Stripeではテスト環境では審査がいりませんが、本番環境を有効化するためには審査があります。
この記事では、個人で商品や講座などをStripe決済を通して販売したいと考えている方向けに、Stripe審査の全手順、合格ポイント、再審査の方法まで詳しく解説します。
特に後半、セキュリティ・チェックリストに基づく対策処置状況報告書というどれを選択すれば良いか分からない難問も出てくるので、それぞれ詳しく解説していきます。
Stripeの審査で知っておきたい事
Stripeの審査に関して、まずよくある疑問について話していきます。
Stripe審査期間はどれくらい?
Stripeの審査期間はだいたい1〜3営業日程度です。ただし、情報が不足している場合や追加確認が必要な場合は、最大1週間程度かかることもあります。
Stripeの審査に落ちてしまった場合
Stripeの審査に不合格になっても再審査を受ける事ができます。またStripeは、個人で複数のアカウントを作る事ができるので、サイトごとにアカウントを作る事もできます。
Stripeの審査は一発で通らなくても、通常はメールで「〇〇が足りてないので、追加してください」のような日本語の丁寧なサポートメールが来ます。
不合格の理由が分かるので、ちゃんとサポートメールに書かれた通りにサイトを作成し、分からない部分があれば、サポートに問い合わせれば、ちゃんと日本語で対応方法を教えてくれます。
このように、サポートとやりとりする事で、最終的には審査に通るパターンが多いので、ちゃんと指示に従って販売ページを改善しましょう。
Stripeの審査を始める前に何が必要?
Stripeの審査に進む前に必ずやっておくべき事として
- 商品販売ページを仮完成させておく
- 特商法ページを設置しておく
最低でもこの2つは必須です。
商品販売ページを仮完成させておく
Stripeの審査では、実際にあなたがどんな商品をどんな販売ページで売っているのかをStripe側で確認し、Stripeの規約に違反していないか (特にギャンブル、アダルト、マルチ商法などの販売ではないか?)を確認します。
そのため、商品販売ページを先に仮完成させておく必要があります。
商品の価格も決め、あとはもうStripeのリンクを購入ボタンに貼り付ければ、いつでも売れるという状態にしておくという事です。
「え、でもまだ実際には売れない状態でGoogleにIndexされちゃったり、お客さん来ちゃうと困るんだけど(汗)」
という場合は、サイト上に「◯月より販売開始予定です」のように、まだ販売が開始していない事を書いておくと良いです。
また、検索エンジンにIndexされたくない場合は、noindex, nofollowに現時点ではしておき、実際に販売できる状態になった時にindex, followに変えて、GoogleのサーチコンソールからIndex申請すれば良いでしょう。
特商法ページを設置しておく
あと、これがStripeの審査に通過するために一番大事な事なのですが、必ず最低限、販売ページに「特商法の記載」ページへのリンクを張り、特商法ページも完成した状態にしておく必要があります。
Stripe審査に通過するために特商法ページに必ず記載すべき事は?
特商法の記載で、Stripe審査に必ず必要な項目は以下です。
- 販売責任者
- 運営統括責任者
- 所在地
- 電話番号 (対応策あり)
- メールアドレス
- 注文方法
- 販売URL
- 販売価格
- 支払方法
- 追加手数料等の追加料金
- サービスのお届け方法
- 返金
- サービス提供時期
- 決済期間
- 著作権
- 表現、及び商品に関する注意書き
これらの項目がちゃんとないと審査でサポートから「〇〇項目を追加してください」と連絡が来て、再審査になります。
Stripeの審査に通るための特商法の書き方サンプル
↑
このサンプルを参考にしてください。
Stripe審査の実際の手順を図解解説
Stripeの審査は次のような手順で進みます。
ビジネスの所在地とタイプ
個人で商品を売るなら、個人事業主ですね。
1. 事業情報
上の画像のように、自分の商品、サービスに一番近い業種を選びます。
ビジネスのウェブサイト:これに関しては、あなたのサイトのトップページというよりは、販売ページ(特商法の記載リンクがあるページ)を記入した方が良いです。
あなたのサイト全体がショッピングサイトならトップページで良いですが、Stripe側は商品内容や、セールスページの内容、特商法を確認したいので、基本的には商品のセールスページ(特商法のリンクがあるページ)のアドレスを入力すると良いです。
商品の説明:上の画像のように、「何を売るのか?」「決済完了後、いつ商品はどういう形で提供されるのか」を書きます。
個人情報の確認
この後、実際にスマホで免許証などのIDを使った本人確認があります。そのIDと住所が一致してる必要があります。つまり仮にあなたがオフィスとか持ってても、そこの住所ではなく、あくまでStripeアカウントを使う人の自宅住所や電話番号って事です (この画面で入力した内容は顧客に公開されません)。特商法に書く住所と違っていても大丈夫です。
オプションの選択
売上の税金を自動徴収
これに関しては、Stripeの税金自動徴収サービス(有料)を使うなら、続行。使わないなら、「今はスキップ」を押せば良いです。自分で確定申告して、自分で税金計算して払うから不要って人はスキップで。どちらかというと全世界に商品を販売する人で、各国の税金計算が面倒って人向けのサービスですね。
気候変動への取り組みを顧客に示す
なんか売上の一部寄付しませんか的な(汗)。まあ私は「不要」(ただでさえ手数料取られるのに、なんでさらに手数料払うねんと思う。。)。
割賦販売法に関する質問
さーて、ここで「え?なにこれ(汗)」という質問がずらりと出てきますが、
分かりやすく解説するので、うろたえず着いてきてください。
- 自社のサーバー上にカード番号を保存するか、電話でカード番号を収集するなどの方法で、自社で顧客のカード番号を直接管理する予定はありますか?
- 自社で3Dセキュアなどの本人確認サービスを導入する予定はありますか?
- 自社で決済ごとにカードのセキュリティコードの入力を求める予定はありますか?
→これってようは、あなたの販売サイトで、Amazonとか楽天みたくお客さんのカード情報を次の支払いでも使えるように保管する機能がありますかって事です。
お客さんのカード情報を自分のサイト(もしくはあなたのサイトの管理代行会社)で、保管するなら、これらは「はい」になりますし、そんな機能はサイトに設置してない、する予定もないなら「いいえ」です。個人がサイトで商品売る場合は、そんな機能は付けないと思うので、それなら「いいえ」です。
- 自社で不正な配送先住所を検出するための対策を講じる予定はありますか?
→これも楽天のようなショッピングサイト運営してるとかで、してあるなら「はい」。個人のブログとかでそういった対策をする予定はないなら「いいえ」ですね。個人のブログでも情報販売ではなく、物販の場合で、ブラックリストとか作って、不正な配送が起こらない対策とかする予定なら「はい」ってとこですね。
- 過去5年間に特定商取引法に違反した事はありますか?
→質問のままです。
顧客向けの表示情報
お客さんのカード明細などに表示される名称を指定します。
お客さんのサポート対応電話番号を入力し、その電話番号を領収書や請求書に表示するかも選べます。(ご自身の好きな方を選べばOK)
銀行口座情報の入力
次の画面で、実際に商品が売れた時の売上の振込先銀行口座を入力します。
ちなみに、実際に商品が売れた場合、手動でStripeから引き出すか、自動的に毎週や毎月振り込むかも指定できます。
さて、ここで審査は全部終了と思いきや、この流れが終わった後に、さらに質問が来ます。
セキュリティ・チェックリストに基づく対策処置状況報告書
なにやら小難しい事が書かれている質問票が出てきましたね(汗)。
一つ一つ分かりやすく解説していきます。
決済はどのように実施されますか?
- Stripe Payment Links または Stripe Invoicing のみ
- オンライン決済(Stripe Checkout や Payment Element)
- どちらも該当しない
これは、あなたが例えば、単純にPayment Linksで商品決済リンクを作って、商品を販売するのであれば1でOK。自分でコード打ってCheckout画面作ったりして使う予定なら2を選べばOKです。
1. 管理者画面のアクセス制限と定期的な ID / PW 管理
- 管理者や保守用のアカウントは必要最低限とし、許可された端末以外から管理画面にアクセスできないようアクセス制限を設けている。
- 取得されたアカウントを不正利用されないよう二段階認証、二要素認証を導入する
- 管理者画面のログインフォームでは、アカウントロック機能を有効にし、10回以下のログイン失敗でアカウントをロックする
→例えば、あなたがWordPressを使ってるのであれば、あなた以外が管理画面にアクセス制限をちゃんとしてるかって事です。例えば、IP制限、二段階認証とかそういう事です。
例えば、あなたのサイトの管理画面が不正にログインされ、改ざんされた場合、Stripe決済リンクやコードが改ざんされ、お客さんがあなたの商品を買うはずが、フィッシングサイトに誘導されてしまうかもしれません。
そういう事態が起こらないように、ちゃんと管理画面にアクセスできるアカウントを制限してますか?って質問です。
もししてないのであれば、WordpressならLimit Login Attemptsプラグインを入れたり、二段階認証を入れたり、IP制限したりして、セキュリティを高め、「はい」を選びましょう。やってないし、やる予定もないというなら「いいえ」で。
2. データディレクトリの抜取に伴う設定不備への対策
- 公開ディレクトリには、重要なファイルを配置しない。
- Webサーバーや Web アプリケーションまたはアップロード可能な拡張子やファイルを制限する等の設定を行う。
→これに関しては、あなたがWebhookを使ったり、コードを自ら書いてCheckout画面を作ったりする場合の話をしています。
公開ディレクトリっていうのは、あなたのレンタルサーバーなどのpublicフォルダ(ディレクトリ)の事です。
このPublicディレクトリに入ってるファイルは、インターネットから見たりダウンロードしたりできるファイルです。
つまり、そこに見られてはまずいシークレットキーなどの重要なファイルを配置してないですよね?って質問です。
また、危険なファイルをハッカーにアップロードされないように、アップロードできるファイルを制限してますか?っていう質問です。
例えば、Webhook(決済後の自動メール送信)などを使う予定がなかったり、シークレットキーを使うような作業をしない=重要なファイルをPublicフォルダ内に配置してないのであれば、「はい」で。
Webhookなどを使うのであれば、Publicフォルダ内にシークレットキーなどのファイルを配置しない事が大事です。(下の記事では、Webhookを安全な配置で使う方法を解説してます)
↓
Stripe Webhookで自動返信メール送信やり方!2025年最新版
3. Webアプリケーションの脆弱性対策
- 脆弱性診断またはペネトレーションテストを定期的に実施、必要な修正を行う。
- SQLインジェクション等の攻撃やクロスサイト・スクリプティング等の脆弱性対策を行う。
- Webアプリケーションを開発またはカスタマイズされている場合には、セキュアコーディング済みであるか、ソースコードレビューを行い確認する。その際は入力フォームの入力値チェックも行う。
1は、WordPressについている診断などでヘルスが良好か。定期的にちゃんとチェックして、サイトの安全を保つ予定かって事を聞いてます。
2はちゃんとプラグインなどを最新にして、脆弱性対策する予定ですか?って事です。
3は、自分でサイトをカスタマイズしてる場合は、ちゃんとコードに脆弱性がないかレビューしてるか、安全な方法で書いているかって事です。
特に、ウェブサイトで危険なのは、お客様入力フォーム自体に危険なコードを入れられ、そこからウイルスを実行されてしまうなんて事です。
なので、入力フォームがサイトにある場合は、そこにそもそも普通の文字列しか入らないようになっているか、コードが書けないようになっているかって事を聞いてます。
これ、WordPressなどのCMFを使っていて、特にフォームを自作してないのであれば、もともとそうなっているはずです。
自作のフォームなどがある場合は、そういうコードをエスケープする(記号を文字化する)仕組みがちゃんと出来てるかを確認したほうがいいです。
そういった事ができてるならそれぞれ「はい」逆にできない、やる予定ないなら「いいえ」。
4. マルウェア対策としてのウイルス対策ソフトの導入、運用
- マルウェア検知/除去などの対策とウイルス対策ソフトを導入して、シグネチャーの更新や定期的なフルスキャンを行う。
これもそういうプラグインを入れるなどして、やってるとか、サーバーにそういう機能があってやってるなら「はい」。やってないなら「いいえ」。
5. 悪質な有効性確認、クレジットマスターへの対策
- 悪質な有効性確認、クレジットマスターに対して、セキュリティ・チェックリストに記載の対策を1つ以上実施している。
→例えば、Xサーバーなら、海外からのアクセス制限機能とかありますから、それをONにするとかを行っているかや、Stripe自体が現在3Dセキュア対応カードしか通らなくなってますから、StripeのCheckout機能などを普通に使ってるだけで、1つはクリア出来ていると考えられます。クリアできている、もしくはクリアする予定なら「はい」。
6. 不正ログイン対策
これに関しては、あなたのサイトに会員ログイン機能があるのかどうかによります。
Amazonや楽天のような、会員登録して使う販売サイトである場合は、不正アクセスがないように、対策してるなら、それをチェックするって事です。
例えば、個人のブログのように、会員登録なしでStripe Checkout決済リンク経由で、商品販売するだけであれば、それぞれの質問に「該当なし」を選べばOKです。
委託先情報
これも、セキュリティ対策を誰か専門家に任せてるなら「委託先起業」を。そうでない、自分で全部やってるなら「従業員」と考えると良いかと。
そもそもこの質問票はなんなのか?
基本的には、Stripeを使う我々が、ちゃんとカードが不正利用されないように、自身のサイトのセキュリティ対策をやってるかをチェックしていると考えてください。
これらのチェックリストで、「いいえ」ばかりなら、きっとセキュリティ対策が出来てないサイトと判断され、審査段階で、サポートからセキュリティを高める対策を入れるように指示が来るかもしれません。
だからと言って、セキュリティ対策を一切やる予定がないのに、「はい」と回答して送るのは、実際にハッキング問題などが起こった際、あなたにリスクが増えると思いますので、自分でできる限りのセキュリティは高めておく事をおすすめします。
今まで話してきた通り、
- レンタルサーバーなら、レンタルサーバー側でできるセキュリティ機能をONにする
- できる限りプラグインなどを最新版にして脆弱性を下げる
- 自作コードを入れる場合は、ChatGPTなどに、「このコードはセキュリティ的に安全ですか?そうでないなら、安全対策を追加してください」などと、確認して、安全なコードを設置する。
こういった事をやった方がいいです。
まとめ
Stripe審査をスムーズに通過するためには、正確で詳細な情報提供と透明性がポイントとなります。
不合格でもStripeの日本語サポートが親切にメールで教えてくれますので、諦めず再審査で合格を目指しましょう。
あなたのStripe決済導入がうまくいきますように!
<関連記事>
Stripe Webhookで自動返信メール送信やり方!2025年最新版
Stripeで本番環境を使うには審査に通過する必要がある。
Stripe審査の流れと絶対に押さえて置くべきポイント
Stripe審査に落ちても基本的には再審査してもらえる
Stripeの審査期間
