フランスCNIL、カード支払のガイドラインを公表


フランスCNIL、カード支払のガイドラインを公表

フランスのデータ保護監督機関、CNILが、2月28日、オンライン商取引におけるクレジットカードデータ、銀行口座データの保持に関するガイドラインを更新した。

デフォルト:個別の取引終了後はカードデータを保持しない
GDPRが規定するデフォルトによるデータ保護、目的に照らし最小限のデータ処理の原則に基づき、基本的には、取引終了後、カードデータを保持してはならない。取引終了後も将来の取引の利便性を向上させるためにカード情報を保持する場合、事業者は、顧客の同意を取得しなければならない。この同意は、推定同意であってはならず、曖昧でない意思表示、たとえば、あらかじめチェックされていないチェックボックスによるものでなければならない。一般的な取引条件の受諾は、このような同意を取得するために適切な方法ではない。同意を撤回する簡易な方法をWebに用意することを推奨する。

例外的な場合
顧客が、頻繁な購買など、事業者との継続的な取引関係に入る場合、事業者は、以下の条件のもとでカード情報を保持することができる。
・ 十分で完全な情報提供を、他の情報提供とは別の方法で行うこと
・ 異議を述べる簡単な方法を提供すること
・ Webからいつでも情報を削除できる方法を提供すること
・ 情報保持を拒否された場合、そのような意思表示を尊重すること
・ 適切なセキュリティ対策を講じること

将来の購入やワンクリック購入などのためにカード情報等を保持することは、契約履行の必要の範囲を超え、個人による期待の範囲を超える。カード情報等を継続的に保持する場合、事業者との継続的な取引関係に入ろうとする顧客の意思が明確でなければならない。

標準的なカード情報の保持期間は以下の通り。


CNILは、顧客の端末機器(スマートフォン、PCなど)にカード情報等を保持しないことを推奨する。
https://www.cnil.fr/fr/le-paiement-distance-par-carte-bancaire

関連記事