クレジットカード番号のトークナイゼーションサービスをリンクが採用(Safenet)

2014年9月19日15:38

日本セーフネットは、国内最大級のレンタルサーバサービス「at+link(エーティーリンク)」やクラウド型テレフォニーサービス「BIZTEL(ビズテル)」を展開するリンクが、SaaS(Software as a Service)形式で年内にリリースする、クレジットカード番号をセキュアに運用するためのトークナイゼーションサービス「Cloud Token for Payment Card(クラウド トークン フォー ペイメント カード)」に、SafeNet Tokenization Manager(トークナイゼーションマネージャー)が採用されたと発表した。PCI DSSに準拠したシステム内で構築したクラウドサービスとしては日本初となるそうだ(同社調べ)。

データ保護のための SafeNet のトークナイゼーション技術(出典:Safenetのプレスリリース)

データ保護のための SafeNet のトークナイゼーション技術(出典:Safenetのプレスリリース)

近年、会員情報などの個人情報漏えい事故に関するニュースが後をたたない。クレジットカードのようにセンシティブな情報の取り扱いを行う企業は、PCI DSSという国際カードブランド5社(VISA・MasterCard・American Express・Discover・JCB)で策定したセキュリティ基準への準拠が推奨されている。

PCI DSSへ準拠することで、事業者は入手した情報を安全に取り扱う環境が整えられる一方「自社のマーケティング部門でカード情報を利用したい」など、別のシステム環境下でカード情報を持つ必要性がでてきた場合、そのシステムにおいてもPCI DSSの準拠が必要となる。しかし、カード情報を取り扱うすべてのシステムで準拠するのは、膨大な費用と手間がかかるため難しいという現状もあるそうだ。

そこで、PCI DSSへの準拠をしないまでもセキュアな状況下でクレジットカード番号を取り扱いたいという要望に応えるため、トークナイゼーション技術が注目されはじめている。トークナイゼーションとは、クレジットカードの番号を識別不能なランダムな文字列に変える技術で、生成された番号はクレジットカード番号としては意味の無い数字になり、仮にこの情報が漏えいしても悪用される心配がないというメリットがある。

Safenetによると、例えば、文字に変えたりなどいわゆる暗号化という手法だと、既存システムでの対応が難しく一から構築し直すことになるが、トークナイゼーションでは文字列を入れ替えるだけなので既存システムを利用し続けることができることもメリットとなるそうだ。

今回、リンク社が提供開始予定のトークナイゼーションのクラウドサービスは、リンク社ですでにPCI DSSに準拠したシステム内に、セーフネットのトークナイゼーション技術であるSafeNet Tokenization Managerを組み込み、SaaS形式のサービスとして提供するため、より手軽に利用することができるという。PCI DSSに準拠したシステム内で構築したトークナイゼーションのクラウドサービスとしては日本初であり、他サービスとの差別化ポイントになるそうだ。

ユーザ企業は、保有しているクレジットカード番号を同サービスに送ることで、トークン化された数値が返される。同サービスを利用することにより、ユーザ企業は自社のマーケティングなどでクレジット情報を取り扱いたい場合、トークン化された情報での運用が可能となるので、PCI DSSへの準拠が不要でありながらセキュアな環境下での運用が可能、加えてコスト削減にもつながることになるという。

page toppagetop