ストライプ社のCEO、パトリック・コリソン氏は、同社が電子商取引顧客のサイトでのやりとり、マウスの指標、識別子を収集するのは、詐欺対策のみだと主張しているが、決済プラットフォームの情報開示は改善の余地があると認めている。
火曜日、開発者のマイケル・リンチ氏はブログ投稿でストライプのデータ収集に疑問を呈し、ウェブ商人がストライプの支払いシステムのクライアント側の側面を実装するために使用する同社のJavaScriptライブラリが閲覧活動を記録し、そのデータを同社に報告していると指摘した。
送信されるデータは、取引に必要な範囲を超えています。リンチ氏によると、このライブラリは、ページにStripeの支払いフォームが含まれていない場合でもURLを報告し、マウスの動きのテレメトリと、Stripeが他のStripe実装サイトのデータと訪問者を照合するための一意の識別子も含んでいます。
コリソン氏は、ハッカーニュースへの投稿でリンチ氏の懸念に応え、ストライプはデータを広告やユーザーの習慣の調査に使用していないと主張した。
「Stripe.js は不正行為防止のためだけにこのデータを収集します。Stripe を利用する企業を騙そうとするボットの検出に役立ちます」と彼は記している。「(CAPTCHA も同様の技術を使用していますが、UI の操作性はより複雑になります。)Stripe.js は、文字通り 1 日に数百万件もの不正な支払いを阻止する [機械学習] スタックの一部であり、このような技術は、市場にある他のほとんどのものよりも効果的に不正行為をブロックするのに役立ちます。」
Stripe を利用している企業は、もしそれが存在しなければ、さらに多くの損失を被るでしょう。私たちはこれを目の当たりにしています。Stripe.js を利用していない企業の中には、巧妙な詐欺集団の攻撃に突然驚かされるケースが少なくありません。
コリソン氏は、加盟店はStripe.jsライブラリを使う必要は全くないが、使わないと不正チャージバックのリスクが高まると述べた。Stripeは異常な行動を検知するために「チェックアウトページだけでなくすべてのページ」にコードを読み込むことを推奨しているが、取引が発生する場所だけに限定することも、必要に応じてアンロードすることもできる。
リブラから脱却へ:eBay、Visa、Stripe、PayPalなどがFacebookの暗号通貨から撤退
続きを読む
コリソン氏は、ストライプ社は同社のライブラリがオプションであることを明確にし、詐欺防止ページでより詳しく説明する予定だと付け加えた。
リンチ氏はザ・レジスター紙との電話インタビューで、より詳細な情報開示が必要だと述べた。「パトリック氏の反応は期待を抱かせてくれる。しかし、彼らがきちんと対応してくれることを期待したい」
The Register は、Stripe が開示内容の明確化に取り組んでおり、近い将来にこの件に関するブログ記事を公開する予定であることを理解しています。
リンチ氏は、パートナーのコードを統合する際に何が起こっているかを理解するのは、最終的にはウェブサイトの所有者の責任だと述べた。「サードパーティのJavaScriptをインストールする際には、十分な信頼関係が不可欠です」と彼は述べた。
電子フロンティア財団のスタッフテクノロジスト、ベネット・サイファーズ氏は、レジスター紙の電話インタビューでこう語った。「ストライプは、このサービスを利用するサイトに対し、もっと明確に説明する必要がある。この種の追跡が行われていること、そして不正行為者かどうかを判断するためにユーザーのプロファイルを作成していることを、ユーザーに明確に伝える必要がある。」
また彼は、デジタル広告業界では閲覧者が人間かボットかを判断するために同様のスクリプトベースのデータ収集を多数行っていると指摘し、チェックアウト用に設計されていないページでのデータ収集について懸念を表明した。
「どんなにプライバシーポリシーを厳しく規定しても、これを正当化することはできない」とサイファーズ氏は述べた。「Stripeは、(eコマースフォームが)存在しないウェブページでユーザーの行動をプロファイリングすべきではない。」®
