ヨーロッパでeコマースマーケットプレイスを立ち上げるための法的要件

公開: 2021-08-12

2018年3月、Cambridge Analytica-Facebookデータの大失敗が一般的な知識になったとき、それは世界中に波紋を生み出しました。 いくつかの国の政府は、国民の抗議に気づき、市民のデータとプライバシー保護の基礎を築き始めました。

欧州連合(EU)の議員が起訴を主導しました。 いくつかの古い法律が再検討されている間に、多数の法律と指令が作成され、データ管理者と処理者に新しい義務と責任が課されました。

この有益なガイドでは、 Flubit、ASOS、Allegroなどのeコマースマーケットプレイスを開始する前に、ビジネスオーナーが知っておくべきヨーロッパのeコマース規制と法律に関する調査結果を紹介します。 広く受け入れられ、実装されているものから始めましょう。 GDPR。

目次

  • GDPRの基本
  • GDPRは、eコマース業界にとって重要です。 これが理由です!
  • Eコマース、VAT、Brexit、およびそれらの機能の調和
  • 支払いゲートウェイとオンライン支払い
  • 距離販売指令
  • ペイメントカード業界–データセキュリティ標準(PCI DSS)コンプライアンス
  • 欧州WEEE指令
  • 結論

GDPRの基本

2018年5月25日に発効した一般データ保護規則(GDPR)は、欧州連合(EU)とその経済分野におけるデータ保護とプライバシーに関する規則です。 EU住民のデータを保護するためです。

個人データとは、識別可能な人物まで追跡できるあらゆる情報を指します。 名前、電子メールアドレス、IPアドレスなどが含まれる場合があります。

GDPRは、その場所やデータ主体(個人)の市民権または居住地に関係なく、あらゆる企業または企業に適用されます。 欧州経済領域(EEA)内の個人の個人情報を処理している場合、またはEUの顧客がいる場合は、それを認識する必要があります。 GDPRで指定されている6つの合法的な基盤があります(同意、契約、公務、重要な利益、正当な利益、または法的要件)。

合法的な根拠とは別に、新しい規制の下でEUのデータ主体に与えられる特定の権利があります。それは次のとおりです。

  • アクセス権とは、顧客が自分のデータがどのように使用されているかを知る権利があることを意味します。 したがって、企業はこの情報を使用して個人を評価する必要があります。
  • 転送する権利は、顧客またはデータ主体がデータをある会社から別の会社に転送する権利を持っていることを示しています。
  • 忘れられる権利とは、顧客がすべてのデータを消去したい場合、企業はその要求に応じる必要があることを意味します。
  • 通知を受ける権利は、データが収集されていることを顧客に明示的に通知する必要があり、自由な同意を得る必要があることを強制します。
  • 修正される権利は、データが古くなっているか正しくない場合にデータを更新する権利を顧客に与えます。
  • 処理しない権利は、顧客がデータを処理しないことを選択できるが、レコードはシステムに残ることができることを意味します。
  • 異議を唱える権利とは、顧客がダイレクトマーケティングのために処理されないようにデータを取得することを選択できることを意味します。

さらに、新しいGDPRガイドラインに従って、企業が遵守しなければならない特定の義務と権利があります。

  • データ漏えいが発生した場合、企業は72時間以内にそれを開示し、国家監督当局に報告する必要があります。
  • 大量のデータを処理する場合は、すべての企業がデータ保護責任者(DPO)を任命する必要があります。
  • データを保護するために、企業は必要な措置を講じる必要があります。
  • 企業がデータを収集する必要がある場合でも、それは最低限必要な量でなければなりません。
  • 企業/企業は、個人データを収集する前に明示的な同意を得る必要があります。
  • 国際企業または国内企業がデータ保護規制に準拠していない場合、最高2,000万ユーロ、または前会計年度の世界の年間売上高の4%のいずれか大きい方の罰金が科せられます。

欧州連合はGDPRに依存しているため、他の国や州が従うべきモデルになっています。 チリ、日本、ブラジル、ケニア、アメリカ合衆国などの国々は、規制と多くの類似点があり、企業や企業が従い、遵守することが世界的なルールとなっています。

GDPRは、eコマース業界にとって重要です。 これが理由です!

GDPRは、ヨーロッパやその他の大陸のeコマース業界を再構築しました。 eコマースドメインで運営されている企業は、顧客の個人データを処理し、データを収集、保存、またはその他の方法で使用する必要があることを考えると、EUの顧客のデータ処理のために、多くの規制に従う必要があります。

  • 企業は、eコマースストアの連絡先の詳細を開示する必要があります。
  • ヨーロッパに実店舗がなくても、EUに顧客がいる場合でも、GDPRに準拠する必要があります。

ビジネスがGDPRに準拠していることを確認するために、通常とは異なることを行う必要はありませんが、T&Cとプライバシーポリシー、およびCookieの設定が最新であることを確認する必要があります。

注:1〜10,000人の従業員から、GDPRはすべての人に適用されますが、記録管理は250人以上の従業員がいる企業にのみ必要です。

GDPRに準拠するには、考慮しなければならない特定の側面があります。

  • ユーザーに同意を与えるかどうかの選択と制御を提供します
  • ユーザーにオプトインを依頼するということは、事前にチェックされたボックスは同意としてカウントされないため、ユーザーは自分で「オプトイン」する必要があることを意味します
  • 個人が同意していることを明確に強調する
  • 同意のリクエストは、他の利用規約から分離する必要があります
  • 具体的に。 一度にすべてをキャッチするために傘の方法を使用しないでください
  • 明確かつ簡潔にする:二重否定の余地はありません
  • 同意に依存する第三者は、名前を付ける必要があります
  • 簡単な同意の撤回、そしてそれを行う方法は重要です
  • 誰が同意したか、いつ、どのように、何をメッセージとして伝えたかという観点から、同意の証拠を文書化して保管します。
  • 受け取った同意を確認し、変更があった場合は更新します
  • サービスを使用するための前提条件に同意することは避けてください

国境を越えた支払いと通貨換算のリスク:

ユーロ圏への参加に関係なく、ヨーロッパ全体の国境を越えた支払い料金は交換可能です。 さらに、ユーロでの国内支払いは非常に費用がかかるため、支払いサービスプロバイダー(PSP)はさまざまな料金を請求できます。

この問題に対応するために、欧州議会は支払い規則を更新しました。 CBPR2または国境を越えた規制は、通貨換算料金の透明性を高め、POS(販売時点管理)およびATMで基準を設定することを計画しています。

PSPは、直接オンラインクレジットカード転送を開始するユーザーに以下を提供する必要があります。

  • 推定変換料金
  • 支払人の口座通貨での推定合計金額
  • 支払人の口座通貨で支払サービスユーザーに支払われる推定合計金額
  • 取引手数料(ある場合)
  • 通貨換算手数料(ある場合)

CBPR2はさらに、ATMまたはPOSのいずれかで通貨換算を伴うカードベースのトランザクションを開始する前に、PSPが次の情報を決済サービスのユーザー/受取人に開示する必要があることを要求しています。

宣言:

  • 通貨換算手数料と使用される為替レート。

会計コンプライアンス:

  • 欧州中央銀行が発行した最新のユーロ外国為替レートに対するマークアップの割合
  • 受取人が使用した通貨と支払人のPSPのアカウントの通貨で支払われる合計金額

セキュリティフィリング:

  • 受取人が使用する通貨で支払い、その後、支払人のPSPが通貨換算を実行する可能性。
  • 通貨換算サービスを拒否し、代わりに受取人が使用する通貨で支払う受取人の権利。

もともとここで共有

大陸全体のさまざまなドメインで行った作業を理解する

ポートフォリオを確認する

ヨーロッパの電子商取引法と通貨換算:

通貨換算により、絶え間ない両替を考えるといくつかのリスクが発生します。 新しい規則に従い、使用される通貨レートは常に取引時のレートでなければなりません。 オンラインストアに関連付けられている3種類の通貨は次のとおりです。

  • ストア通貨–レポートに表示される通貨であり、製品とそのバリエーションの価格を設定するために使用される管理者の通貨です。
  • 現地通貨–顧客がチェックアウト時に注文の支払いに使用する通貨であり、ストアにも表示されます。
  • 支払い通貨–これは、ユーザーの銀行口座にお金を預けるために使用される通貨であり、管理者またはストアの所有者が直接処理できます。

リスク:

  • 処理の遅延や返金の場合、通貨レートの変動が続くため、お金を失ったり、稼いだりする可能性があります。
  • ストアが複数の通貨で取引している場合、価格は自動的に変換され、市場レートで更新されます(わずかな変換手数料も含まれます)。

Eコマース、VAT、 Brexit、およびそれらの機能の調和

英国はイングランド、ウェールズ、スコットランドで構成されており、2021年の元日以降、英国から輸入された商品に対する新しいVAT規則があります。北アイルランドは現在、ブレクジット後の二重ステータスを持っているため、英国の税関地域の一部になりますが、また、VATを目的としたEU単一市場の一部です。

今後、eコマースビジネスは、問題のある海域に足を踏み入れないように、特定の技術的側面に注意を払う必要があります。

  • 何よりもまず、2021年7月1日からワンストップショップ規則が施行されたため、販売先の国ごとに英国のVAT番号を申請してください。
  • 135ポンド未満の英国に発送された注文のVATを徴収します。
  • オンラインマーケットプレイスの場合、責任はプラットフォームに移ります。
  • 四半期ごとにVATをHMRCに提出して送金します。
  • 経済登録および識別(EORI)番号を申請します。 税関申告に使用され、通関手続きや書類で輸出者を特定するのに役立ちます。
  • 税設定を再評価して更新します。 Avalaraを使用すると、自動的に実行されます。
  • B2BとB2Cではルールが異なり、間違ったコードを取得した場合、間違った関税を支払ったり、税関によって商品がブロックされたりする可能性があることを考慮すると、商品コードは非常に重要です。

地方財政担当者の必要性:

まだ正式にはなりませんが、ヨーロッパの27か国のうち19か国は、新しいVATおよびEUの電子商取引規則に従って現地のVAT担当者が必要であると考えられています。 ノルウェー、オーストラリア、日本、または韓国は、現地の会計担当者が一般的に弁護士または会計士であるこの取り決めに従っています。

会計担当者を任命しないと、罰金が科せられる場合があります。 プラットフォームが税法に準拠していない場合、これらの担当者は責任を問われることを念頭に置いて、かなりの金額または銀行保証を支払う必要がある場合があります。

支払いゲートウェイとオンライン支払い

強力な顧客認証(SCA)が必須になり、英国とヨーロッパ全体で顧客の不正事件を減らすのに役立ちます。 フィンテック企業であるSiliconCanalsによると、eコマースベースのビジネスは2022年までにヨーロッパで最大1兆ドルに成長すると予想され、ECBによると、毎年10億ドル以上がヨーロッパのカードで予想される不正行為です。

ほとんどのカード支払いにはSCAが必要です。 SCAに準拠しないと、支払いトランザクションの失敗やその他のコストのかかる結果につながる可能性があります。 新しい規制により、顧客が自分の身元を証明するために3つの重要な情報のうち2つを提供する、2要素認証が必須です。

  • 彼らが所有するもの(モバイル、トークン、またはスマートカード)
  • 彼らが知っていること(PINコードまたはパスワード)
  • それらが何か(指紋または声のパターン)

サードパーティプロバイダーの出現により、競争と複雑さがさらに増しています。 2018年以降、オープンバンキングプロバイダーには2つのタイプがあり、どちらも異なる目的を果たしています。

  • 支払い開始サービスプロバイダー(PISP)
  • アカウント情報サービスプロバイダー(AISP)

PISPは、ユーザーのアカウントの内外で支払いを開始することを許可されていますが、AISPは、銀行や機関から提供されたアカウント情報を取得する権限を持っています。

これら2つは、オープンベーキングデータにアクセスするために必要な顧客の同意を処理します。 簡単に言えば、何にアクセスし、どのくらいの期間、誰と共有するかを顧客に説明します。

これまでこのようなレベルのデータにさらされたことのない企業にとっては、物事は圧倒される可能性がありますが、ニュアンスを理解し、関連する法律を組織が実施して、組織とその株主の利益を保護する必要があります。

オンラインマーチャントにとってのメリット:

  • 不正率の低下と顧客への信頼の向上
  • プロセスをスムーズにするための2要素認証。
  • eコマース消費者向けのその他のオプション

インターネットビジネスでできること:

コンテキストに応じて適切な支払い方法を示し、プラットフォームに3Dセキュア2要素標準があることを確認してください。

必須事項とは別に、 Stripeによって説明されているStrong Customer Authentication規制にもいくつかの例外があります。これは、SCAをトランザクションに適用するかどうかをリアルタイムで分析して決定します。

低リスクの取引:

低リスクのトランザクションは、支払いプロバイダーがリアルタイムで分析した後、必要であると判断した場合にのみ、SCAに対して有効であると見なされます。 ただし、決済プロバイダーまたは銀行の全体的な不正率のカード支払いが次のしきい値を超えない場合に可能な特定の免除があります。

  • 100ユーロ未満の取引を免除するには0.13%
  • 250ユーロ未満の取引を免除するには0.06%
  • 500ユーロ未満の取引を免除するには0.01%
30ユーロ未満の支払い:

30ユーロ未満の取引は価値が低いと見なされるため、 SCAから免除される場合がありますが、このシナリオが5回以上繰り返され、金額が100ユーロを超える場合、銀行は認証を要求する必要があります。 また、銀行は取引件数をチェックする必要があります。

固定金額のサブスクリプション:

この場合、顧客の最初の支払いにはSCAが必要ですが、その後の支払いはSCAから免除される場合があります。

信頼できる受益者:

支払いの認証を完了する、顧客は許可リストにビジネスを追加するオプションがあり、それは銀行の「信頼できる受益者」リストにさらに追加されます。 これにより、認証の失敗が少なくなります。

電話販売:

電話で収集された顧客のカードの詳細はSCAの対象外であり、認証は必要ありません。

企業の支払い:

旅行業界で一般的に使用されている仮想カード番号を使用して行われる支払いも、SCAの範囲外です。

販売者が開始する支払い:

カードが加盟店のシステムに保存され、保存されたカードを使用して支払いが行われる場合、技術的にはこれらの支払いはSCAの範囲外であるため、認証は免除されます。

距離販売指令

遠隔販売とは、簡単に言えば、デジタル、オンライン、メールなど、あらゆる形式の媒体を介して販売することです。 VAT登録済みのインターネットビジネスが英国で販売されているが、英国では登録されていないが、ヨーロッパの他の国で販売されている場合は、距離販売です。 理解するのは簡単ではありませんが、ヨーロッパに顧客や潜在的な顧客がいる企業にとっては非常に重要です。

離れた場所にいる顧客に販売する前に、次の情報が含まれていることを確認してください。

  • あなたのビジネスの名前、連絡先の詳細、住所
  • あなたのビジネスの詳細な説明
  • すべての税金を含む合計金額、およびそれらの支払い方法の説明。
  • 配達の支払い、スケジュール、費用
  • 請求期間と最小契約期間
  • 預金、金銭的保証および終了契約の条件
  • フォームと一緒にキャンセル基準を注文し、キャンセル費用があれば、キャンセルする権利がある場合までの期限

この情報はすべて、わかりやすい形式で提供する必要があります。

この指令では、eコマースビジネスは、注文が配達されてから14日以内にキャンセルできることを顧客に伝える必要があり、キャンセルの理由は必要ありません。

EUのこれらの電子商取引規則は、オンラインデジタルサービスを販売している企業に適用され、注意深く従う必要があります。

ペイメントカード業界–データセキュリティ標準(PCI DSS)コンプライアンス

eコマースビジネスでクレジットカードによる支払いを受け入れる場合は、PCI DSSがどのように機能するか、さらに重要なことに、それがビジネスにどのように影響するかを知っておく必要があります。

多くの面で、PCIとGDPRの範囲は互いに重複していますが、違いはそれらの目的にあります。 GDPRは、インターネットビジネスがデータを収集するときに、ユーザーが自分の権利と義務を理解するための媒体として機能しますが、セキュリティを提供するものではありません。

一方、PCIは、カード所有者データのセキュリティと保護の側面を直接処理します。 データの損失、侵害、個人情報の盗難などは、PCIの対象となります。 この標準では、顧客はデータをあまり制御できませんが、PCIはサーバーの安全性の維持、アクセスの制限、および軽減とリスク管理に重点を置いています。

欧州WEEE指令

この指令は、電子製品の売買を扱う企業にとって特に重要です。 廃電気電子機器指令(またはWEEE)は、すべての種類の電子製品の収集、リサイクル、および回収の目標を設定します。

WEEEによると、市場に出回っているすべての電気機器は、それぞれの国で登録されている必要があり、さらに同じディレクトリを維持するように指示されています。

すべての加盟国は、市場に出回っているすべての電気機器の年次報告書を維持する義務があり、登録されているすべての機器にはそれに応じたラベルを付ける必要があります。

これは、EUの複数の国で製品を販売したい販売者にとって、現地の製造業者の義務を確実に順守するために各国で個別に登録する必要があるため、困難になります。 組織がこの指令に従わない場合、多額の罰金が科せられる可能性があります。

この指令には製造業者のためにやるべきことがもっとありますが、インターネット企業は依然として自社の製品が所定の規制の下にあることを確認する必要があります。

あなたが知っておく必要があるヨーロッパで使用されるいくつかの一般的な専門用語。

GDPRを調査するときに表示される重要な用語のいくつかを定義しましょう。

  • データ主体:個人データが保存、収集、共有、またはダンプされている人。
  • 個人データおよび個人データ:生きている人を直接的または間接的に識別する情報。 たとえば、アカウント情報、健康情報、年齢、性別、電子メールアドレス、生年月日、アドレス、IPアドレスなどです。
  • データ管理者:個人データの処理方法を決定するのは1人または複数の人です。
  • データ処理者:管理者に代わってそのデータを処理するのは1人または複数の人です。
  • プロセッサーの義務–プロセッサーは、データコントローラーの指示に従う必要があり、GDPRへの準拠を示すことができる必要があります
  • データ保護責任者– GDPR、一般的なプライバシー管理コンプライアンス、およびデータ保護慣行を監督するために、企業はGDPRを監督するためのスタッフメンバーまたはサービスプロバイダーを任命する必要がある場合があります。
  • プライバシー影響評価(PIA) –リスクを最小限に抑え、リスクを軽減するための対策を特定するために、大規模なデータ処理についてプライバシー影響評価を実施する必要があります。
  • 違反の通知–利害関係者は、違反に気付いてから72時間以内にコントローラーから通知を受ける必要があります。

情報源

考慮すべきその他の指令および規制:

欧州著作権指令(法律ではなく、加盟国が法律を作成および起草するのを支援するためのフレームワーク)

  • 支払いが完了したら、顧客に支払いアドバイザリを送信します。
  • あなたのビジネスが商工会議所に登録されていることを確認してください。

ユーザーに事前にチェックされたボックスを提供しない

  • 必須の支払い勧告
  • 通貨換算
  • 在庫管理

結論

欧州経済領域(EEA)のeコマースに関する法規制に従わない場合に企業が直面する可能性のある精査を考えると、それらに関する法律を理解することをお勧めします。 また、新規事業主は、サービス提供者や地球市民としての基本的権利と義務を怠らないようにすることが重要です。 さらに、SMBや新興企業への影響は、大企業よりも深刻になる可能性があります。