2015年2月23日9:45

ECサイトのセキュリティ強化にもつながるトークナイゼーションに注目
カード番号を乱数に置き換えて保存・利用するメリットとは?

AppleがスタートしたApple Payでは、カード番号を別の乱数に置き換える「トークナイゼーション」技術が利用されている。トークナイゼーションは、機密データを別の文字列に置き換えて保存・利用することにより、PAN(Primary Account Number:カード会員番号)の散財を防ぎ、セキュリティを向上させることが可能な技術となっている。トークナイゼーションは、カード発行会社(イシュア)に加え、加盟店のセキュリティ強化につながる技術でもある。

トークナイゼーションはPCI DSSの新技術としても注目を浴びた

Apple Payがトークナイゼーションを採用したことから、国内企業でもトークナイゼーションに対する関心が高まっているが、実際にはApple Pay以前からあった技術で、決して新しい技術ではない。

EMCジャパンのトークナイゼーション「RSA Data Protection Manager」のイメージ(出典:EMCジャパン)
EMCジャパンのトークナイゼーション「RSA Data Protection Manager」のイメージ(出典:EMCジャパン)

例えば、ペイメントカードの情報セキュリティ基準である「PCI DSS」の運営組織であるPCI SSCでは、米国時間の2011年8月12日にトークン化技術のガイドラインとなる「PCI DSS Tokenization Guidelines」を発表。カード情報を乱数化することで、スコープから外すことで、PCI DSSの審査対象範囲を縮小できる “PCI DSSの新技術(Emerging Technology)”として当時注目が集まった。例えば、PCI DSSの準拠が進んでいる米国では、QSA(認定審査機関)に支払う審査費用が1,000万円以上になることも珍しくないという。例えば、当時、EMCジャパンのトークナイゼーションを採用した大手ペイメントプロセッサーのファースト・データは、PCI DSSの対象範囲を最高80%、準拠必要日数を最大50%削減したそうだ。

国内でもEMCジャパン(RSA事業部)や日本セーフネットといった企業がトークナイゼーションに対応したソリューションの拡販を進めた。しかし、トークナイゼーションが話題となった2010年下期から2011年上期の当時はPCI DSSへの加盟店の関心が決して高くはなかったこと、また、既存システムの改修が求められる影響などもあり、国内での導入は進まなかった。

国内ではゴルフダイジェスト・オンラインがいち早く採用

そんな中、日本最大級のゴルフポータルサイトを運営するゴルフダイジェスト・オンライン(GDO)では、国内で初めてクレジットカード情報を別の数値(乱数)に置き換えて情報処理を進める「Tokenization(トークナイゼーション)」を国内でいち早く導入した(参考記事)。

GDOでは過去に「SQLインジェクション」による不正アクセスの被害にあっている。クレジットカード情報などは漏えいしなかったが、それを機にセキュリティに対する意識を徹底。数多くのセキュリティ対策を講じてきた。GDOでは2011年7月から新システムが稼働しているが、クレジットカード情報の保護などを目的としてEMCジャパン RSA事業本部のトークナイゼーション製品である「RSA Data Protection Manager」を導入した。国内企業として、初のトークナイゼーション導入となる。

GDOでは、一部のサービスで当初はクレジットカード情報を決済代行事業者に預けることも検討したが、カード会員情報を委託するコストがトークナイゼーションの導入に比べ高かったこと、データ自体の保管はしてもらえるがセキュリティを担保してくれない点もあり、外部企業に預けてもセキュリティ強化の抜本的な解決にはならないと考え、トークナイゼーションの導入を決意したそうだ。

3月12日開催の「ペイメントカード・セキュリティフォーラム2015」では、ゴルフダイジェスト・オンラインが「トークナイゼーション導入のメリットについて」講演。導入の背景と現状についての紹介が行われる予定だ。

また、「Apple Pay」の支払いには、ペイメントカードの国際ブランドであるMaterCardが提供するマスターカード・デジタル・イネーブルメント・サービス(MDES:MasterCard Digital Enablement Service)が利用されている。Apple Payでは、クレジットカードやデビットカードの情報をトークン化し、別の番号に置き換えて利用されるが、MasterCardでは、このトークンを生成し、スマートフォンやサーバへ書き込む機能を提供している。MasterCardによると、2015年以降は、トークンを活用した安心・安全な決済サービスの推進がさらに進むということだ。MasterCardの講演では、カード番号をトークン化するフローやトークン化のメリット、MasterPassをはじめとするデジタルワレットへの適用、セキュリティ対策の最新動向について、紹介される予定だ。

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP