カナダでのライセンス
1)全体像: 連邦、地方および例外
カナダのギャンブルモデルは刑法に基づいて構築されており、地方/領土またはその承認された組織によって実施および管理される場合を除き、ギャンブルを禁止しています。
これには以下の3つの重要な意味があります:1.地方管轄:各州は市場(国有企業、独占、譲歩、オープンレジストリーなど)を組織する方法を決定します。
2.「オープンマーケット」としてのオンタリオ州:2022から、州は民間事業者がAGCO(規制当局)とiGaming Ontario-iGO(市場が「実施および管理」されている状態のプロバイダー)と連携して作業することを可能にします。
3.Kahnawà: ke Gaming Commission (KGC): Kahnawakeのモホーク地域の規制官。そのライセンスは、国際的なホスティングとB2B/B2Cのポートフォリオにとって歴史的に重要ですが、オンタリオ州のプレーヤーとの法的作業には、別個のAGCO/iGOモードが必要です。他の州-これらの州の独自のモデル。
2)主要なモデル
2.1オンタリオ州:AGCO+iGaming Ontario (iGO)
レギュレータ:AGCOは、インターネットゲーム(RG/AML/広告/技術制御)のレジストラの標準を設定します。
オペレータモデル:民間オペレータは、iGOとの運用契約に入り、AGCOから登録を取得し、技術的にiGOのレジストリ/要件に接続します。正式には、ゲームはiGOによって「実施および管理」され、オペレーターは「サービスプロバイダー」です。
頂点:カジノ/スロット、賭け、ポーカー/ビンゴなど。
主な機能:責任あるギャンブル、マーケティング、技術管理の厳格な基準。iGO(本質的にGGR-taxationの機能的な類似物)で報告およびrevue-sher。
2.2 Kahnawà: ke: KGC
レギュレーター:Kahnawà: ke Gaming Commission。
ライセンス周辺:オペレータクライアントライセンス(クライアントプロバイダ認証)、プロバイダ/プラットフォーム(主要人物/主要機器プロバイダーによるインタラクティブゲームライセンス)、およびMohawk Internet Technologiesデータセンター(従来)でのホスティング。
- オンタリオ州の場合、プレーヤーへの法的アクセスに十分ではありません。AGCO/iGOが必要です。
- 国際市場の場合-多くの場合、複数の管轄ポートフォリオで尊敬されるホスティング/オペレーターライセンスモードとして使用されます。
- 実践:デューデリジェンス、運用プロセス、インフラストラクチャセキュリティ、回復力に重点を置いています。
3) RG/AML/広告/プライバシー-一般的なロジック
3.1責任あるギャンブル(RG)
プレーヤーツール:入金/損失/時間制限、タイムアウト、自己除外、リアリティチェック、アクティビティ履歴。
地方の自己排除レジストリ:オンタリオ州で-地方回路(iGOと同期);オペレータはオンラインで状態を確認する義務があります。
行動監視:問題の再生、エスカレーション、介入のテレメトリーの「初期兆候」の検出。
3.2 AML/CTF・FINTRAC
PCMLTFA/FINTRAC:カナダのカジノおよびオンラインゲーム事業者は、FINTRAC(顧客デューデリジェンス、EDD、大規模/疑わしい取引、ジャーナル、トレーニング)AML監視要件の対象となります。
KYC: ID/年齢と住所(オンタリオ州、eKYCプロバイダ、銀行小切手/2ソースモデル、ドキュメント/selfiesが許可されています)。
トランザクション監視:速度/異常、資金源、制裁/POPスクリーニング、意思決定ログおよびSTR/SAR手順。
3.3広告およびアフィリエイト
オンタリオ州(AGCO):詳細な広告/ボーナス基準:誤解を招く約束の禁止、クリエイティブと言語の制限、未成年者/脆弱なグループの保護、「積極的な」プロモーションコミュニケーションとインフルエンサーの制限(聴衆、ラベリング要件)。
関連会社:RG/AML/データの遵守、サイトのホワイトリスト、資料の監査、停止手順の契約上の責任。
3.4プライバシーとデータ
PIPEDA(商業部門における個人データの保護に関する連邦法)+地方の行為(多くの州-独自のプライバシー法);オンタリオ州では、AGCO/iGOのプライバシー基準を遵守する必要があります。
DPIA/DSR:処理リスクの評価、対象要求への応答のタイミング(アクセス/修正/削除/移植性)、PIIの最小化、データフローの制御(国境を越えた送信を含む)。
4)技術的な条件: SDLC/observability/safety/DR
SDLC/releases:変更制御、ステージングパイプライン、アーティファクトおよびSBOMシグネチャ、「prodに人間がいない」、リリースログおよびロールバック。
オブザビリティ:構造化ログ(PAN/extra PIIなし)、メトリクス、トレース(OTel)、 SLO/SLI (latency p95/p99、 error-rate)、合成沈殿物/ACC/出力チェック、監査の保持。
セキュリティ:セグメンテーション、mTLS、 WAF/ボット管理、SSO/MFA/PAM、 CI/CDのSAST/SCA/DAST、通常のペンテスト、期限切れのクリティカル/ハイなし。
DR/BCP: RTO/RPOで確認された定期的な復元テスト、劣化計画(graceful)。
反乱用:行動スコアリング、デバイス信号、速度ルール、アンチボーナスフレームワーク。
5)支払: Interac国
方法:Interac e-Transfer/Online、カード(3Dセキュア)、A2A/Open銀行、銀行振込、ローカルウォレット。
統合要件:idempotency、 HMAC署名webhook、 DLQ/イベントリプレイ、 Time-to-Wallet監視、成功/承認率、iGOレポート/プロバイダとの調整。
AML/制裁/速度:入出力フロー、制限、ケースの手動チェックに関するフィルタ。
6)実際にオンタリオ州(AGCO/iGO): 調理するもの
iGOとのAGCO+運用契約への登録:- RG/AML/広告/データ/インシデント/DRポリシーとその実証可能な実装(ダッシュボード、ログ、レポート)。
- IT/データアーキテクチャ、ストレージモデル、DR/BCP計画、脆弱性/ペンテストレポート。
- 決済およびKYCプロバイダーとの統合、不正防止および監視。
- FINTRAC手順(トレーニング、ケース管理、SAR/STR、大規模/疑わしいトランザクションレジスタ)。
- 広告モデル:ホワイトリストチャンネル、クリエイティブテンプレート、アフィリエイトとの契約、インフルエンサーの管理。
- iGOでの運用報告(金融/GGR、 RGメトリクス、苦情/インシデント、キーパーソンの変更)。
7)実際にはKGC: いつ、どのように
オンタリオ州の場合:KGCライセンスでは十分ではありません。州のプレーヤーにアクセスするには、AGCO/iGOが必要です。
国際市場にとって:KGCは、特にhosting/B2Bポートフォリオおよび多国籍戦略において、引き続き尊敬される体制です。
準備:RG/AML ポリシー/データ/インシデント/DR、受益者/主要人物のデューデリジェンス、ITアーキテクチャと監査、浸透テスト/スキャン、プロバイダとの契約(コンテンツ/支払い/CCS)、ホスティングおよびSLA。
8)税金と報告書(高レベル)
オンタリオ州:GGR-rhubarb-sharに近い経済モデルとiGOプラス規制手数料;オペレータは、詳細なレポート(頂点、ボーナス/調整、RG/苦情/インシデント)およびPSP/銀行およびゲーム/ペイログとの和解を維持します。
KGC/国際的に:財政および規制上の義務は、実際のサービス市場と契約に依存します。クロスボーダーモデルについては、地方税/VAT 分析/PEリスクを考慮してください。
9)モデルの長所と短所
オンタリオ州(AGCO/iGO)-プラス
銀行/PSP/メディアの高い信頼性、透明な基準。
明確なRG/広告の規則、理解できる技術的な条件。
大規模な、成長し、公共統計と法的市場。
オンタリオ州-短所
実質的なコンプライアンスOPEXとタイトなレポート。
厳格なマーケティング/インフルエンサーの制限。
要求の厳しい技術的な制御とFINTRACプロセス。
KGC-プラス
国際的なhosting/B2B/operatorsのための親愛なるモード。
強力な運用および技術的規律。
オンタリオ州外でのポートフォリオ戦略の柔軟性。
KGC-短所
オンタリオ州のプレイヤーにサービスを提供する権利はありません(別個のAGCO/iGOなし)。
個々の市場では追加のライセンス/登録が必要になります。
まだデューデリジェンスとITコントロールの高い基準。
10)準備チェックリスト
10.1 Readyの定義
- 定義される周囲:オンタリオ州(AGCO/iGO)および/または国際単位(KGC)。
- 主要人(MLRO/AMLO、 DPO、 RGリード、ヘッド・コンプライアンス/プラットフォーム/SRE/セキュリティ/支払い);SoF/SoWを収集しました。
- AML/RG/広告/データ/インシデント/DRポリシーが承認されました。実施されたトレーニング;実行ログがあります。
- SDLC: artifact signatures+SBOM、 「prodに人間がいない」、release and rollback log。
- Observability: SLO/SLIダッシュボード、合成チェック「deposit/CCL/output」、保持ログ。
- セキュリティ:pentest/scans closed;クリティカル/ハイの有効期限はありません。
- FINTRAC:ポリシー、トレーニング、ケース管理、レポートレジスタ。
- 広告/関連会社:ホワイトリストチャネルとクリエイティブ、契約/停止手順。
- Payments/CCM:プロバイダ、HMAC-webhooks、 idempotency、 DLQ/replayとの契約。
- オンタリオ州の場合:AGCO登録+iGO運用契約パッケージと統合アーティファクト。
10.2 Doneの定義
- 規制/財政/FINTRACレポートが含まれています。KPI所有者が割り当てられます。
- 安定した統合:PSP/KYC/不正防止、タイムツーウォレット監視および承認。
- RGツールがアクティブです。介入および自己排除テレメトリー;オンラインチェック。
- DR/BCP:実行された復元テスト、RTO/RPO確認、発行された証明書。
- マーケティング/関連会社:材料の監査、違反と対策のログ、正しいラベル付け。
11)プロセス(締め切り)
クリティカルパス:キーパーソン→ライブポリシー→SDLC/観測/DR(証拠)→FINTRAC回路→契約/登録(iGO/AGCOまたはKGC)→入力。
12) RACI(オンタリオ+KGCプログラムの例)
13)典型的なリスクと緩和
14)90-180日ロードマップ(例)
月1-2:ギャップ分析、Key Persons割り当て、SDLC/Observability/Security修復の開始、FINTRACループ構成。
月2-3:パッケージ収集(AGCO登録+iGO OA/KGC)、浸透テスト/スキャン、DR行為、PSP/KYC/コンテンツ契約。
月3-4:提出/承認、デモ(ダッシュボード、雑誌、RG/AML/支払い/マーケティング)のドライラン、統合の最終化。
月4-6: Q&A/バリエーション、決済/コンテンツのオンボーディング、レポートのインクルージョン、およびKPIコントロール。
概要
カナダは連邦政府のAML上部構造を持つ地方モデルである。オンタリオ州では、民間事業者が公的なiGOパートナーであり、厳格なRG/AML/広告/技術管理基準によって生活するAGCO+iGOバンドルが必要です。KGCは、国際ホスティングおよびポートフォリオ戦略の重要なプレーヤーですが、オンタリオ州のAGCO/iGOに取って代わるものではありません。エビデンス・ファースト・カルチャー(SDLC/Observability/Security/DR、 FINTRACプロシージャ、RGテレメトリー、マネージド・マーケティングおよびアフィリエイト)を構築することで、北米で最も透明性の高い市場の1つである決済エコシステムとパートナーに持続的にアクセスできます。