# リスク管理のベストプラクティス

支払いリスクの防止、軽減、対処のためのベストプラクティスを導入して、構築済みのシステムを保護します。

Connect のシステムを保護するためのベストプラクティスは、何千ものプラットフォーム、拡張、プラグインから得た知見に基づいています。

## マイナス残高の責任に対するアプローチを決定する

マイナス残高の責任に関する選択は、プラットフォームと連結アカウントに大きな影響を及ぼす可能性があるため、アカウントを登録する前に慎重に検討する必要があります。新しいプラットフォームでは、Stripe が連結アカウントのマイナス残高の責任を負うようにすることをお勧めします。加盟店のリスクを管理する能力に十分な自信がある場合にのみ、プラットフォームで責任を負うことを検討してください。

## 両方のアプローチのベストプラクティス

### Radar を有効にして不正利用取引を防止する

Radar を有効にすると、支払いのリスクスコアがユーザーレベルでデフォルトで有効になり、不正利用リスクが高い取引を防止できます。連結アカウントでの Radar の使用については、[Connect で Radar を使用する](https://docs.stripe.com/connect/radar.md)をご覧ください。

### Stripe で通知とコミュニケーションを管理する

#### Webhook 通知

Stripe は、*Webhook* (A webhook is a real-time push notification sent to your application as a JSON payload through HTTPS requests) を使用して、プラットフォームやその連結アカウントのアクティビティーに関する通知を行います。[Connect の Webhook](https://docs.stripe.com/connect/webhooks.md) を設定して、連結アカウントの更新や Stripe のリクエストに敏速に対応することで、送金の遅延を防ぐことができます。

提供されたユーザー情報の確認に失敗した場合、 Stripe は追加情報をリクエストします。生年月日や姓の誤りは、データ入力エラーが原因である可能性があります。連結アカウントが失敗した確認に対応できるようにサポートするには、[Stripe のホスティング登録](https://docs.stripe.com/connect/hosted-onboarding.md)または[埋め込みアカウント登録](https://docs.stripe.com/connect/embedded-onboarding.md)に誘導することができます。また、[API によるアカウント登録](https://docs.stripe.com/connect/api-onboarding.md)を使用している場合は、自社からデータをリクエストできます。

ユーザーがアカウント情報 (銀行口座など) を更新すると 、 Stripe はその変更についてお知らせします。

#### 審査するアカウント

ダッシュボードの[連結アカウント](https://dashboard.stripe.com/connect/accounts-list)ページでは、すべての連結アカウントのリスクとアカウント登録ステータスを監視できます。リスクとアカウント登録の問題による制限がある連結アカウントや、Stripe が近い将来に制限があると予測するアカウントにフラグを立てます。

#### サポートの透明性

連結アカウントの詳細ページには、Stripe で連結アカウントが開始した[サポートケースの一覧が表示s](https://docs.stripe.com/connect/dashboard/managing-individual-accounts.md#view-and-unblock-support-cases)されます。アカウントと Stripe の間の対話を確認するケースを選択します。追加の状況や情報をお持ちの場合は、Stripe サポートにプライベートメッセージを送信して、問題の解決をサポートすることもできます。

### 制裁措置に関する懸念

アメリカの一企業である Stripe は、アメリカの外国資産管理局 (OFAC) によるあらゆる制裁措置プログラム、ならびにその他の国家および国際制裁措置制度に従います。これには特定の個人や団体とのやり取りの禁止、および制裁措置制度の対象となっている特定の国々や地域との間のビジネス取引の包括的な禁止が含まれます。

Stripe は、連結アカウントを含むすべてのアカウントをスクリーニングして、制裁規制に基づく義務を遵守します。連結アカウントに制裁措置の懸念対象であるというフラグが設定されると、Stripe はそのアカウントからの入金を一時停止し、プラットフォームに追加情報をリクエストするメールを送信します。制裁措置関連のリクエストを受信する優先的なメールアドレスをお持ちの場合は、[Stripe サポートにお問い合わせください](https://support.stripe.com/contact)。

調査が完了するまでは、連結アカウントからの入金は一時停止されたままになります。制裁措置を無視、またはそれに違反すると、Stripe と当社のお客様の両者に、罰金、規制措置、ライセンスの喪失が発生することがあります。

## 連結アカウントのマイナス残高の責任に関するプラットフォーム向けベストプラクティス

### 主な考慮事項

プラットフォームは、 Stripe が提供するリスク管理ツールを使用して、社内で加盟店のリスク管理を行い、さらに連結アカウントの操作性を調整できます。リスク管理の戦略とアプローチの詳細については、Stripe の[ソフトウェアプラットフォームのためのリスク管理ガイド](https://stripe.com/guides/introduction-to-risk-management)をご覧ください。リスク管理ソリューションを開始するには、ある程度の投資が必要です。主要な考慮事項には以下が含まれます。

- スクリーニングと検出: 連結アカウントのリスクプロフィールの把握や、不正利用やクレジットのリスクを防止または削減するためのリスクスクリーニングインフラ。これには、リスクの高い連結アカウントを特定する検出メカニズムの構築などが含まれます。
- 監視と軽減: リスクシグナルを監視し、時間の経過とともに変化するリスクシグナルに応じてリスクを軽減するためのアクション (入金、払い込みの一時停止など) を実施するシステム。身分証明書のアップロード、法人情報の確認、追加のリスク関連情報の提供などのアクションに対応する解決パスをユーザーに提供するためのワークフローを商品に構築します。
- リスク対策の専門家:リスク管理チームは、リスクを監視し、シグナルに対応して介入できます。連結アカウントに対して行われたリスクのある行為に関して、そのアカウントの所有者の疑問に管理チームが対応できるようにする必要があります。

### プラットフォームを使用する不正利用ビジネスのリスクを軽減

本番環境に移行する前に、不正利用防止とリスク管理のためのベストプラクティスを確立します。不正行為者を見破ることができる完璧な方法は存在しませんが、リスク管理のベストプラクティスに従ってアカウントの包括的なリスクプロフィールを評価することで、[不正利用のリスク](https://docs.stripe.com/disputes/prevention/fraud-types.md)を軽減します。連結アカウントとその事業に関する理解を深めることで、リスク評価の品質も向上します。 Stripe の推奨事項は以下のとおりです。

- 連結アカウントがプラットフォームを介してビジネスを行う前に、そのアカウントを確認する。
- Facebook、X (旧 Twitter)、LinkedIn などのプロフィールで、アカウントのオンライン情報を確認します。
- アカウントのウェブサイトを、注意深く審査し、アカウントの開設が適切であるかどうかなどを確認する。
- 顧客の業務に相応のライセンスを収集する。
- 顧客のメールアドレスがビジネスドメインにリンクされているかどうかを確認する。たとえば、そのドメインのアドレスにメールを送信して返信を求める。
- 実在住所、在庫リスト、販売履歴など、プラットフォームと関連性のある適切な情報を収集して確認する。
- プラットフォームでのアクティビティーを監視して通常の行為の傾向を把握しておき、将来の不審な行為の特定に使用できるようにする。
- 不審な行為が検出された場合は、支払いまたは入金を一時停止する。
- 内蔵の不正検出ツールを使用して、個々の支払い試行での不正利用を識別して防止する。 Radarと Connect との連携の仕組みについては、[Connect で Radarを使用する](https://docs.stripe.com/connect/radar.md)をご覧ください。
- Connect アカウント登録に確認をさらに追加し、確認に合格するまで入金や支払いを無効にする。

連結アカウントに不正利用の疑いがある場合、 Stripe はそのアカウントを拒否することをお勧めします。これにより、アカウントによる以降の売上の受け取りを防ぐことで損失を減らし、Stripe の不正検出システムの機能を向上させることができます。

### アカウントの乗っ取りを防ぐ

不正行為者は、連結アカウントを狙って不正に侵入することがあります。これは、アカウントの乗っ取り (ATO) と呼ばれる攻撃です。攻撃者は一般的にフィッシング、データ侵害、推測可能なパスワードなどによって、アカウントの認証情報を入手します。不正行為者はその認証情報を使用して、そのアカウントで不正な取引などの不正行為を実行します。アカウントの乗っ取りを防止するためには、以下をお勧めします。

- 連結アカウントのユーザーログイン時に 2 段階認証を求める
- 連結アカウントにフィッシングやその他の脆弱性に関する研修を行う
- 一意のパスワードポリシーを実施する
- 異常なログインアクティビティーを監視する (特に、新しいデバイス ID や IP アドレスが関係する場合)
- 新しいデバイスから発信されたパスワード、メールアドレス、銀行口座情報などのアカウントの機密データの変更を監視する
- 2 段階認証の回復をサポートする際や、疑わしいアクティビティーに対して、本人確認を適用する

### クレジットリスクを軽減する

[不審請求の申請](https://docs.stripe.com/disputes/prevention.md)の管理は、カード支払いを受け付けるビジネスでは一般的な業務です。不審請求の申請を防ぐための効果的な戦略を構築するには、さまざまな対策を採用します。以下のサブセクションでは、リスク管理、事業の保護、アカウントのサポートに対する推奨事項を説明します。

### アカウントの監視

アカウントを監視します。連結アカウントとその事業への理解を深めることで、より適切なリスク評価が可能になります。

- [API](https://docs.stripe.com/connect/account-balances.md#accounting-for-negative-balances) または[ダッシュボード](https://docs.stripe.com/connect/dashboard/viewing-all-accounts.md)を使用して連結アカウントの残高を調べます。[ダッシュボードのアカウント概要](https://dashboard.stripe.com/test/connect/accounts/overview)で、フィルターを使用して、マイナス残高のアカウントなど、対応が必要なアカウントを調べます。
- アカウントの財務アクティビティーを確認します。ダッシュボードでアカウントを表示する際に、**アクティビティー** カードの**財務レポートを表示** をクリックします。
- 戦略を俊敏に調整できるように、リスクの高いアカウントを監視するアラートを作成します。リスクの高いアカウントは、不審請求の申請率の上昇 (一般に、不審請求の申請率が 0.75% を超えると高リスクとみなされます)、取引額の急激な低下やマイナスの残高などの兆候が現れます。

### リスクの高いアカウント

リスクが高くなる可能性のある新規の売り手またはサービスプロバイダーについては、商品またはサービスの提供まで入金を延期または保留することを検討してください。詳細については、 [アカウント残高](https://docs.stripe.com/connect/account-balances.md)と[入金スケジュール](https://docs.stripe.com/connect/manage-payout-schedule.md)をご確認ください。

ユーザーが手動入金を利用するプラットフォームの場合、入金作成ロジックを更新して、リスクの高いアカウントの入金を延期または遅くすることができます。

自動入金を受け取る連結アカウントの場合、アカウントごとに入金スケジュールを延長することで、入金を遅らせることができます。

- **API**: [settings.payouts.schedule](https://docs.stripe.com/api/accounts/update.md#update_account-settings-payouts-schedule) を設定します。
- **ダッシュボード**: [ダッシュボード](https://dashboard.stripe.com/test/connect/accounts/overview)で連結アカウントの詳細ページを開き、 **アカウント残高** セクションのオーバーフローメニュー (⋯) をクリックして、 **入金スケジュールの編集** を選択します。
![Stripe ダッシュボードで入金スケジュールを編集する](https://b.stripecdn.com/docs-statics-srv/assets/edit-payout-schedule.0ad82911f52d981bc62e0a046efca02a.png)

### チャージバックとマイナス残高の影響

チャージバックやマイナス残高を管理しなければならないことを考えたら、商品やサービスの返金を検討するほうがよいでしょう。この方が顧客にも有効な方法であり、プラットフォームでも費用が抑えられる可能性があります。以下のオプションがあります。

- 返金を発行します。連結アカウントの残高が返金額をカバーできるかどうかを確認します。[ダッシュボード](https://docs.stripe.com/connect/dashboard/viewing-all-accounts.md)または [API](https://docs.stripe.com/api/balance/balance_retrieve.md) を使用します。残高が返金額をカバーできない場合は、返金を発行せずに[送金を取り消す](https://docs.stripe.com/connect/separate-charges-and-transfers.md#reverse-transfers)ことができますが、アカウントの残高がマイナスになります。
- 一定のパラメーターに基づいて返金します。たとえば、アカウントの残高がプラスになるまで待ってから返金したり、将来の支払いでその金額に対応できることが分かっている場合はすぐに返金したりすることができます。
- 不審請求が申請される可能性が高い支払いを、事前にキャンセルして返金します。チャージバックを受けるよりも、取引の損失を発生させた方がアカウントにとって有利な場合があります。さらに、チャージバックにはコストがかかり、カードネットワークから[調査を受ける可能性](https://docs.stripe.com/disputes/monitoring-programs.md)も生じます。
- [プラットフォームアカウントにチームを追加](https://docs.stripe.com/get-started/account/teams/roles.md)して、チームが返金を処理できるようにします。
- チャージバックのリスクが高い[サブスクリプション](https://docs.stripe.com/billing/subscriptions/pause-payment.md)の継続的な支払いの回収を一時停止します。このようにすることで、*サブスクリプション* (A Subscription represents the product details associated with the plan that your customer subscribes to. Allows you to charge the customer on a recurring basis)の再開時期の管理を強化できます。たとえば、お客様のプラットフォームでクラスを提供していて、将来の数カ月間のクラスがキャンセルされた場合には、顧客からの支払いの回収を一時停止できます。
- プラットフォームの残高に[資金を追加](https://docs.stripe.com/connect/top-ups.md)して、プラットフォームにマイナス残高が発生しないように保護します。
- [Stripe Sigma](https://docs.stripe.com/stripe-data.md) をご利用の場合は、Sigma で各アカウントの[経時的なマイナス残高](https://dashboard.stripe.com/sigma/queries/templates/Account%20balances%20for%20each%20connected%20account)のレポートを生成します。

### アカウントのマイナス残高 (オーストラリア) (カナダ) (ヨーロッパ (SEPA、イギリス)) (ニュージーランド) (アメリカ)

連結アカウントがオーストラリア、カナダ、ヨーロッパ (イギリスを含む SEPA メンバー国)、ニュージーランド、アメリカに所在する場合、 外部口座からの自動引き落としによってマイナス残高に充当させるように、Stripe に許可することができます。ニュージーランドの場合、自動引き落としは、要件の提出期限に達したとき、または要件が変更されたときに、 Stripe が更新情報の収集の責任を負う連結アカウント (Standard および Express アカウントを含む) に対してのみサポートされています。これ以外の場合、連結アカウントは将来の決済額をマイナス残高に充当できます。

デフォルトでは、プラットフォームが要件の期日や変更時に更新された情報を収集する責任を負う連結アカウント (Custom アカウントを含む) では、自動引き落としは false に設定されています。API またはダッシュボードを使用して自動引き落としを有効にできます。

- **API**: [settings.payouts.debit_negative_balances](https://docs.stripe.com/api/accounts/object.md#account_object-settings-payouts-debit_negative_balances) を設定します。
- **ダッシュボード**: ダッシュボードの[連結アカウントページ](https://dashboard.stripe.com/test/connect/accounts/overview)で、 **マイナス残高の引き落とし** フィルターを使用して、自動引き落としが無効になっているアカウントを表示します。更新するアカウントの詳細ページを開き、 **アカウント残高** セクションのオーバーフローメニュー (⋯) をクリックして、 **マイナス残高の引き落としを有効にする** を選択します。
![マイナス残高の引き落としフィルターを使用する Stripe ダッシュボード](https://b.stripecdn.com/docs-statics-srv/assets/debit-negative-balances-filter.ae29916e89cbf02aad1826a8e6e9ba50.png)

### Stripe のツールを使用して加盟店のリスクを管理

Stripe は、リスクを監視して管理するいくつかのツールをプラットフォームに提供しています。

**損失防止ツール**

- **[マイナス残高の引き落とし](https://docs.stripe.com/connect/account-balances.md#automatically-debit-connected-accounts)**: 特定の国の連結アカウントでは、マイナス残高を補うために、Stripe が外部口座から自動的に引き落としを行うことを許可できます。それ以外の場合は、マイナス残高を将来の決済額で補填できます。

- **[入金タイミングの設定](https://docs.stripe.com/connect/manage-payout-schedule.md)**: リスクが高いと見なされる連結アカウント、または不正利用率が高い国に所在する連結アカウントへの入金のデフォルトの遅延日数を設定できます。

**その他のリスクシグナル**

- **[Identity](https://docs.stripe.com/identity.md):** アカウント登録時または入金を有効にする前に本人確認を実施することで、リスク管理プロセスを効率化します。
- **[Financial Connections](https://docs.stripe.com/financial-connections.md):** 支払いや入金を受け付ける前に、銀行口座の所有者情報を連結アカウントのユーザーの身元と照合して、不正利用を最小限に抑えます。残高と取引データの理解を深め、アカウントのリスクを綿密に評価できます。

**対処**

- **[入金の一時停止](https://docs.stripe.com/connect/pausing-payments-or-payouts-on-connected-accounts.md):** 疑わしいアクティビティーを識別した場合は最初の対策として、ダッシュボードで入金を一時停止できます。入金を一時停止すると、連結アカウントの銀行口座への入金を停止できます。
- **[支払いの一時停止](https://docs.stripe.com/connect/pausing-payments-or-payouts-on-connected-accounts.md):** 2 番目の対策として、ダッシュボードで支払いを一時停止できます。疑わしい連結アカウントの支払いを一時停止すると、そのアカウントはプラットフォームを介した支払いの回収が停止されるため、お客様のリスクを最小限に抑えることができます。
- **アカウントの拒否**: API またはダッシュボードを使用して`アカウント`を拒否することができます。これにより、入金を一時停止し、不正使用されている、またはリスクの高い連結アカウントをプラットフォームからブロックできます。`アカウント`の拒否は永続的です。
- **アカウントの閉鎖または削除**: [アカウントを閉鎖](https://docs.stripe.com/api/v2/core/accounts/close.md) (Accounts v2 API) または[アカウントを削除](https://docs.stripe.com/api/accounts/delete.md) (Accounts v1 API) して不正使用されている、またはリスクの高い連結アカウントをプラットフォームから削除できます。`アカウント`の閉鎖または削除は永続的なものであるため、他の防衛手段がない場合にのみご利用ください。