コンテンツにスキップ
アカウントを作成
または
サインイン
Stripe ドキュメントのロゴ
/
アカウントを作成
サインイン
概要すべての商品を確認する
構築を開始する
LLM を使用した構築
Stripe を設定する
モバイルダッシュボード
不正利用のリスク管理

確認結果へのアクセス

機密データである確認結果にアクセスする方法をご紹介します。

ページをコピー

モーダルを表示して本人確認書類を収集し、本人確認の結果を処理するためのコードが記述されました。ここで、ユーザーの生年月日や収集された書類の画像など、機密データである確認結果へのアクセスが必要になる可能性があります。

まず、Identity ダッシュボードを使用して、機密データである確認結果にアクセスすることを検討します。必要な場合、Stripe アカウントへの制御されたアクセスをチームメンバーに付与します。こうすることで、開発時間が削減され、機密情報である確認データが Stripe で安全に保たれるようになります。

シークレットキーを使用して、確認チェックの結果やユーザーの名前と住所など、ほとんどの確認の詳細にプログラムでアクセスできます。より機密性の高いフィールドへのアクセスには、制限付き API キーが必要です。

確認結果ダッシュボードでの使用シークレットキーによるアクセス制限付きの API キーへのアクセス推奨される確認セッション (Recommended Verification Session) フィールドExpand プロパティ
住所verified_outputs.addressverified_outputs
書類の種類last_verification_report.document.typelast_verification_report
氏名verified_outputs.first_name and verified_outputs.last_namelast_verification_report
書類の発行国last_verification_report.document.issuing_countrylast_verification_report
検証チェックの結果statusExpand は不要
書類の発行日last_verification_report.document.issued_datelast_verification_report
ID 番号の種類last_verification_report.document.id_number.typelast_verification_report
メールアドレスverified_outputs.emailverified_outputs
電話番号verified_outputs.phoneverified_outputs
書類の有効期限last_verification_report.document.expiration_datelast_verification_report.document.expiration_date
生年月日verified_outputs.dobverified_outputs.dob
書類の ID 番号last_verification_report.document.numberlast_verification_report.document.number
書類の画像last_verification_report.document.fileslast_verification_report
顔の画像last_verification_report.selfie.selfielast_verification_report
ID 番号verified_outputs.id_numberverified_outputs.id_number

制限付き API キーを使用すると、それに関連するセキュリティー対策に基づきアクセスが許可されます。

  • 制限付きキー: 過去 48 時間に処理された検証を対象に、機密データである確認結果へのアクセスを許可します。
  • 制限付きの API キー: すべての検証を対象に機密データである確認結果へのアクセスを許可します。

このガイドでは、以下の方法を説明します。

  1. 機密データのアクセス要件を慎重に検討します。
  2. 制限付きの API キーを作成します。
  3. 機密データである確認結果を取得するには、API リクエストをします。
  4. キーが不正にアクセスされた場合、キーを更新します。
  5. 機密データである確認結果とセキュリティー対策をユーザーに知らせます。
  6. 機密データである確認結果に長期的にアクセスするには、キーにIP 制限を追加します。
  1. 機密データのアクセス要件を慎重に検討します。
  2. 制限付きの API キーを作成します。
  3. 機密データである確認結果を取得するには、API リクエストをします。
  4. キーが不正にアクセスされた場合、キーを更新します。
  5. 機密データである確認結果とセキュリティー対策をユーザーに知らせます。

機密データのアクセス要件を慎重に検討します

ユーザーのプライバシーを優先する Stripe Identity でシステムを構築するには、アクセスする必要がある最小限の PII をまず決定します。最も機密性が高いデータ (制限付きの API キーによる認証を必要とするもの) にアクセスする必要がない場合は、シークレットキーのみを使用して認証するように実装を設定できます。

本人確認の結果である PII にアクセスするには、VerificationSession を取得し、verified_outputs フィールドと last_verification_report フィールド (確認結果の詳細な内訳が必要な場合) のいずれかを拡張します。これらのいずれのフィールドを拡張しても、シークレットキーのみを必要とする格納 PII フィールドがすべて含まれています。

verified_outputs フィールドを展開して、Stripe Identity によって本人確認が行われたユーザーの名前を取得する例を次に示します。

server.js
// Set your secret key. Remember to switch to your live secret key in production.
// See your keys here: https://dashboard.stripe.com/apikeys
const stripe = require('stripe')(
'sk_test_BQokikJOvBiI2HlWgH4olfQ2'
);

const verificationSession = await stripe.identity.verificationSessions.retrieve(
  '{{SESSION_ID}}',
  {
    expand: [
      'verified_outputs',
    ],
  }
);

const firstName = verificationSession.verified_outputs.first_name;

制限付きのキーを必要とする機密 PII にアクセスする必要がない場合は、このガイドのステップに従ってください。

制限付き API キーを作成する
ダッシュボード

アカウントのシークレットAPIキーを使用して、制限なく API リクエストを実行できます。機密性の高い確認結果にアクセスするには、より安全な制限付きキーが必要です。

制限付きキーを新規作成する

  1. ダッシュボードの API キーのページに移動して、制限付きのキーを作成をクリックします。
  2. キーに名前を付けます。
  3. Identity の確認セッションとレポート、およびAccess recent sensitive verification results (最近の機密データである確認結果にアクセス の権限が 読み取りに設定されていることを確認します。
  4. (オプション) 収集された画像へのアクセスが必要な場合は、ファイルの書き込み権限を追加します。
  5. キーを作成をクリックします。
  6. キーは安全に保管してください。キーの安全管理についてもっと知る

機密データである確認結果を取得するために API リクエストをする
サーバー側

VerificationReport には、送信されたセッションから収集されたすべてのデータと確認結果が含まれます。セッションのすべての本人確認チェックが処理されると VerificationReport が作成されます。VerificationReport を確認することで、本人確認チェックが失敗した理由と、どのデータが正常に確認されたかを把握できます。

last_verification_report セッションフィールドを拡張することで、関連する VerificationReport を取得できます。

デフォルトでは、VerificationReports に機密データである確認結果は含まれません。これらにアクセスするには、次のことを行う必要があります。

  1. ステップ 1 で作成した制限付きの API キーを使用して認証する。
  2. アクセス対象のフィールドを拡張する。

ここでは、書類チェックで抽出された生年月日、ID 番号、書類の番号にアクセスする例を示します。

server.js
// Set your restricted key. Remember to switch to a live restricted key in production.
// See your keys here: https://dashboard.stripe.com/apikeys
const stripe = require('stripe')('rk_test_...');

const verificationSession = await stripe.identity.verificationSessions.retrieve(
  '{{SESSION_ID}}',
  {
    expand: [
      'verified_outputs.dob',
      'verified_outputs.id_number',
      'last_verification_report.document.number',
      'last_verification_report.document.expiration_date',
    ],
  }
);

const dateOfBirth = verificationSession.verified_outputs.dob;
const idNumber = verificationSession.verified_outputs.id_number;
const documentNumber = verificationSession.last_verification_report.document.number;
const documentExpirationDate = verificationSession.last_verification_report.document.expiration_date;

収集された画像へのアクセス

セッションの一部として収集された本人確認書類および顔画像は、File Upload API を使用して取得できます。VerificationReport の以下のフィールドは、Stripe API の File (ファイル) リソースへの参照を保持できます。

書類と顔の画像は非常に機密性が高く、ドイツなど一部の国では、身分証の画像を共有したり、必要以上に長く保管することが法律で禁止されています。画像コンテンツにはできるだけ有効期限の短い FileLinks でアクセスし、ファイルコンテンツのコピーは作成しないようにします。また、セッションや収集された画像は収集した目的での使用を終えたら、収集された画像やセッションを非表示にします

ファイルのコンテンツにアクセスするには、事前に作成した制限付きのキーを使用して認証を行い、有効期限の短い FileLink を作成し、url をクライアントに送信する必要があります。

server.js
// Set your restricted key. Remember to switch to a live restricted key in production.
// See your keys here: https://dashboard.stripe.com/apikeys
const stripe = require('stripe')('rk_test_...');

// Get the VerificationReport
const session = await stripe.identity.verificationSessions.retrieve(
  '{{SESSION_ID}}',
  {
    expand: ['last_verification_report'],
  }
);

// Retrieve the File id
const report = session.last_verification_report;
const documentFrontFile = report.document.files[0];

// Create a short-lived FileLink
const fileLink = await stripe.fileLinks.create({
  file: documentFrontFile,
  expires_at: Math.floor(Date.now() / 1000) + 30,  // link expires in 30 seconds
});

// Access the FileLink URL to download file contents
const fileUrl = fileLink.url;

書類および顔写真ファイルの FileLinks は 30 秒以内に期限切れになります。ファイルの内容はサーバーにダウンロードせずに、FileLink URL をクライアントに送信して画像を表示することをお勧めします。

Identity によって収集された機密データに攻撃者がアクセスしたと思われる場合は、サポートにお問い合わせください

キーが不正にアクセスされた場合、そのキーを更新します
ダッシュボード

Identity 権限のみを持つ制限付きの API キーを使用すると、他の Stripe 製品の組み込みに影響を与えることなく、緊急時にキーを更新できます。

制限付きキーの使用状況を定期的に監視し、キーにアクセスしている者がいないか確認することをお勧めします。ダッシュボードでオーバーフローメニュー () を使用して、特定の API キーのリクエストログを表示し、そのキーから行われたすべてのリクエストを確認できます。

API キーが不正にアクセスされた場合は、そのキーをダッシュボードで更新してブロックし、新規キーを生成します。不正行為者が機密情報を取得するのを防ぐために、ただちにキーを失効させてください。

警告

更新すると、当該の API キーがブロックされ、新しいキーが生成されます。セキュリティ履歴を参照して、このキーに関連するイベントを確認することをお勧めします。このキーで作成した Webhook エンドポイントは、このキーの更新後も引き続き有効です。

Identity によって収集された機密データに攻撃者がアクセスしたと思われる場合は、サポートにお問い合わせください

機密データの使用とセキュリティ対策について知らせます。

プライバシーポリシーに機密データである確認結果の司法方法が含まれていることを確認します。これは、セキュリティの取り扱いに関する方法を提供することも有益です。

参照情報

参照情報

このページはお役に立ちましたか。
はいいいえ
お困りのことがございましたら 、サポートにお問い合わせください
早期アクセスプログラムにご参加ください。
変更ログをご覧ください。
ご不明な点がございましたら、お問い合わせください
LLM ですか?llms.txt を読んでください
Powered by Markdoc