本人確認処理をStripeで一元管理できる「Stripe Identity」が早く日本に来て欲しくなる内容だったので触ってみました

最近「Stripeのドキュメント漁りながら酒が飲める」と言って軽く引かれました。

その時に気になっていたものが、なんと正式にリリースされました。

https://twitter.com/stripe/status/1404443523680673793

Stripe Identityとは？

Stripe Identityとは、Stripeが提供する本人確認サービスです。

本人確認書類（免許証・パスポートなど）と顔写真の撮影・アップロードを受け付け、記載内容の確認や画像に問題がないかの確認などをStripe側で実施することができます。

テスト環境でStripe Identityを有効化する

Stripe Identityはまだ日本では利用できません。が、本番利用申請を実施していないアカウントであれば、テスト環境でのみStripe Identityを使うことができました。

Stripe Dashboardで本人確認を選択

Stripe Dashboardの製品一覧に「本人確認」が増えています。本番利用申請が済んでいるアカウントで、未対応地域から申請した場合は利用できませんが、未申請状態であれば日本からでも有効化できます。

利用目的をあわせて申請する

Stripe Identityは、利用時にその利用目的を回答する必要があります。

金融系や保険・タバコ・医療など、禁止業種が設定されている様子ですので、検討される際には業種が問題ないかを確認する必要がありそうです。

運用者の本人確認を実施する

有効化すると、左側のメニューに[本人確認]が増えます。そして本人確認を利用するには、まず運用者の本人確認が必要です。

まず、本人確認書類の提出方法を選びます。スマートフォンから送信する方法を選ぶ場合はQRコードなどが表示され、ウェブカメラの場合はカメラへのアクセスがリクエストされます。また、確認に使う書類についても、「運転免許証」「身分証明書」「パスポート」が選べました。ここはもしかすると地域によって異なるかもしれません。

本人確認書類の撮影時には、ネットバンクの認証のように指定された枠の中に収まるように書類を提示することが求められます。また、品質改善のために撮影したデータを利用して良いか聞かれますが、これは拒否しても特に影響はない様子でした。

最後に本人の写真も撮影して、認証フローが終了します。

本人確認セッションを作成する

ここまでの手続きが終わると、本人確認の作成ができるようになります。

検証内容とリダイレクト先の指定を行う

本人確認でどのデータを使うかと、確認処理が終わってからのリダイレクトURLを指定することができます。

身分証明書を要求したい場合は「書類」を、住所やIDだけで良い場合はそれ以外を選ぶと良いみたいです。IDはおそらく日本ではマイナンバーが該当するかなと思いますが、日本でローンチされた時にどうなるか要チェックです。

URLを生成し、ユーザーに送信する

作成が完了すると、[確認セッション]が作られます。vsはverification_sessionの略でしょうか。[確認用リンクをコピーする]を選ぶと、このセッション用のURLが生成されます。

本人確認は、1セッション1回のみ24時間有効

本人確認はセッションを作成するのに近い形で、必要になる度に作成する必要があります。

ユーザー側の本人確認処理フローもほぼ管理者向けと同じ

本人確認のセッションURLにアクセスすると、「Stripeを利用して本人確認情報を収集すること」がまず提示されます。「プライバシーポリシーに則り」という文言があるように、Stripe Identityを利用する場合はプライバシーポリシーや利用規約などを正しく整備する必要があります。

また、完了後のURLを設定しなかった場合、最後の画面では「タブを閉じてください」と案内される様子です。

入力内容の確認や削除はDashboardから可能

書類のアップロード後、Stripeのシステムが自動的に書類の確認を行います。この確認処理が完了すると、ステータスが[確認済み]に変わります。この処理の中で、氏名や免許証 / ID番号などをOCRで認識する様子ですが、日本の書類ではN/Aが混ざっていました。

ちなみにアップロードされた書類の確認やダウンロードも実施できます。ダイヤログを見るかぎり、書類はAmazon S3にアップロードされている様子ですね。しかもオレゴン。

個人情報を伏せ字処理する

これはGDPR等個人情報保護への配慮だと思うのですが、[確認セッション]を削除することで提出された書類を削除することもできます。

削除すると、確認セッション自体は残りますが、氏名や各種番号が伏せ字処理[redacted]され、ファイルも表示・ダウンロードができなくなります。

書類は無操作の場合、3年間保持後に削除される様子

Stripe Identityの利用規約を見ると、以下のように記述されています。

You instruct Stripe to store on your behalf a copy of the Verification Data for a period of 3 years following verification, or a shorter period as you may instruct in accordance with the Stripe Identity Services Documentation

これを読む限り、特に処理を行わない場合でも三年でStripeがデータの削除を行う様子です。もちろん各国・各州の法律や規制で定められている場合は、バッチ処理などを使ってそれより短い期間で削除する必要があります。

極端なケースとしては、Stripe Webhookを利用し、「Verificationが完了したら、即削除する」ような仕様を検討する必要があるかもしれません。

料金などの詳細情報は、Stripe Sessions待ち

料金についての情報は今のところ発表がなく、6/16〜のStripe Sessions内にて発表される可能性が高いと見られています。

ただ、すでにYouTubeチャンネル側には実演動画が上がっていますので、遠からずより多くの情報が手に入るのではないかと思います。

https://www.youtube.com/watch?v=mUgnRq9jC7s