます。)を遵守しなければならず、お客様の事業に適用される場合には、ペイメントアプリケーションデータセキュリティ基準(PA-DSS)(以下、「PCI-DSS」と「PA-DSS」を「PCI 基準」と総称します。)も遵守しなければなりません。PCI 基準には、支払カードや本取引のデータを含む資料や記録を、安全でセキュアな方法で管理し、アクセスを許可された担当者に限定するという要件が含まれています。当社は、お客様による PCI 基準の遵守をシンプルにするためのツールを提供しますが、お客様の事業が遵守できていることの確認はお客様が行わなければなりません。PCI 基準遵守のためにお客様が取る必要のある具体的なステップは、お客様による支払処理サービスの導入状況により異なります。お客様は、PCI 基準を遵守した態様で本サービスを導入することについての詳細につき、当社のドキュメントを参照して下さい。お客様は、当社の要請があれば、お客様が PCI 基準を遵守していることを証する文書を当社又は適用のある支払方法提供者若しくは支払方法アクワイアラーに提出します。お客様が PCI 基準に準拠していることを当社、支払方法提供者、又はその支払方法アクワイアラーを納得させるのに十分な文書を提供できない場合、当社、及び該当する支払方法提供者又は支払方法アクワイアラーは、合理的な通知に基づいてお客様の事業所にアクセスし、お客様の PCI 基準への準拠を確認することができます。
お客様が PCI 基準に定義されている「口座データ」(購入・寄付者のカード番号又は有効期限を含む。)を保存又は保持する場合、お客様は、PCI 基準に準拠したシステムを維持しなければなりません。お客様が PCI 基準に準拠していない場合、又は当社、支払方法提供者若しくは支払方法アクワイアラーがお客様の PCI 基準への準拠を確認できない場合、当社はお客様の Stripe アカウントを停止し、又は本規約を終了することができます。お客様が第三者のサービスプロバイダを使用して口座データを保存又は送信しようとする場合は、当該第三者が PCI 基準に基づく十分な証明書を保持していることを確認し、口座データをサービスプロバイダと共有する意図を当社に通知するまで、サービスプロバイダとデータを共有してはいけません。さらに、お客様は、PCI 基準に定義されている「センシティブ認証データ」(CVD 又は CVV2 を含む。)をいかなる場合も一切保管又は保持しないことにも同意します。PCI 基準についての情報は PCI Council のウェブサイトを参照して下さい。
