ゴルフダイジェスト・オンラインのトークナイゼーション導入のメリット(上)

2015年7月23日7:00

ゴルフダイジェスト・オンラインのトークナイゼーション導入のメリット
カード番号を乱数に置き換えて、安全なカード情報の管理が可能に

日本最大級のゴルフポータルサイトを運営するゴルフダイジェスト・オンライン(GDO)では、国内のeコマースサイトで初めてクレジットカード情報を別の数値(乱数)に置き換えて情報処理を進める「Tokenization(トークナイゼーション)」を2010年7月に導入しました。4年間の運用の成果や課題、決済代行事業者の非保持サービスなどとの比較について紹介します。

国内で初めてトークナイゼーションを導入
カード情報が漏洩せず、システムとして非常に安全な仕組みを提供

GDOは、ゴルフ用品の販売、ゴルフ場の予約、ゴルフ関連情報やモバイルコンテンツを提供するメディア事業、ゴルフレッスンを行うフィッティング事業など、ゴルフにかかわるビジネスを多岐にわたって提供しています。

日本国内には、約800万人のゴルファーがいますが、450万人と半数以上のお客様が弊社をご利用いただいています。日本は世界第二位のゴルフマーケットとなりますが、GDOでは260万の会員を有しています。アクティブユーザーは約45万人、コアユーザーは40~60代後半の男性のお客様が多くなっています。

現在のeコマースの売り上げは100億円弱ありますが、支払いの約8割がカード決済となっています。一時は、85%がカード決済でしたが、最近はコンビニ決済の比率も増えています。

トークナイゼーションは、2010年に検討を開始し、2011年7月にリリースしました。当時、アプリケーションやインフラを切り替えたので、トークナイゼーションも同時にリリースしています。

GDOでは過去に「SQLインジェクション」による不正アクセスを受け、サイトが改ざんされる被害に遭いました。カード会員情報は漏洩しませんでしたが、当時の強化策として、自社で暗号化して保有するか、外部企業に預けるかの二択で考えていました。ただ、暗号化は、復号化されるリスクがあります。また、当時は、カード会員情報を委託するコストがトークナイゼーションの導入に比べ高かったこと、カード情報を決済代行事業者に預けた場合、仮に情報が漏れた際は弊社側で対応しなければなりませんでした。そのため、トークナイゼーションを国内で初めて採用しました。

過去を振り返る・・・「持つ」か「預ける」か?
過去を振り返る・・・「持つ」か「預ける」か?

たとえば、自社でカード会員情報を保持している場合、暗号化されたデータを複合化してウェブサーバに返してお客様に戻すという流れになります。トークナイゼーションでは、サブシステム間に通信をするときにはEAI(Enterprise Application Integration)というツールがあり、トークンの取得用サーバを介して、トークンを取得した後にカード情報を呼び出す仕組みとなります。また、データを登録する際も同様で、自前で保持しているときには暗号化して自分たちのデータベース内に保存されますが、トークナイゼーションでは、トークンの登録サーバでカード情報に紐づくトークンを生成し、トークンだけを戻します。

これまでの運用の成果としては、カード情報が漏洩せず、システムとしても非常に安全な仕組みを提供できています。コストについても、ロジックの変更やバージョンアップをすること無く、削減できました。また、自社で保持するデータはトークンのみであり、監査上も一切指摘はありません。

障害時にはベンダー頼みになる課題も
今後はカード情報を決済代行事業者に委託する可能性も

逆にデメリットとしては、運用フローが非常に複雑になりました。たとえば、1つの障害で、実際に運用ができなくなり、その対応はベンダー頼みになってしまいます。弊社には複数のサーバがありますが、異なるSSLの証明書が必要となり、証明書の更新作業のフローが複雑化するなど、アプリケーションの技術者を内部で抱えていないと運用が困難になります。また、運用コストは削減できていますが、24時間365日の保守対応については、専用に整えなければならず、高コストとなっています。さらに、対応時間を短くした場合は、正常動作監視と一時対応に備えるメンバーの待機コストが発生してしまいます。

今後は、①自社で仕組みを開発②トークナイゼーションの製品を導入③決済代行事業者のサービスを利用する――3つが考えられます。ただ、自社開発については、インフラ設計、アプリケーション設計、開発、検証、運用等、考慮しなければならない点が非常に多く、メリットが見出せません。

トークナイゼーションを導入する場合は、ベンダー側の保守体制がしっかりしている点、安定した動作実績があること、カード情報以外の重要な情報も含めて行える体制にあるか、といった点を満たせるかが重要となります。また、GDOでは、利用する決済代行事業者を切り替えましたが、その際にコストやサービスを比較して、最終的にトークナイゼーションの代わりにカード情報を委託する可能性も含めて決断しています。

⇒⇒後編へ続く

※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」のゴルフダイジェスト・オンライン 経営戦略本部 本部長CTO 渡邉 信之氏の講演をベースに加筆を加え、紹介しています。

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP