ユーザープライバシーについて

PayPayカードのプライバシーに関する取り組み

PayPayカードは、「圧倒的No.1のサービスをすべてのお客さまに！」を掲げてお客様ファーストにサービスを創り上げていくことを目指しています。

お客様に理解をいただいた上でお客様の個人データを利用させていただいています。

この「ユーザープライバシーについて」では、お客様の個人データをどのように取り扱っているかを分かりやすくまとめました。

なお、個人データを活用する上での基本的な方針を「プライバシーステートメント」に、法律上定義されている個人情報の取り扱いに関する遵守事項等を「個人情報保護法等に基づく公表事項」に定めています。

安心安全なプライバシー保護体制の構築
お客様の個人データの取得
お客様の個人データの利用
お客様の個人データの連携
お客様の個人データを守る取り組み

安心安全なプライバシー保護体制の構築

お客様の信頼と透明性を高める取り組みについてご説明しています。

PayPayカードのプライバシー保護の主な取り組み

PayPayカードは、お客様により良いサービスを提供し、ユーザー体験を向上させるため、データ利活用を推進しています。安全・安心なデータ利活用を進めるため、お客様のプライバシーを守る体制を整えており、個人データの取得・利用・連携についてWebページでご説明しています。

PayPayカードでは、プライバシーリスク管理の方針・体制をチェックするため、NIST（米国立標準技術研究所）プライバシーフレームワーク（以降、NIST PF）に対する準拠状況について、専門的な第三者の助言を受けながら自主点検を実施しています。
当該ホワイトペーパーでは、その自主点検結果とPayPayカードの先進的な取り組みについてご紹介します。

自主点検の結果

前述のとおり、自主点検はNIST PFをもとに実施しています。NIST PFとは、プライバシーリスク対策の効果を数値で評価し、管理するための概念を示すフレームワークです。
NIST PFのカテゴリの概要と自主点検結果は次の通りです。

NIST PFカテゴリ	カテゴリの説明	準拠状況	先進的な取り組み
ⅰ.特定（IDENTIFY-P）	プライバシーリスクを管理するための組織的な理解を深めます	◎	サービス等のプライバシーへの配慮状況を確認しています（PIAの実施） PIAに係るワークショップを開催し、プライバシー保護の意識を高めています
ⅱ.統治（GOVERN-P）	プライバシーリスク管理のためのガバナンスを構築します	◯	PIAを社内規程等に定めて、サービス等がプライバシーに十分に配慮されているか確認する観点等を社内に周知しています
ⅲ.制御（CONTROL-P）	プライバシーリスクを十分管理するための活動を展開し実行します	◯	お客様個人が特定されてしまわないよう、統計情報に関する利用を制限しています
ⅳ.通知（COMMUNICATE-P）	データの取り扱いとプライバシーリスクとの関連性について、ユーザーや社内に通知・対話します	◎	ユーザーの配慮に関するドキュメントを策定し、お客様の信頼を維持する努力をしています「ユーザープライバシーについて」のページにて、個人データの考え方や利用事例を分かりやすくまとめています
ⅴ.防御（PROTECT-P）	適切なデータの取扱いのための保護手段を開発し、実装します	◎	PCI DSSおよびISMS認証を取得し、ユーザーデータの管理や情報セキュリティマネジメントについて、国際水準の安全性を確保しています

NIST PFカテゴリ
ⅰ.特定（IDENTIFY-P）
カテゴリの説明	準拠状況	先進的な取り組み
プライバシーリスクを管理するための組織的な理解を深めます	◎	サービス等のプライバシーへの配慮状況を確認しています（PIAの実施） PIAに係るワークショップを開催し、プライバシー保護の意識を高めています

NIST PFカテゴリ
ⅱ.統治（GOVERN-P）
カテゴリの説明	準拠状況	先進的な取り組み
プライバシーリスク管理のためのガバナンスを構築します	◯	PIAを社内規程等に定めて、サービス等がプライバシーに十分に配慮されているか確認する観点等を社内に周知しています

NIST PFカテゴリ
ⅲ.制御（CONTROL-P）
カテゴリの説明	準拠状況	先進的な取り組み
プライバシーリスクを十分管理するための活動を展開し実行します	◯	お客様個人が特定されてしまわないよう、統計情報に関する利用を制限しています

NIST PFカテゴリ
ⅳ.通知（COMMUNICATE-P）
カテゴリの説明	準拠状況	先進的な取り組み
データの取り扱いとプライバシーリスクとの関連性について、ユーザーや社内に通知・対話します	◎	ユーザーの配慮に関するドキュメントを策定し、お客様の信頼を維持する努力をしています「ユーザープライバシーについて」のページにて、個人データの考え方や利用事例を分かりやすくまとめています

NIST PFカテゴリ
ⅴ.防御（PROTECT-P）
カテゴリの説明	準拠状況	先進的な取り組み
適切なデータの取扱いのための保護手段を開発し、実装します	◎	PCI DSSおよびISMS認証を取得し、ユーザーデータの管理や情報セキュリティマネジメントについて、国際水準の安全性を確保しています

【凡例】
◎：変化するリスクに対して柔軟に対応できる全社的な取り組みがある
◯：全社的な取り組みがある
△：部分的な取り組みがある
×：取り組みがない

PayPayカードの先進的な取り組み

カテゴリ毎の先進的な取り組みについてご紹介します。

i.プライバシー保護に関するワークショップの開催

プライバシー影響評価（PIA）実施部門とデータ利活用実施部門において、配慮が必要なデータカテゴリの扱い、海外の先進的な規制情報、信用スコアリングモデルのリスクの考え方、アンコンシャスバイアスに関するワークショップを開催しています。これらの取り組みによって、データ利活用実施社員のプライバシーに対する意識を高く保ち、PayPayカードのシステム、サービス及び機能が、お客様のプライバシーに配慮していることを事前に確認できる体制を整えています。

ii.PIAの実施および円滑に実施するためのドキュメントの策定

PayPayカードのサービスおよび関連する事業において、人権を含むプライバシーをはじめとした権利利益への影響が適切かつ十分に配慮されていることのプライバシー影響評価（PIA）を実施しています。当社事業の安心安全を推進するため、PIAの対象となる範囲や実施体制、実施フロー等を定めた社内規程等のドキュメントを整備しています。

iii.統計情報の利用制限

PayPayカードではマーケティング等を目的として、お客様からご提供いただいたデータに基づく統計情報とする場合に、各種データを組み合わせて絞り込むことで、お客様個人が特定されてしまうような可能性があるデータの利用を禁止しています。

iv.ユーザーの配慮に関するドキュメントに基づく取り組みや「ユーザープライバシーについて」のページの設置

PayPayカード社内向けにユーザーの配慮に関するドキュメントを策定しており、お客様の信頼を維持するための努力を行うことを社員に周知しています。お客様に向けては、「ユーザープライバシーについて」のページを設置し、お客様の個人データに対する私たちの基本的な考え方や具体的な利用事例を分かりやすくまとめています。

v.PCI DSSおよびISMSの認証取得

PayPayカードは、クレジットカード決済に関する会員情報や取引情報および決済プロセス等におけるセキュリティ基準であるPCI DSSの認定や、情報セキュリティマネジメントシステム（ISMS）の国際規格であるISO27001認証を取得しています。これは、クレジットカード等に関する情報の管理の安全性が国際水準であると認められたことを意味します。

PayPayカードのコミットメント

PayPayカードは、お客様をはじめとした当社に関わる全ての皆さまのプライバシー保護を経営の最重要課題の一つと捉えています。
PayPayカードでは、プライバシーに配慮したよりよいサービスを提供できるよう努めてまいります。
また、テクノロジーの進歩等の環境変化や今後のデータ利活用のさらなる推進に応じ、PIAを高度化させ、データ保護のためのセキュリティ対策を講じるとともに、データの取扱いを適宜見直し、ルールを更新・拡充します。

お客様の個人データの取得

PayPayカードがお客様のどのような個人データをどのように取得しているのかをご説明しています。

お客様からの申告による取得

お客様がPayPayカードのお申し込み時に、入力または提出された情報を取得します。 PayPayカードやその付帯するサービスのお申し込み時にアプリやウェブにて入力、提出いただくお客様の個人データです。

取得する個人データの例：
氏名、生年月日、携帯電話番号、お支払い口座等

PayPayカードのご利用にともなう取得

お客様がPayPayカードを用いてショッピングでのご利用やキャッシングサービスのご利用を行った際に、その利用履歴に関する情報を取得します。

取得する個人データの例：
ご利用日時、店舗名、金額等

PayPayカードのグループ会社および提携先企業からの取得

お客様によりよいサービスを提供するためにPayPayカードのグループ会社および提携先企業からお客様の情報を取得します。PayPay、ソフトバンク、LINEヤフーと主に連携をしてサービス提供をしております。例えば、PayPayカードの利用に伴う特典の提供やサービス案内のための情報連携があります。

取得する個人データの例：
PayPay ID、Yahoo!JAPAN ID等

お客様の個人データの利用

お客様の個人データの利用方法についてご説明しています。

与信判断および与信後の管理、または本人確認、その他取引上の判断

お客様ごとに適切な与信判断を行うための審査のお手続き、お支払いに関する各種管理、またご本人様であることの確認や不正行為の検出や防止のために利用します。
与信精度の向上および不正防止の高度化のためにPayPayカードのグループ会社等から提供を受けた情報も利用させていただく場合があります。

PayPayカードの各種サービスのご提供

ご契約いただいたPayPayカードの各種サービスの提供や、キャンペーンなどの特典付与のために利用します。

サービスの改善・新しいサービスの開発

よりよいサービス提供のための改善や、新しいサービスを開発するために利用します。
お客様の利用履歴等をもとにお客様のニーズを分析して、サービスの改善やお客様に合ったサービスの提供を行います。
その際にPayPayカードのグループ会社等から提供を受けた情報も利用させていただく場合があります。

お知らせ等のご案内やお問い合わせ対応

お客様にPayPayカードの商品・サービス情報をご案内、お支払いに関するご連絡等をするために利用します。
また、PayPayカードへの各種お問い合わせに対応するために利用します。

お客様の個人データの連携

PayPayカードのグループ会社および提携先企業等へのお客様の個人データの連携についてご説明しています。

概要

お客様の個人データをPayPayカードのグループ会社および提携先企業等に提供する場合があります。これらの提供は、個人情報保護法や関連する法令・ガイドラインにて提供が認められる場合（お客様の同意がある場合等）に限って、提供をします。

グループ会社および提携先企業等への第三者提供

お客様によりよいサービスを提供するためにPayPayカードのグループ会社および提携先企業へお客様の個人情報を連携する場合があります。連携する情報はその事業に必要な項目に限定され、その他の目的に利用されることはありません。

個人信用情報機関への第三者提供

貸金業法、割賦販売法等に定める契約者あるいは連帯保証人等の支払い能力の調査のために当社が加盟する個人信用情報機関および当該機関と提携する個人信用情報機関に、お客様の支払い能力に関する情報等の照会と登録を行います。

PayPay株式会社との共同利用

PayPayとの間で、個人情報保護法等に基づく公表事項記載の共同利用の目的の範囲に限り、お客様の個人データを共同利用しています。
PayPayとは、あらかじめ個人データの取り扱いに関する契約を締結し、お客様の個人データが適切に管理がされる体制作りをしています。
PayPayから共同利用で受領するデータの中には、個々のお客様に最適なサービスを提供するために分析されパーソナライズされた情報もあります。
それらのデータは、例えば、PayPayカードのサービス改善や適正な与信管理のために利用する場合があります。